Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration von SAML und SCIM mit einem IAM Microsoft Entra ID Identity Center
AWS IAM Identity Center unterstützt die Integration mit [Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md) sowie die [automatische Bereitstellung](provision-automatically.md) (Synchronisation) von Benutzer- und Gruppeninformationen aus Microsoft Entra ID (früher bekannt als Azure Active Directory oder) in IAM Identity Center mithilfe des [Systems for](scim-profile-saml.md#scim-profile) Cross-Domain Identity Management (SCIMAzure AD) 2.0-Protokoll. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
**Zielsetzung**
In diesem Tutorial richten Sie ein Testlabor ein und konfigurieren eine SAML-Verbindung und SCIM-Bereitstellung zwischen dem IAM Identity Microsoft Entra ID Center. Während der ersten Vorbereitungsschritte erstellen Sie sowohl in IAM Identity Center als auch in IAM Identity Center einen Testbenutzer (Nikki Wolf), mit dem Sie die SAML-Verbindung in beide Microsoft Entra ID Richtungen testen können. Später, im Rahmen der SCIM-Schritte, erstellen Sie einen anderen Testbenutzer (Richard Roe), um zu überprüfen, ob neue Attribute erwartungsgemäß mit IAM Microsoft Entra ID Identity Center synchronisiert werden.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie zunächst Folgendes einrichten:
+ Ein Microsoft Entra ID Mieter. Weitere Informationen finden Sie in der Microsoft Dokumentation unter [Schnellstart: Einen Mandanten einrichten](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant).
+ Ein AWS IAM Identity Center-aktiviertes Konto. Weitere Informationen finden Sie unter [Aktivieren von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) im *AWS IAM Identity Center Benutzerhandbuch*.
## Überlegungen
Im Folgenden finden Sie wichtige ÜberlegungenMicrosoft Entra ID, die sich darauf auswirken können, wie Sie die [automatische Bereitstellung](provision-automatically.md) mit IAM Identity Center in Ihrer Produktionsumgebung mithilfe des SCIM v2-Protokolls implementieren möchten.
**Automatische Bereitstellung**
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, dies zunächst zu überprüfen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)
**Attribute für die Zugriffskontrolle**
Attribute für die Zugriffskontrolle werden in Berechtigungsrichtlinien verwendet, die festlegen, wer in Ihrer Identitätsquelle auf Ihre AWS Ressourcen zugreifen kann. Wenn ein Attribut von einem Benutzer in entfernt wirdMicrosoft Entra ID, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung inMicrosoft Entra ID. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.
**Verschachtelte Gruppen**
Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in verschachtelten Gruppen nicht lesen oder bereitstellen. Nur Benutzer, die unmittelbare Mitglieder einer explizit zugewiesenen Gruppe sind, können gelesen und Zugriffsberechtigungen zugewiesen werden. Microsoft Entra IDentpackt nicht rekursiv die Gruppenmitgliedschaften indirekt zugewiesener Benutzer oder Gruppen (Benutzer oder Gruppen, die Mitglieder einer direkt zugewiesenen Gruppe sind). Weitere Informationen finden Sie in der Dokumentation unter [Zuweisungsbasiertes Scoping](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping). Microsoft Alternativ können Sie die [konfigurierbare AD-Synchronisierung von IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) verwenden, um Active Directory Gruppen in IAM Identity Center zu integrieren.
**Dynamische Gruppen**
Der Microsoft Entra ID Benutzerbereitstellungsdienst kann Benutzer in [dynamischen Gruppen](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule) lesen und bereitstellen. Im Folgenden finden Sie ein Beispiel, das die Benutzer- und Gruppenstruktur bei der Verwendung dynamischer Gruppen und deren Anzeige im IAM Identity Center zeigt. Diese Benutzer und Gruppen wurden über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt
Wenn die Microsoft Entra ID Struktur für dynamische Gruppen beispielsweise wie folgt aussieht:
1. Gruppe A mit den Mitgliedern ua1, ua2
1. Gruppe B mit Mitgliedern ub1
1. Gruppe C mit Mitgliedern uc1
1. Gruppe K mit der Regel, Mitglieder der Gruppe A, B, C einzubeziehen
1. Gruppe L mit einer Regel, die Mitglieder der Gruppen B und C einschließt
Nachdem die Benutzer- und Gruppeninformationen über SCIM aus dem Microsoft Entra ID IAM Identity Center bereitgestellt wurden, sieht die Struktur wie folgt aus:
1. Gruppe A mit den Mitgliedern ua1, ua2
1. Gruppe B mit Mitgliedern ub1
1. Gruppe C mit Mitgliedern uc1
1. Gruppe K mit den Mitgliedern ua1, ua2, ub1, uc1
1. Gruppe L mit den Mitgliedern ub1, uc1
Beachten Sie bei der Konfiguration der automatischen Bereitstellung mithilfe dynamischer Gruppen die folgenden Überlegungen.
