Häufig gestellte Fragen zu AWS IAM Identity Center

F: Was ist AWS IAM Identity Center?

IAM Identity Center baut auf AWS Identity and Access Management (IAM) auf und vereinfacht die Zugriffsverwaltung auf mehrere AWS-Konten, AWS-Anwendungen und andere SAML-fähige Cloud-Anwendungen. Im IAM Identity Center erstellen oder verbinden Sie die Benutzer Ihrer Arbeitskräfte für die Nutzung in AWS. Sie können den Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen oder beide verwalten. Sie können Benutzer direkt im IAM Identity Center erstellen oder sie aus Ihrem bestehenden Mitarbeiterverzeichnis übernehmen. Mit IAM Identity Center können Sie eine einheitliche Arbeitsumgebung für die Administratoren definieren, anpassen und detailliert abgestufte Zugriffsrechte zuweisen. Ihre Mitarbeiter erhalten über ein Nutzerportal Zugang zu ihren zugewiesenen AWS-Konten oder Cloud-Anwendungen.

F: Welche Vorteile bietet IAM Identity Center?

Mithilfe von IAM Identity Center können Sie Ihren Mitarbeitern schnell und einfach Zugriff auf viele AWS-Konten, SAML-fähige Cloud-Anwendungen (z. B. Salesforce, Microsoft 365 oder Box) und maßgeschneiderte eigene Anwendungen gewähren und diese Zugriffe verwalten – und das alles von einer einzigen Stelle aus. Mitarbeiter können produktiver arbeiten, wenn sie sich mit ihren vorhandenen oder von Ihnen im IAM Identity Center konfigurierten Anmeldedaten anmelden. Sie können ein einziges personalisiertes Benutzerportal verwenden. Sie können auch viel transparenter erkennen, wie Ihre Cloud-Anwendungen genutzt werden, da Sie alle Anmeldevorgänge zentral in AWS CloudTrail überwachen und überprüfen können.

F: Welche Probleme löst das IAM Identity Center?

Mit IAM Identity Center entfällt die administrative Komplexität der Zusammenführung und Verwaltung von Berechtigungen für jedes AWS-Konto separat. Es ermöglicht Ihnen, AWS-Anwendungen über eine einzige Schnittstelle einzurichten und den Zugriff auf Ihre Cloud-Anwendungen von einem einzigen Ort aus zuzuweisen.
IAM Identity Center trägt auch zur Verbesserung der Zugriffstransparenz bei, indem es in AWS CloudTrail integriert wird und Ihnen einen zentralen Ort bietet, an dem Sie den Single Sign-On-Zugriff auf AWS-Konten und SAML-fähige Cloud-Anwendungen wie Microsoft 365, Salesforce und Box überprüfen können.

F: Warum sollte ich IAM Identity Center verwenden?

Das IAM Identity Center ist unsere empfohlene digitale Haustür zu AWS. Es sollte Ihr primäres Tool zur Verwaltung des AWS-Zugriffs der Benutzer Ihrer Arbeitskräfte sein. Es ermöglicht Ihnen, Ihre Identitäten in Ihrer bevorzugten Identitätsquelle zu verwalten, sie einmalig für die Verwendung in AWS zu verbinden, fein abgestufte Berechtigungen zu definieren und diese konsistent auf alle Konten anzuwenden. Wenn die Anzahl Ihrer Konten wächst, können Sie das IAM Identity Center als zentralen Ort für die Verwaltung des Benutzerzugriffs auf alle Ihre Cloud-Anwendungen nutzen.

F: Was kann ich mit IAM Identity Center machen?

Mit IAM Identity Center können Sie Ihren Mitarbeitern schnell und einfach Zugriff auf AWS-Konten gewähren, innerhalb von AWS Organizations, Business-Cloud-Anwendungen (wie Salesforce, Microsoft 365 und Box) und benutzerdefinierten Anwendungen, die SAML 2.0 (Security Assertion Markup Language) unterstützen. Mitarbeiter können sich mit ihren vorhandenen Unternehmensanmeldeinformationen oder Anmeldeinformationen anmelden, die sie in IAM Identity Center für den Zugriff auf ihre Geschäftsanwendungen über ein einzelnes Benutzerportal konfigurieren. IAM Identity Center erlaubt es Ihnen auch, den Zugriff von Benutzern auf Cloud-Services mittels AWS CloudTrail zu überwachen.

F: Wer sollte IAM Identity Center verwenden?

