Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM Identity Center aktivieren
<a name="enable-identity-center"></a>

Wenn Sie IAM Identity Center aktivieren, wählen Sie einen AWS IAM Identity Center Instanztyp aus, den Sie aktivieren möchten. Eine Instanz eines Dienstes ist eine einzelne Bereitstellung eines Dienstes in Ihrer AWS Umgebung. Für IAM Identity Center sind zwei Arten von Instanzen verfügbar: Organisationsinstanzen und Kontoinstanzen. Welche Instance-Typen Sie aktivieren können, hängt vom Kontotyp ab, bei dem Sie angemeldet sind.

In der folgenden Liste sind die Typen der IAM Identity Center-Instanzen aufgeführt, die Sie für jeden Typ aktivieren können: AWS-Konto
+ **Ihr AWS Organizations Verwaltungskonto (empfohlen)** — Erforderlich, um eine [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center zu erstellen. Verwenden Sie eine Organisationsinstanz für Berechtigungen für mehrere Konten und Anwendungszuweisungen im gesamten Unternehmen. Sie können diesen Instanztyp in weitere Regionen replizieren, um die Stabilität des Kontozugriffs und die Flexibilität bei der Auswahl der Regionen für die AWS Anwendungsbereitstellung zu erhöhen.
+ **Ihr AWS Organizations Mitgliedskonto** — Verwenden Sie es, um eine [Kontoinstanz](account-instances-identity-center.md) von IAM Identity Center zu erstellen, um Anwendungszuweisungen innerhalb dieses Mitgliedskontos zu ermöglichen. In einer Organisation können ein oder mehrere Konten mit einer Instanz auf Mitgliedsebene existieren.
+ **Eigenständig AWS-Konto** — Wird verwendet, um eine [Organisations- oder [Kontoinstanz](account-instances-identity-center.md)](organization-instances-identity-center.md) von IAM Identity Center zu erstellen. Die Standalone-Version wird AWS-Konto nicht von AWS Organizations verwaltet. Sie können einer eigenständigen Instanz nur eine Instanz von IAM Identity Center zuordnen AWS-Konto und diese Instanz für Anwendungszuweisungen innerhalb dieser eigenständigen AWS-Konto Instanz verwenden.

**Wichtig**  
Das Organisationsverwaltungskonto kann mithilfe einer Service Control-Richtlinie steuern, ob [Mitgliedskonten der Organisation Kontoinstanzen von IAM Identity Center erstellen können](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).  
Wenn Sie ein Konto mit einem kostenlosen Kontingent verwenden, wird Ihr Konto bei der Erstellung einer AWS Organisation automatisch auf einen kostenpflichtigen Tarif mit pay-as-you-go Preisgestaltung aktualisiert. Ihr Guthaben für das kostenlose Kontingent läuft sofort ab. Weitere Informationen finden Sie unter [Kostenloses Kontingent für AWS FAQs](https://aws.amazon.com/free/free-tier-faqs/).

Einen Vergleich der verschiedenen Funktionen der verschiedenen Instance-Typen finden Sie unter[Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).

Bevor Sie IAM Identity Center aktivieren, empfehlen wir Ihnen, die [Voraussetzungen und Überlegungen zu IAM Identity Center](identity-center-prerequisites.md) zu lesen.

## Um eine Instanz von IAM Identity Center zu aktivieren
<a name="to-enable-identity-center-instance"></a>

Wählen Sie die Registerkarte für den Typ der IAM Identity Center-Instanz, die Sie aktivieren möchten, entweder eine Organisations- oder eine Kontoinstanz:

------
#### [ Organization (recommended) ]

1. Führen Sie einen der folgenden Schritte aus, um sich bei der AWS-Managementkonsole anzumelden.
   + **Neu bei AWS (Root-Benutzer)** — Melden Sie sich als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
   + **Verwenden Sie AWS bereits eine eigenständige Version AWS-Konto (IAM-Anmeldeinformationen)** — Melden Sie sich mit Ihren IAM-Anmeldeinformationen und Administratorrechten an.
   + **Verwenden Sie bereits AWS Organizations (IAM-Anmeldeinformationen)** — Melden Sie sich mit den Anmeldeinformationen Ihres Verwaltungskontos an.