+ Eine dynamische Gruppe kann eine verschachtelte Gruppe enthalten. Der Microsoft Entra ID Provisioning Service reduziert die verschachtelte Gruppe jedoch nicht. Wenn Sie beispielsweise die folgende Microsoft Entra ID Struktur für dynamische Gruppen haben:
+ Gruppe A ist der Gruppe B übergeordnet.
+ Gruppe A hat ua1 als Mitglied.
+ Gruppe B hat ub1 als Mitglied.
Die dynamische Gruppe, zu der Gruppe A gehört, umfasst nur die direkten Mitglieder der Gruppe A (d. h. ua1). Sie schließt nicht rekursiv Mitglieder der Gruppe B ein.
+ Dynamische Gruppen können keine anderen dynamischen Gruppen enthalten. Weitere Informationen finden Sie in der Microsoft Dokumentation unter [Einschränkungen der Vorschauversion](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations).
## Schritt 1: Bereiten Sie Ihren Microsoft-Mandanten vor
In diesem Schritt erfahren Sie, wie Sie Ihre AWS IAM Identity Center Unternehmensanwendung installieren und konfigurieren und einem neu erstellten Microsoft Entra ID Testbenutzer Zugriff zuweisen.
------
#### [ Step 1.1 > ]
**Schritt 1.1: Richten Sie die AWS IAM Identity Center Unternehmensanwendung ein in Microsoft Entra ID**
In diesem Verfahren installieren Sie die AWS IAM Identity Center Unternehmensanwendung inMicrosoft Entra ID. Sie benötigen diese Anwendung später, um Ihre SAML-Verbindung mit AWS zu konfigurieren.
1. Melden Sie sich mindestens als [Cloud-Anwendungsadministrator im Microsoft Entra Admin Center](https://entra.microsoft.com/) an.
1. Navigieren Sie zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie dann **Neue Anwendung** aus.
1. Geben Sie auf der Seite **Microsoft Entra Gallery durchsuchen ****AWS IAM Identity Center******in das Suchfeld ein.
1. Wählen Sie **AWS IAM Identity Center**aus den Ergebnissen aus.
1. Wählen Sie **Erstellen** aus.
------
#### [ Step 1.2 > ]
**Schritt 1.2: Erstellen Sie einen Testbenutzer in Microsoft Entra ID**
Nikki Wolf ist der Name Ihres Microsoft Entra ID Testbenutzers, den Sie in diesem Verfahren erstellen werden.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Benutzer > Alle Benutzer**.
1. Wählen Sie **Neuer Benutzer** und dann oben auf dem Bildschirm **Neuen Benutzer erstellen** aus.
1. Geben Sie ****NikkiWolf****im Feld **Benutzerprinzipalname** Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel *NikkiWolf*@*example.org*.
1. Geben Sie im Feld **Anzeigename** den Wert ein ****NikkiWolf****.
1. Geben Sie unter **Passwort** ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.
1. Wählen Sie **Eigenschaften** und geben Sie im Feld **Vorname den** Text ein ****Nikki****. Geben Sie im Feld **Nachname** den Wert ein ****Wolf****.
1. Wählen Sie **Überprüfen \$1 Erstellen** und dann **Erstellen** aus.
------
#### [ Step 1.3 ]
**Schritt 1.3: Testen Sie Nikkis Erfahrung, bevor Sie ihr die Berechtigungen zuweisen AWS IAM Identity Center**
In diesem Verfahren überprüfen Sie, was Nikki erfolgreich in ihrem Microsoft [My Account-Portal](https://myaccount.microsoft.com/) anmelden kann.
1. Öffnen Sie im selben Browser eine neue Registerkarte, rufen Sie die Anmeldeseite des [Portals Mein Konto](https://myaccount.microsoft.com/) auf und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel @. *NikkiWolf**example.org*
1. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann **Anmelden**. Wenn es sich um ein automatisch generiertes Passwort handelt, werden Sie aufgefordert, das Passwort zu ändern.