IAM Identity Center richtet sich an Administratoren, die zahlreiche AWS-Konten und Geschäftsanwendungen verwalten müssen und daher die Verwaltung der Benutzerzugriffe auf diese Cloud-Services zentralisieren möchten und es gern sehen würden, wenn die Mitarbeiter von einer einzigen Stelle aus auf alle Konten und Anwendungen zugreifen könnten, ohne sich für jedes ein anderes Passwort merken zu müssen.

F: Wie starte ich mit der Verwendung von IAM Identity Center?

Als neue IAM-Identity-Center-Kunde sollten Sie Folgendes tun:

1. Sich bei der AWS-Managementkonsole des Management-Kontos in Ihrem AWS-Konto anmelden, und zur AWS SSO-Konsole navigieren.
2. Das Verzeichnis auswählen, das Sie zum Speichern der Identitäten Ihrer Benutzer und Gruppen in der AWS SSO-Konsole verwenden. IAM Identity Center stellt Ihnen standardmäßig ein Verzeichnis zur Verfügung, mit dem Sie Benutzer und Gruppen in IAM Identity Center verwalten können. Sie können das Verzeichnis auch so ändern, dass eine Verbindung mit einem Microsoft AD-Verzeichnis hergestellt wird, indem Sie durch eine Liste der verwalteten Microsoft AD- und AD Connector-Instances klicken, die IAM Identity Center automatisch in Ihrem Konto erkennt. Informationen zum Herstellen einer Verbindung mit einem Microsoft-AD-Verzeichnis finden Sie unter Erste Schritte mit AWS Directory Service.
3. Gewähren Sie Benutzern Single-Sign-On-Zugriff auf AWS-Konten in Ihrer Organisation, indem Sie in einer von IAM Identity Center aufgestellten Liste die AWS-Konten auswählen und dann Benutzer oder Gruppen aus Ihrem Active Directory sowie die Berechtigungen auswählen, die diesen erteilt werden sollen.
4. Gewähren Sie Benutzern den Zugriff auf geschäftliche Cloud-Anwendungen, indem Sie wie folgt vorgehen:
   a. Wählen Sie in der Liste eine der Anwendungen aus, deren Integration schon vorab in IAM Identity Center unterstützt wird.
   b. Konfigurieren Sie die Anwendung, indem Sie den Konfigurationsanweisungen folgen.
   c. Wählen Sie die Benutzer oder Gruppen aus, die in der Lage sein sollen, auf diese Anwendung zuzugreifen.
5. Als Sie eine Verbindung zum Verzeichnis herstellten, wurde eine IAM-Identity-Center-Anmelde-URL generiert. Geben Sie diese URL an Ihre Benutzer weiter, damit diese sich bei IAM Identity Center anmelden und dann auf Konten und Geschäftsanwendungen zugreifen können.

F: Wie viel kostet IAM Identity Center?

IAM Identity Center wird ohne Aufpreis angeboten.

F: In welchen Regionen ist IAM Identity Center verfügbar?

In der AWS-Regionentabelle finden Sie mehr Informationen über die Verfügbarkeit von IAM Identity Center in den einzelnen Regionen.

Welche Identitätsquellen kann ich mit IAM Identity Center verwenden?

Mit IAM Identity Center können Sie Benutzer erstellen und verwalten, die im Identitätsspeicher von IAM Identity Center gespeichert werden, und Verknüpfungen zu einer vorhandenen Identitätsquelle wie Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD) oder einem anderen unterstützten IdP erstellen. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

F: Kann ich auch mehrere Identitätsquellen mit IAM Identity Center anbinden? 

Nein. Zum jedem beliebigen Zeitpunkt können Sie nur ein Verzeichnis oder einen SAML-2.0-Identitätsanbieter auf einmal mit IAM Identity Center verbinden lassen. Sie können jedoch die Verbindung zu einer anderen Identitätsquelle wechseln.

F: Welche SAML 2.0 IdPs kann ich mit IAM Identity Center verwenden?

Sie können IAM Identity Center mit den meisten SAML-2.0-IdPs wie Okta Universal Directory oder Microsoft Entra ID (ehemals Azure AD) verbinden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

F: Ändert die Aktivierung von IAM Identity Center meine bestehenden IAM-Rollen, -Benutzer oder -Richtlinien?