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. (Optional) Wenn Sie anstelle des standardmäßigen AWS verwalteten Schlüssels einen vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung im Ruhezustand verwenden möchten, konfigurieren Sie den vom Kunden verwalteten Schlüssel im Abschnitt **Schlüssel zur Verschlüsselung von IAM Identity Center-Daten im** Ruhezustand. Weitere Informationen finden Sie unter [Implementierung von vom Kunden verwalteten KMS-Schlüsseln in AWS IAM Identity Center](identity-center-customer-managed-keys.md).
**Wichtig**  
Führen Sie diesen Schritt nur aus, wenn Sie die erforderlichen Berechtigungen für die Verwendung des kundenverwalteten KMS-Schlüssels konfiguriert haben. Ohne die entsprechenden Berechtigungen kann dieser Schritt fehlschlagen oder die Verwaltung von IAM Identity Center und die AWS verwalteten Anwendungen unterbrechen.

1. Wählen Sie unter **IAM Identity Center aktivieren** die Option **Aktivieren** aus.

1. Überprüfen Sie auf der AWS Organizations Seite „**IAM Identity Center aktivieren mit**“ die Informationen und wählen Sie dann **Aktivieren** aus, um den Vorgang abzuschließen. 
**Anmerkung**  
AWS Organizations kann IAM Identity Center nur in einer einzigen AWS Region aktiviert haben. Wenn Sie nach der Aktivierung von IAM Identity Center die Region ändern möchten, in der IAM Identity Center aktiviert ist, müssen Sie die aktuelle Instanz [löschen](delete-config.md) und eine Instanz in der anderen Region erstellen. 

Wir empfehlen Ihnen, nach der Aktivierung Ihrer Organisationsinstanz die folgenden Schritte durchzuführen, um die Einrichtung Ihrer Umgebung abzuschließen:
+ Vergewissern Sie sich, dass Sie die Identitätsquelle Ihrer Wahl verwenden. Wenn Ihnen bereits eine Identitätsquelle zugewiesen wurde, können Sie diese weiterhin verwenden. Weitere Informationen finden Sie unter [Bestätigen Ihrer Identitätsquellen in IAM Identity Center](confirm-identity-source.md).
+ Registrieren Sie ein Mitgliedskonto als delegierter Administrator. Weitere Informationen finden Sie unter [Delegierte Verwaltung](delegated-admin.md).
+ Das IAM Identity Center bietet Ihnen ein Zugriffsportal zu AWS Ressourcen. Informationen zum Filtern des Zugriffs auf bestimmte AWS Domänen oder URL-Endpunkte mithilfe einer Lösung zur Filterung von Webinhalten wie Firewalls der nächsten Generation (NGFW) oder Secure Web Gateways (SWG) finden Sie unter. [Aktualisieren Sie Firewalls und Gateways, um den Zugriff auf die AWS-Zugangsportal](enable-identity-center-portal-access.md)

------
#### [ Account ]

1. Gehen Sie wie folgt vor, um sich bei der anzumelden AWS-Managementkonsole.
   + **Neu bei AWS (Root-Benutzer)** — Melden Sie sich als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
   + **Verwenden Sie bereits AWS (IAM-Anmeldeinformationen)** — Melden Sie sich mit Ihren IAM-Anmeldeinformationen mit Administratorrechten an.
   + **Verwenden Sie bereits AWS Organizations (IAM-Anmeldeinformationen)** — Melden Sie sich mit den Administratordaten Ihres Mitgliedskontos an.

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. **Wenn Sie neu bei IAM Identity Center sind AWS oder über ein eigenständiges System verfügen AWS-Konto, wählen Sie unter **IAM Identity Center aktivieren** die Option Aktivieren aus.**

   Die Seite „**IAM Identity Center aktivieren mit AWS Organizations**“ wird angezeigt. Wir empfehlen diese Option, sie ist jedoch nicht erforderlich.

   Wählen Sie den Link **Kontoinstanz von IAM Identity Center aktivieren** aus.

1. Wenn Sie Administrator eines AWS Organizations Mitgliedskontos sind, wählen Sie unter **Eine Kontoinstanz von IAM Identity Center aktivieren** die **Option Kontoinstanz aktivieren** aus.

1. Überprüfen Sie auf der Seite **Eine Kontoinstanz von IAM Identity Center aktivieren** die Informationen und fügen Sie *optional* Tags hinzu, die Sie dieser Kontoinstanz zuordnen möchten. Wählen Sie dann **Aktivieren** aus, um den Vorgang abzuschließen.
**Anmerkung**  
Wenn Ihr AWS Konto Mitglied einer Organisation ist, sind Ihre Möglichkeiten, eine Kontoinstanz von IAM Identity Center zu aktivieren, möglicherweise eingeschränkt.  
Wenn Ihre Organisation IAM Identity Center vor dem 15. November 2023 aktiviert hat, ist die Möglichkeit für Mitgliedskonten, Kontoinstanzen zu erstellen, standardmäßig deaktiviert und muss durch das Verwaltungskonto der Organisation aktiviert werden.
Wenn Ihre Organisation IAM Identity Center nach dem 15. November 2023 aktiviert hat, ist die Möglichkeit für Mitgliedskonten, Kontoinstanzen zu erstellen, standardmäßig aktiviert. Richtlinien zur Dienststeuerung können jedoch verwendet werden, um die Erstellung von Kontoinstanzen von IAM Identity Center innerhalb einer Organisation zu verhindern. 
Weitere Informationen erhalten Sie unter [Erlauben Sie die Erstellung von Kontoinstanzen in Mitgliedskonten](enable-account-instance-console.md) und [Verwenden Sie Service Control-Richtlinien, um die Erstellung von Kontoinstanzen zu steuern](control-account-instance.md).