1. Wählen Sie auf der Seite **Aktion erforderlich** die Option **Später fragen** aus, um die Aufforderung zur Angabe zusätzlicher Sicherheitsmethoden zu umgehen.
1. Wählen Sie auf der Seite **Mein Konto** im linken Navigationsbereich **Meine Apps** aus. Beachten Sie, dass außer **Add-ins** derzeit keine Apps angezeigt werden. Sie werden eine **AWS IAM Identity Center**App hinzufügen, die in einem späteren Schritt hier angezeigt wird.
------
#### [ Step 1.4 ]
**Schritt 1.4: Weisen Sie Nikki Berechtigungen zu in Microsoft Entra ID**
Nachdem Sie nun verifiziert haben, dass Nikki erfolgreich auf das **Portal Mein Konto zugreifen kann, gehen** Sie wie folgt vor, um ihren Benutzer der **AWS IAM Identity Center**App zuzuweisen.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie dann **AWS IAM Identity Center**aus der Liste aus.
1. Wählen Sie auf der linken Seite **Benutzer und Gruppen** aus.
1. Wählen Sie **Add user/group** (Benutzer/Gruppe hinzufügen) aus. Sie können die Meldung ignorieren, dass Gruppen nicht zugewiesen werden können. In diesem Tutorial werden keine Gruppen für Aufgaben verwendet.
1. Wählen Sie auf der Seite **Zuweisung hinzufügen** unter **Benutzer** die Option **Keine ausgewählt** aus.
1. Wählen Sie **NikkiWolf**und wählen Sie dann **Auswählen aus**.
1. Wählen Sie auf der Seite „**Zuweisung hinzufügen**“ die Option „**Zuweisen**“. NikkiWolf erscheint jetzt in der Liste der Benutzer, die der **AWS IAM Identity Center**App zugewiesen sind.
------
## Schritt 2: Bereiten Sie Ihr AWS Konto vor
In diesem Schritt erfahren Sie, wie Sie Zugriffsberechtigungen (über einen Berechtigungssatz) konfigurieren, manuell einen entsprechenden Nikki Wolf-Benutzer erstellen und ihr die erforderlichen Berechtigungen für die Verwaltung von Ressourcen in zuweisen. **IAM Identity Center** AWS
------
#### [ Step 2.1 > ]
**Schritt 2.1: Erstellen Sie einen RegionalAdmin Berechtigungssatz in IAM Identity Center**
Dieser Berechtigungssatz wird verwendet, um Nikki die erforderlichen AWS Kontoberechtigungen zu gewähren, die für die Verwaltung von Regionen auf der **Kontoseite** innerhalb von erforderlich sind. AWS-Managementkonsole Alle anderen Berechtigungen zum Anzeigen oder Verwalten anderer Informationen für Nikkis Konto sind standardmäßig verweigert.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wähle unter Berechtigungen für **mehrere Konten die Option **Berechtigungssätze**** aus.
1. Wählen Sie **Create permission set (Berechtigungssatz erstellen)** aus.
1. **Wählen Sie auf der Seite Berechtigungssatztyp** auswählen die Option **Benutzerdefinierter Berechtigungssatz** und dann **Weiter** aus.
1. Wählen Sie **Inline-Richtlinie** aus, um sie zu erweitern, und erstellen Sie dann mithilfe der folgenden Schritte eine Richtlinie für den Berechtigungssatz:
1. Wählen Sie **Neue Erklärung hinzufügen**, um eine Richtlinienerklärung zu erstellen.
1. Wählen Sie unter **Kontoauszug bearbeiten** die Option **Konto** aus der Liste aus und aktivieren Sie dann die folgenden Kontrollkästchen.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Wählen Sie neben **Eine Ressource hinzufügen** die Option **Hinzufügen** aus.
1. Wählen Sie auf der Seite **Ressource hinzufügen** unter **Ressourcentyp** die Option **Alle Ressourcen** und dann **Ressource hinzufügen** aus. Vergewissern Sie sich, dass Ihre Richtlinie wie folgt aussieht:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Details zum Berechtigungssatz angeben** unter **Name des Berechtigungssatzes** die Eingabe ein ****RegionalAdmin****, und wählen Sie dann **Weiter** aus.