Nein. IAM Identity Center ändert keine bestehenden IAM-Rollen, -Benutzer oder -Richtlinien in Ihren AWS-Konten. IAM Identity Center erstellt neue Rollen und Richtlinien speziell für die Verwendung mit IAM Identity Center.

F: Wie kann ich Identitäten von meinen bestehenden IdPs in IAM Identity Center bereitstellen?

Identitäten von Ihrer bestehenden IdP müssen in IAM Identity Center bereitgestellt werden, bevor Sie Berechtigungen zuweisen können. Sie können Benutzer- und Gruppeninformationen von Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin und PingFederate automatisch mithilfe des Systems für domänenübergreifendes Identitätsmanagement (SCIM) synchronisieren. Für andere IdPs können Sie mit der IAM-Identity-Center-Konsole Benutzer von Ihrem IdP bereitstellen. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

F: Muss ich auf einmal zu IAM Identity Center migrieren oder kann ich das schrittweise tun?

Nach der Aktivierung von IAM Identity Center funktionieren alle bestehenden IAM-Rollen oder -Benutzer unverändert weiter. Das bedeutet, dass Sie schrittweise zu IAM Identity Center migrieren können, ohne den bestehenden Zugriff auf AWS zu unterbrechen.

F: Wie migriere ich bestehende Rollen zu IAM Identity Center?

IAM Identity Center stellt neue Rollen für die Verwendung in Ihren AWS-Konten bereit. Sie können dieselben Richtlinien, die Sie für Ihre bestehenden IAM-Rollen verwenden, den neuen Rollen beifügen, die Sie mit IAM Identity Center verwenden.

F: Erstellt IAM Identity Center IAM-Benutzer und -Gruppen in meinen AWS-Konten?

IAM Identity Center erstellt keine IAM-Benutzer und -Gruppen. IAM Identity Center verfügt über einen eigenen, speziell entwickelten Identitätsspeicher für Benutzerinformationen. Wenn Sie einen externen Identitätsanbieter verwenden, enthält Identity Center eine synchronisierte Kopie der Benutzerattribute und der Gruppenmitgliedschaft, aber kein Authentifizierungsmaterial wie Passwörter oder MFA-Geräte. Ihr externer Identitätsanbieter bleibt die Quelle der Wahrheit für Benutzerinformationen und -attribute.

F: Kann ich die Identitätssynchronisierung im IAM Identity Center automatisieren?

Ja. Wenn Sie Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin oder PingFederate verwenden, können Sie SCIM zur automatischen Benutzer- und Gruppeninformationssynchronisierung zwischen Ihrem IdP und IAM Identity Center verwenden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

Wie verbinde ich IAM Identity Center mit meinem Microsoft Active Directory?

Sie können IAM Identity Center mithilfe eines AWS Directory Service mit Ihrem lokal installierten Active Directory (AD) oder mit einem AWS Managed Microsoft AD AWS Directory Service verbinden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

F: Ich verwalte Benutzer und Gruppen in einem lokal installierten Active Directory. Wie kann ich diese Benutzer und Gruppen in IAM Identity Center nutzen?

Es gibt zwei Möglichkeiten, um ein lokal gehostetes Active Directory mit IAM Identity Center zu verbinden: (1) per AD Connector oder (2) über eine AWS Managed Microsoft AD-Vertrauensstellung. AD Connector verbindet Ihren bestehenden lokal installierten Active Directory mit AWS. AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanforderungen an Ihr lokales Microsoft Active Directory weiterleiten kann, ohne dazu Informationen in der Cloud zwischenzuspeichern. Informationen zur Verbindung eines lokal vorhandenen AD Connectors erhalten Sie im AWS Directory Service Administrationshandbuch. Mit AWS Managed Microsoft AD ist es ganz einfach, Microsoft Active Directory in AWS zu nutzen. Es kann dazu verwendet werden, eine Gesamtstruktur-Vertrauensstellung zwischen Ihrem lokal installierten Verzeichnis und AWS Managed Microsoft AD einzurichten. Informationen zur Einrichtung einer Vertrauensstellung erhalten Sie im AWS Directory Service Administrationshandbuch.

Kann ich meine Amazon Cognito-Benutzerpools als Identitätsquelle in IAM Identity Center verwenden?

Amazon Cognito ist ein Service, mit dem Sie Identitäten für Ihre kundenspezifischen Anwendungen verwalten können; es handelt sich nicht um eine unterstützte Identitätsquelle in IAM Identity Center. Sie können Ihre Workforce-Identitäten in IAM Identity Center oder in Ihrer externen Identitätsquelle erstellen und verwalten, so etwa Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD) odereinem anderen unterstützten IdP.