------

# Bestätigen Ihrer Identitätsquellen in IAM Identity Center
<a name="confirm-identity-source"></a>

Ihre Identitätsquelle in IAM Identity Center definiert, wo Ihre Benutzer und Gruppen verwaltet werden. Nachdem Sie IAM Identity Center aktiviert haben, stellen Sie sicher, dass Sie die Identitätsquelle Ihrer Wahl verwenden. Wenn Ihnen bereits eine Identitätsquelle zugewiesen wurde, können Sie diese weiterhin verwenden. 

Wenn Sie bereits Benutzer und Gruppen in Active Directory oder einem externen IdP verwalten, empfehlen wir Ihnen, eine Verbindung zu dieser Identitätsquelle in Betracht zu ziehen, wenn Sie IAM Identity Center aktivieren und Ihre Identitätsquelle auswählen. Dies sollte geschehen, bevor Sie Benutzer und Gruppen im Identity Center-Standardverzeichnis erstellen und Zuweisungen vornehmen.

 Wenn Sie bereits Benutzer und Gruppen in einer Identitätsquelle in IAM Identity Center verwalten, werden durch den Wechsel zu einer anderen Identitätsquelle möglicherweise alle Benutzer- und Gruppenzuweisungen entfernt, die Sie in IAM Identity Center konfiguriert haben. In diesem Fall verlieren alle Benutzer, einschließlich des Administratorbenutzers in IAM Identity Center, den Single Sign-On-Zugriff auf ihre Anwendungen. AWS-Konten Weitere Informationen finden Sie unter [Überlegungen zur Änderung Ihrer Identitätsquelle](manage-your-identity-source-considerations.md).

**Um Ihre Identitätsquelle zu bestätigen**

1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).

1. Wählen Sie auf der **Dashboard-Seite** unter dem Abschnitt **Empfohlene Einrichtungsschritte** die Option **Bestätigen Sie Ihre Identitätsquelle** aus. Sie können diese Seite auch aufrufen, indem Sie **Einstellungen** und dann die Registerkarte **Identitätsquelle** auswählen.

1. Es gibt keine Aktion, wenn Sie Ihre zugewiesene Identitätsquelle behalten möchten. Wenn Sie es vorziehen, sie zu ändern, wählen Sie **Aktionen** und dann **Identitätsquelle ändern** aus.

Sie können eine der folgenden Optionen als Identitätsquelle wählen: 

**Identity-Center-Verzeichnis**  
Wenn Sie IAM Identity Center zum ersten Mal aktivieren, wird es automatisch mit einem Identity Center-Verzeichnis als Standard-Identitätsquelle konfiguriert. Wenn Sie noch keinen anderen externen Identitätsanbieter verwenden, können Sie damit beginnen, Ihre Benutzer und Gruppen zu erstellen und deren Zugriffsebene Ihren Anwendungen AWS-Konten und Anwendungen zuzuweisen. Ein Tutorial zur Verwendung dieser Identitätsquelle finden Sie unter[Benutzerzugriff mit dem standardmäßigen IAM Identity Center-Verzeichnis konfigurieren](quick-start-default-idc.md).

**Active Directory**  
Wenn Sie bereits Benutzer und Gruppen in Ihrem AWS Managed Microsoft AD Verzeichnis verwalten, das Sie Directory Service oder Ihr selbstverwaltetes Verzeichnis in verwenden, empfehlen wirActive Directory (AD), dass Sie dieses Verzeichnis verbinden, wenn Sie IAM Identity Center aktivieren. Erstellen Sie keine Benutzer und Gruppen im standardmäßigen Identity Center-Verzeichnis. IAM Identity Center verwendet die von der bereitgestellte Verbindung, AWS Directory Service um Benutzer-, Gruppen- und Mitgliedschaftsinformationen aus Ihrem Quellverzeichnis in Active Directory mit dem IAM Identity Center-Identitätsspeicher zu synchronisieren. Weitere Informationen finden Sie unter [Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).  
IAM Identity Center unterstützt SAMBA4 basiertes Simple AD nicht als Identitätsquelle.