1. Wählen Sie auf der Seite **Überprüfen und erstellen** die Option **Erstellen** aus. In der Liste der Berechtigungssätze sollte diese Option **RegionalAdmin**angezeigt werden.
------
#### [ Step 2.2 > ]
**Schritt 2.2: Erstellen Sie einen entsprechenden NikkiWolf Benutzer in IAM Identity Center**
Da das SAML-Protokoll keinen Mechanismus bietet, um den IdP (Microsoft Entra ID) abzufragen und Benutzer hier in IAM Identity Center automatisch zu erstellen, gehen Sie wie folgt vor, um manuell einen Benutzer in IAM Identity Center zu erstellen, der die Kernattribute von Nikki Wolfs Benutzer in widerspiegelt. Microsoft Entra ID
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Benutzer** aus, wählen Sie **Benutzer hinzufügen** und geben Sie dann die folgenden Informationen ein:
1. Sowohl für den **Benutzernamen** als auch für die **E-Mail-Adresse** — Geben Sie dasselbe ****NikkiWolf**@** ein*yourcompanydomain.extension*, das Sie bei der Erstellung Ihres Microsoft Entra ID Benutzers verwendet haben. Zum Beispiel *NikkiWolf*@*example.org*.
1. **E-Mail-Adresse bestätigen** — Geben Sie die E-Mail-Adresse aus dem vorherigen Schritt erneut ein
1. **Vorname — Geben Sie** ein ****Nikki****
1. **Nachname** — Geben Sie ein ****Wolf****
1. **Anzeigename** — Geben Sie ein ****Nikki Wolf****
1. Wählen Sie zweimal „**Weiter**“ und anschließend „**Benutzer hinzufügen**“.
1. Klicken Sie auf **Schließen**.
------
#### [ Step 2.3 ]
**Schritt 2.3: Weisen Sie Nikki den in festgelegten RegionalAdmin Berechtigungen zu IAM Identity Center**
Hier finden Sie die Regionen, AWS-Konto in denen Nikki die Regionen verwalten wird, und weisen ihr dann die erforderlichen Berechtigungen zu, damit sie erfolgreich auf das AWS Zugriffsportal zugreifen kann.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Markiere das Kästchen neben dem Kontonamen (zum Beispiel*Sandbox*), für den du Nikki Zugriff auf die Verwaltung von Regionen gewähren möchtest, und wähle dann **Benutzer und Gruppen zuweisen** aus.
1. **Wähle auf der Seite „**Benutzer und Gruppen zuweisen**“ den Tab „**Benutzer**“, suche das Kästchen neben Nikki, markiere es und wähle dann Weiter aus.**
1.
**Example**
1. Überprüfen Sie auf der Seite **Überprüfen und abschicken** Ihre Auswahl und wählen Sie dann **Senden** aus.
------
## Schritt 3: Konfigurieren und testen Sie Ihre SAML-Verbindung
In diesem Schritt konfigurieren Sie Ihre SAML-Verbindung mithilfe der AWS IAM Identity Center Unternehmensanwendung Microsoft Entra ID zusammen mit den externen IdP-Einstellungen in IAM Identity Center.
------
#### [ Step 3.1 > ]
**Schritt 3.1: Sammeln Sie die erforderlichen Dienstanbieter-Metadaten aus dem IAM Identity Center**
In diesem Schritt starten Sie den Assistenten zum **Ändern der Identitätsquelle** in der IAM Identity Center-Konsole und rufen die Metadatendatei und die AWS spezifische Anmelde-URL ab, die Sie bei der Konfiguration der Verbindung Microsoft Entra ID im nächsten Schritt eingeben müssen.
1. **Wählen Sie in der [IAM Identity Center-Konsole Einstellungen](https://console.aws.amazon.com/singlesignon) aus.**
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Identitätsquelle ändern**“.
1. **Wählen Sie auf der Seite Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Wählen Sie auf der Seite **Externen Identitätsanbieter konfigurieren** unter **Metadaten des Dienstanbieters** die Option **Standard IPv4** oder **Dual-Stack** aus. Sie können die Metadatendatei des Dienstanbieters herunterladen, nachdem Sie die Änderung der Identitätsquelle abgeschlossen haben.
1. Suchen Sie im selben Abschnitt den Wert für die **Anmelde-URL für das AWS Access Portal** und kopieren Sie ihn. Sie müssen diesen Wert eingeben, wenn Sie im nächsten Schritt dazu aufgefordert werden.