F: Unterstützt IAM Identity Center Browser-, Befehlszeilen- und Mobilgeräte-Schnittstellen?

Ja. Sie können IAM Identity Center verwenden, um Zugriff zur AWS-Managementkonsole und CLI v2 zu erhalten. IAM Identity Center ermöglicht es Ihren Nutzern, per Single Sign-On auf die CLI und die AWS-Managementkonsole zuzugreifen. Die AWS Mobile Console-App unterstützt ebenfalls IAM Identity Center, sodass überall eine konsistente Anmeldung möglich ist, ob Browser, Mobilgerät oder CLI.

F:Zu welchen Cloud-basierten Anwendungen kann ich mit IAM Identity Center eine Verbindung herstellen?

Sie können die folgenden Anwendungen an IAM Identity Center anbinden:

1. IAM-Identity-Center-integrierte Anwendungen: IAM Identity-Center-integrierte Anwendungen wie SageMaker Studio und IoT SiteWise nutzen IAM Identity Center zur Authentifizierung und zur Arbeit mit Ihren Identitäten in IAM Identity Center. Es ist keine zusätzliche Konfiguration erforderlich, um Identitäten in diesen Anwendungen zu synchronisieren oder den Verbund separat einzurichten.
2. Vorintegrierte SAML-Anwendungen: IAM Identity Center wird mit Integrationen für die gebräuchlichsten Geschäftsanwendungen ausgeliefert. Eine umfassende Liste finden Sie in der IAM-Identity-Center-Konsole.
3. Benutzerdefinierte SAML-Anwendungen: IAM Identity Center unterstützt Anwendungen, die Identitätsverbund mit SAML 2.0 ermöglichen. Sie können IAM Identity Center aktivieren, damit diese Anwendungen mithilfe des benutzerdefinierten Anwendungsassistenten unterstützt werden.

F: Welche AWS-Konten kann ich mit dem IAM Identity Center verbinden?

Sie können jedes beliebige AWS-Konto, das per AWS Organizations verwaltet wird, zu IAM Identity Center hinzufügen. Um Single Sign-On für Ihre Konten zu verwalten, müssen Sie alle Funktionen in Ihren Organisationen aktivieren.

F: Wie richte ich Single Sign-On für AWS-Konten in einer Organisationseinheit (OU) innerhalb meiner Organisation ein?

Sie können Konten innerhalb der Organisation auswählen oder Konten nach der Organisationseinheit filtern.

F: Was ist vertrauenswürdige Identitätsverbreitung?

Die Weitergabe vertrauenswürdiger Identitäten basiert auf dem OAuth 2.0 Authorization Framework, das es Anwendungen ermöglicht, im Namen eines bestimmten Benutzers auf Daten und andere Ressourcen zuzugreifen, ohne die Anmeldeinformationen dieses Benutzers weiterzugeben. Diese Funktion von IAM Identity Center vereinfacht die Datenzugriffsverwaltung für Benutzer, die Prüfung und verbessert das Anmeldeerlebnis für Analytics-Benutzer in mehreren AWS-Analyseanwendungen.

F: Warum sollte ich vertrauenswürdige Identitätsverbreitung verwenden?

Ressourcen- und Datenbankadministratoren können den Zugriff auf ihre Ressourcen auf einer detaillierten Benutzer- und Gruppenmitgliedschaftsebene definieren. Prüfer können Benutzeraktionen in miteinander verbundenen Business Intelligence- und Datenanalyseanwendungen überprüfen. Benutzer von Business-Intelligence-Anwendungen können sich einmalig authentifizieren, um auf AWS-Datenquellen zuzugreifen. Vertrauenswürdige Identitätspropagation hilft Kunden dabei, die Anforderungen für den Zugriff auf Daten mit geringsten Rechten in Analyse-Workflows zu erfüllen, die mehrere Anwendungen und AWS-Services umfassen, wie Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena und AWS LakeFormation. 

F: Was sind die allgemeinen Anwendungsfälle für die Weitergabe vertrauenswürdiger Identitäten?