**Externer Identitätsanbieter**  
Für externe Identitätsanbieter (IdPs) wie Okta oder können Sie IAM Identity Center verwendenMicrosoft Entra ID, um Identitäten IdPs anhand des Security Assertion Markup Language (SAML) 2.0-Standards zu authentifizieren. Das SAML-Protokoll bietet keine Möglichkeit, den IdP abzufragen, um mehr über Benutzer und Gruppen zu erfahren. Sie machen IAM Identity Center auf diese Benutzer und Gruppen aufmerksam, indem Sie sie in IAM Identity Center bereitstellen. Sie können die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Ihrem IdP in IAM Identity Center mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0 durchführen, wenn Ihr IdP SCIM unterstützt. Andernfalls können Sie Ihre Benutzer und Gruppen manuell bereitstellen, indem Sie die Benutzernamen, die E-Mail-Adresse und die Gruppen manuell in IAM Identity Center eingeben.  
Eine ausführliche Anleitung zur Einrichtung Ihrer Identitätsquelle finden Sie unter[Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md).  
Wenn Sie planen, einen externen Identitätsanbieter zu verwenden, beachten Sie, dass der externe IdP und nicht IAM Identity Center die Einstellungen für die Multi-Faktor-Authentifizierung (MFA) verwaltet. MFA in IAM Identity Center wird für die Verwendung durch externe Identitätsanbieter nicht unterstützt. Weitere Informationen finden Sie unter [Benutzer zur MFA auffordern](mfa-getting-started.md).

**Anmerkung**  
Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, müssen Sie einen externen Identitätsanbieter konfigurieren. Weitere Informationen, einschließlich der Voraussetzungen, finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md)

# Aktualisieren Sie Firewalls und Gateways, um den Zugriff auf die AWS-Zugangsportal
<a name="enable-identity-center-portal-access"></a>

Das AWS Zugriffsportal bietet Benutzern Single Sign-On-Zugriff auf all Ihre AWS-Konten und die am häufigsten verwendeten Cloud-Anwendungen wie Office 365, Concur, Salesforce und viele mehr. Sie können schnell mehrere Anwendungen starten, indem Sie einfach das Anwendungssymbol AWS-Konto oder im Portal auswählen. 

**Anmerkung**  
AWS verwaltete Anwendungen lassen sich in IAM Identity Center integrieren und verwenden es für Authentifizierungs- und Verzeichnisdienste, verwenden jedoch möglicherweise nicht das AWS Zugriffsportal für den Anwendungszugriff.

Wenn Sie den Zugriff auf bestimmte AWS Domänen oder URL-Endpunkte mithilfe einer Lösung zur Filterung von Webinhalten wie Firewalls der nächsten Generation (NGFW) oder Secure Web Gateways (SWG) filtern, müssen Sie die Domänen und URL-Endpunkte, die dem Zugriffsportal zugeordnet sind, auf eine Zulassungsliste setzen. AWS 

Die folgende Liste enthält die Dual-Stack-Domänen IPv4 und URL-Endpunkte, die Sie zu den Zulassungslisten Ihrer Lösung zur Filterung von Webinhalten hinzufügen können.

**IPv4 Liste „Zulassen“**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**Dual-Stack-Zulassungsliste**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**Kombinierte Zulassungsliste (IPv4 \$1 Dual-Stack mit Abwärtskompatibilität)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## Überlegungen zur Zulassung von Domains und URL-Endpunkten
<a name="allowlist-considerations"></a>

Zusätzlich zu den Zulassungslistenanforderungen für das AWS Zugriffsportal ist für die anderen Dienste und Anwendungen, die Sie verwenden, möglicherweise eine Zulassung von Domänen erforderlich. 
+ Um von Ihrem AWS-Konten Zugriffsportal aus auf die IAM Identity Center-Konsole und die IAM Identity Center-Konsole AWS zugreifen zu können, müssen Sie zusätzliche Domänen zulassen. AWS-Managementkonsole Eine Liste der Domänen finden Sie im *Handbuch AWS-Managementkonsole Erste Schritte* unter [Problembehandlung](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html). AWS-Managementkonsole 
+ Um von Ihrem Zugriffsportal aus auf AWS verwaltete Anwendungen AWS zuzugreifen, müssen Sie die entsprechenden Domänen zulassen. Weitere Informationen finden Sie in der jeweiligen Servicedokumentation. 
+ Wenn Sie externe Software verwenden, z. B. externe Software IdPs (z. B. Okta undMicrosoft Entra ID), müssen Sie deren Domänen in Ihre Zulassungslisten aufnehmen.