1. Lassen Sie diese Seite geöffnet und fahren Sie mit dem nächsten Schritt (**`Step 3.2`**) fort, um die AWS IAM Identity Center Unternehmensanwendung zu konfigurierenMicrosoft Entra ID. Später kehren Sie zu dieser Seite zurück, um den Vorgang abzuschließen.
------
#### [ Step 3.2 > ]
**Schritt 3.2: Konfigurieren Sie die AWS IAM Identity Center Unternehmensanwendung in Microsoft Entra ID**
Dieses Verfahren stellt die Hälfte der SAML-Verbindung auf Microsoft-Seite mithilfe der Werte aus der Metadatendatei und der Anmelde-URL her, die Sie im letzten Schritt abgerufen haben.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Wählen Sie auf der linken Seite **2 aus. Richten Sie Single Sign-On** ein.
1. **Wählen Sie auf der Seite **Single Sign-On mit SAML einrichten die Option SAML** aus.** **Wählen Sie dann **Metadatendatei hochladen**, klicken Sie auf das Ordnersymbol, wählen Sie die Metadatendatei des Dienstanbieters aus, die Sie im vorherigen Schritt heruntergeladen haben, und klicken Sie dann auf Hinzufügen.**
1. Vergewissern Sie sich auf der Seite **Basic SAML Configuration**, dass sowohl die Werte für den **Identifier** als auch für die **Antwort-URL (Assertion Consumer Service URL)** jetzt auf Endpunkte in verweisen. AWS
+ **Identifier** — Dies ist die **Aussteller-URL aus dem IAM** Identity Center. Derselbe Wert gilt unabhängig davon, ob Sie Only-Endpoints oder IPv4 Dual-Stack-Endpoints verwenden.
+ **Antwort-URL (Assertion Consumer Service URL)** — Die Werte hier beinhalten sowohl IPv4 reine Endpunkte als auch Dual-Stack-Endpunkte aus allen aktivierten Regionen Ihres IAM Identity Center. Sie können die ACS-URL der primären Region als Standardadresse verwenden, sodass Benutzer in die primäre Region umgeleitet werden, wenn sie die Amazon Web Services Services-Anwendung von startenMicrosoft Entra ID. Weitere Informationen zu ACS URLs finden Sie unter[ACS-Endpunkte im primären und weiteren AWS-Regionen](multi-region-workforce-access.md#acs-endpoints).
+ (Optional) Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, können Sie in jeder weiteren Region auch eine Lesezeichen-App Microsoft Entra ID für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifen. Microsoft Entra ID Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Microsoft Entra ID gewähren. Weitere Informationen finden Sie in der [Microsoft Entra IDDokumentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on). Wenn Sie planen, IAM Identity Center zu einem späteren Zeitpunkt in weitere Regionen zu replizieren, finden Sie [Microsoft Entra IDKonfiguration für den Zugriff auf zusätzliche Regionen](#gs-microsoft-entra-multi-region) unter Anleitung, wie Sie nach dieser ersten Einrichtung den Zugriff auf die zusätzlichen Regionen aktivieren können.
1. Fügen **Sie unter Anmelde-URL (optional)** den Wert für die **Anmelde-URL für das AWS Access Portal** ein, den Sie im vorherigen Schritt kopiert haben (**`Step 3.1`**), wählen Sie **Speichern** und dann **X aus, um das Fenster** zu schließen.
1. Wenn Sie aufgefordert werden, Single Sign-On mit zu testen AWS IAM Identity Center, wählen Sie **Nein, ich werde es später testen**. Sie werden diese Überprüfung in einem späteren Schritt durchführen.
1. Wählen Sie auf der Seite **Single Sign-On mit SAML einrichten** im Abschnitt **SAML-Zertifikate** neben **Federation Metadata XML die Option **Herunterladen** aus, um die Metadatendatei** auf Ihrem System zu speichern. Sie müssen diese Datei hochladen, wenn Sie im nächsten Schritt dazu aufgefordert werden.