Trusted Identity Propagation wird hauptsächlich verwendet, um Business-Intelligence-Anwendungen (BI) in die Lage zu versetzen, AWS-Analyseservices wie Amazon Redshift oder Amazon Quicksight nach Daten abzufragen, die von Geschäftsanwendern mit einer einzigen Benutzeranmeldung über den bestehenden Identitätsanbieter des Kunden benötigt werden, während gleichzeitig die Identität des Benutzers gewahrt bleibt. Die Funktion unterstützt verschiedene Arten häufig verwendeter BI-Anwendungen und verwendet unterschiedliche Mechanismen, um die Identität des Benutzers zwischen Diensten zu übertragen.

F: Wie kontrolliere ich, welche Berechtigungen meine Benutzer erhalten, wenn sie IAM Identity Center für den Zugriff auf ihre Konten verwenden?

Beim Erteilen von Zugriff für Ihre Benutzer können Sie deren Zugriffsmöglichkeiten einschränken, indem Sie entsprechende Berechtigungen aus einem Berechtigungssatz auswählen. Berechtigungssätze sind eine Zusammenstellung von Berechtigungen, die Sie in IAM Identity Center erstellen können. Deren Gestaltung erfolgt nach AWS-verwalteten Richtlinien für bestimmte berufliche Funktionen oder nach beliebigen AWS-verwalteten Richtlinien. AWS-verwaltete Richtlinien für berufliche Funktionen sind so weit wie möglich für gängige berufliche Positionen in der IT-Branche ausgelegt. Falls erforderlich, können Sie den Berechtigungssatz vollständig an Ihre jeweiligen Sicherheitsanforderungen anpassen. IAM Identity Center wendet diese Berechtigungen automatisch auf die ausgewählten Konten an. Wenn Sie die Berechtigungssätze ändern, ermöglicht IAM Identity Center es Ihnen, die Änderungen problemlos für die entsprechenden Konten zu übernehmen. Wenn Ihre Benutzer über das AWS-Zugriffsportal auf die Konten zugreifen, schränken diese Berechtigungen ein, was für Aktionen die Benutzer innerhalb dieser Konten durchführen können. Sie können Ihren Benutzern auch mehrere Berechtigungssätze zuteilen. Beim Zugriff auf das Konto per Benutzerportal können Benutzer dann auswählen, welchen Berechtigungssatz sie für die jeweilige Sitzung übernehmen möchten.

F: Wie automatisiere ich die Berechtigungsverwaltung über mehrere Konten hinweg?

IAM Identity Center bietet Support von APIs und AWS CloudFormation, um die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten zu automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abzurufen.

F: Wie wähle ich die Benutzerattribute für die Verwendung von ABAC aus?

Zur Nutzung von ABAC können Sie Attribute aus dem Identitätsspeicher von IAM Identity Center für IAM-Identity-Center-Benutzer und andere Benutzer auswählen, die über Microsoft AD oder externe SAML 2.0-IdPs wie Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin oder PingFederate synchronisiert sind. Wenn ein IdP als Identitätsquelle verwendet wird, können Sie die Attribute optional als Teil einer SAML 2.0 Assertion übermitteln.

F: Für welche AWS-Konten erhalte ich Anmeldeinformationen für die AWS-CLI-Anmeldeinformationen?

Anmeldeinformationen für AWS CLI erhalten Sie für jedes AWS-Konto und alle Benutzerberechtigungen, die Ihnen Ihr IAM-Identity-Center-Administrator zugewiesen hat. Durch die CLI-Anmeldeinformationen erhalten Sie programmgesteuerten Zugriff auf Ihr AWS-Konto.

F: Wie lange sind die AWS-CLI-Anmeldeinformationen aus dem AWS-Zugangsportal gültig?

AWS CLI-Anmeldeinformationen aus dem IAM-Identity-Center sind 60 Minuten lang gültig. Neue Anmeldeinformationen können Sie jederzeit bei Bedarf anfordern.

F: Wie richte ich IAM Identity Center für Geschäftsanwendungen ein, wie zum Beispiel für Salesforce ein?

Navigieren Sie in der IAM-Identity-Center-Konsole in den Bereich „Applications“ (Anwendungen), wählen Sie „Configure new application“ (Neue Anwendung konfigurieren), und wählen Sie dann eine Anwendung in der Liste der Cloud-Anwendungen aus, die bereits mit IAM Identity Center integriert sind. Folgen Sie beim Konfigurieren der Anwendung den eingeblendeten Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und klicken Sie dann auf „Assign Access“ (Zugriff zuweisen), um den Vorgang abzuschließen.

F: In meinem Unternehmen werden Geschäftsanwendungen eingesetzt, die in der Liste der in IAM Identity Center vorab integrierten Anwendungen nicht aufgeführt sind. Kann ich dennoch IAM Identity Center verwenden?

Ja. Wenn Ihre Anwendung SAML 2.0 unterstützt, können Sie sie als benutzerdefinierte SAML 2.0-Anwendung konfigurieren. Navigieren Sie in der IAM-Identity-Center-Konsole in den Bereich "Applications" (Anwendungen), wählen Sie "Configure new application" (Neue Anwendung konfigurieren) aus, und wählen Sie dann "Custom SAML 2.0 application" (Benutzerdefinierte SAML 2.0-Anwendung) aus. Folgen Sie beim Konfigurieren der Anwendung den Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und wählen Sie dann "Assign Access" (Zugriff zuweisen) aus, um den Vorgang abzuschließen.

F: Meine Anwendung unterstützt nur OpenID Connect (OIDC). Kann ich es mit IAM Identity Center verwenden?

Nein. IAM Identity Center unterstützt nur SAML-2.0-basierte Anwendungen.

F: Unterstützt IAM Identity Center Single-Sign-On für herkömmliche mobile und Desktop-Anwendungen?

Nein. IAM Identity Center unterstützt Single Sign-On nur für Geschäftsanwendungen, auf die über einen Webbrowser zugegriffen wird.

F: Welche Daten speichert IAM Identity Center in meinem Namen?

IAM Identity Center wird Daten darüber speichern, welche AWS-Konten und Cloud-Anwendungen welchen Benutzern und Gruppen zugewiesen sind und was für Berechtigungen für den Zugriff auf AWS-Konten erteilt wurden. Außerdem wird IAM Identity Center auch IAM-Rollen in individuellen AWS-Konten für jeden Berechtigungssatz erstellen, mit dem Sie Ihren Benutzern Zugriff erteilen.

F: Welche Multi-Faktor-Authentifizierungs-Funktionen (MFA) kann ich mit IAM Identity Center verwenden?

Dank IAM Identity Center können Sie auf Standards basierte starke Authentifizierungsfunktionen für alle Ihre Benutzer übergreifend über alle Identitätsquellen aktivieren. Wenn Sie einen unterstützten SAML 2.0-IdP als Identitätsquelle verwenden, können sie die Multi-Faktor-Authentifizierung Ihres Anbieters aktivieren. Falls Sie IAM Identity Center oder Active Directory als Identitätsquelle verwenden, unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung, um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren.

Sie haben auch die Möglichkeit, Ihre vorhandene MFA-Konfiguration für den Remote Authentication Dial-In User Service (RADIUS) mit IAM Identity Center und AWS Directory Services zur Authentifizierung Ihrer Benutzer als sekundäre Verifizierungsmaßnahme zu nutzen. Weitere Informationen zur Konfiguration von MFA mit IAM Identity Center finden Sie im IAM Identity Center Benutzerhandbuch.

F: Unterstützt IAM Identity Center die Webauthentifizierungsspezifikation?

Ja. Für Benutzeridentitäten im Identitätsspeicher von IAM Identity Center und Active Directory unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung (WebAuthn), um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren.

F: Was müssen meine Mitarbeiter als Erstes mit IAM Identity Center machen?

Als Erstes besuchen Ihre Mitarbeiter das IAM-Identity-Center-Benutzerportal, das generiert wird, wenn Sie Ihre Identitätsquelle in IAM Identity Center konfigurieren. Wenn Sie Ihre Benutzer in IAM Identity Center verwalten, können Ihre Mitarbeiter ihre E-Mail-Adresse und ihr Kennwort, die sie mit IAM Identity Center konfiguriert haben, verwenden, um sich beim Benutzerportal anzumelden. Wenn Sie IAM Identity Center mit einem Microsoft Active Directory oder einem SAML 2.0 Identitätsanbieter verbinden, können sich Ihre Mitarbeiter mit ihren bestehenden Unternehmens-Anmeldeinformationen anmelden. Anschließend können sie die Konten und Anwendungen anzeigen, die ihnen zugewiesen sind. Um auf ein Konto oder eine Anwendung zuzugreifen, klicken Ihre Mitarbeiter dann auf das zugehörige Symbol im IAM-Identity-Center-Benutzerportal.

F: Gibt es eine API für IAM Identity Center?

Ja. IAM Identity Center bietet Kontenzuweisungs-APIs mit denen Sie die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abrufen können.