------
#### [ Step 3.3 > ]
**Schritt 3.3: Konfigurieren Sie den Microsoft Entra ID externen IdP in AWS IAM Identity Center**
Hier kehren Sie zum Assistenten zum **Ändern der Identitätsquelle** in der IAM Identity Center-Konsole zurück, um die zweite Hälfte der SAML-Verbindung abzuschließen. AWS
1. Kehren Sie in der IAM Identity Center-Konsole zu der Browsersitzung zurück, die Sie geöffnet haben. **`Step 3.1`**
1. **Klicken Sie auf der Seite **Externen Identitätsanbieter konfigurieren** im Abschnitt **Identitätsanbieter-Metadaten** unter **IdP-SAML-Metadaten** auf die Schaltfläche **Datei auswählen, wählen** Sie die Identitätsanbieter-Metadatendatei aus, aus der Sie Microsoft Entra ID im vorherigen Schritt heruntergeladen haben, und wählen Sie dann Öffnen aus.**
1. Wählen Sie **Weiter** aus.
1. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ihn ein. ****ACCEPT****
1. Wählen Sie **Identitätsquelle ändern**, um Ihre Änderungen zu übernehmen.
------
#### [ Step 3.4 > ]
**Schritt 3.4: Testen Sie, ob Nikki zum AWS Zugangsportal weitergeleitet wird**
In diesem Verfahren testen Sie die SAML-Verbindung, indem Sie sich mit den Anmeldeinformationen von Nikki beim **My Account-Portal** von Microsoft anmelden. Nach der Authentifizierung wählen Sie die AWS IAM Identity Center Anwendung aus, die Nikki zum Zugangsportal weiterleitet. AWS
1. Gehen Sie zur Anmeldeseite des [Portals „Mein Konto](https://myaccount.microsoft.com/)“ und geben Sie die vollständige E-Mail-Adresse von Nikki ein. Zum Beispiel ***NikkiWolf**@**example.org*.
1. Wenn Sie dazu aufgefordert werden, geben Sie Nikkis Passwort ein und wählen Sie dann **Anmelden**.
1. Wählen Sie auf der Seite **Mein Konto** im linken Navigationsbereich **Meine Apps** aus.
1. Wählen Sie auf der Seite **Meine Apps** die App mit dem Namen aus **AWS IAM Identity Center**. Daraufhin sollten Sie zu einer zusätzlichen Authentifizierung aufgefordert werden.
1. Wählen Sie auf der Anmeldeseite von Microsoft Ihre NikkiWolf Anmeldeinformationen aus. Wenn Sie ein zweites Mal zur Authentifizierung aufgefordert werden, wählen Sie Ihre NikkiWolf Anmeldeinformationen erneut aus. Dadurch sollten Sie automatisch zum AWS Zugangsportal weitergeleitet werden.
**Tipp**
Wenn Sie nicht erfolgreich umgeleitet wurden, überprüfen Sie, ob der von Ihnen eingegebene Wert für die **Anmelde-URL für das AWS Access Portal** mit dem Wert **`Step 3.2`**übereinstimmt, von **`Step 3.1`**dem Sie kopiert haben.
1. Vergewissern Sie sich, dass Ihr AWS-Konten Display angezeigt wird.
**Tipp**
Wenn die Seite leer ist und keine AWS-Konten Anzeige angezeigt wird, vergewissern Sie sich, dass Nikki dem **RegionalAdmin**Berechtigungssatz erfolgreich zugewiesen wurde (siehe **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Schritt 3.5: Testen Sie Nikkis Zugriffsrechte, um sie zu verwalten AWS-Konto**
In diesem Schritt überprüfst du, ob Nikki Zugriffsrechte hat, um die Regionseinstellungen für sie zu verwalten. AWS-Konto Nikki sollte nur über ausreichende Administratorrechte verfügen, um Regionen von der **Kontoseite** aus zu verwalten.
1. Wählen Sie im AWS Zugangsportal die Registerkarte **Konten**, um die Liste der Konten anzuzeigen. Die Kontonamen IDs, Konten und E-Mail-Adressen aller Konten, für die Sie Berechtigungssätze definiert haben, werden angezeigt.
1. Wählen Sie den Kontonamen (z. B.*Sandbox*), auf den Sie den Berechtigungssatz angewendet haben (siehe **`Step 2.3`**). Dadurch wird die Liste der Berechtigungssätze erweitert, aus denen Nikki für die Verwaltung ihres Kontos auswählen kann.
1. **RegionalAdmin**Wählen Sie als Nächstes die **Verwaltungskonsole** aus, um die Rolle anzunehmen, die Sie im **RegionalAdmin**Berechtigungssatz definiert haben. Dadurch werden Sie zur AWS-Managementkonsole Startseite weitergeleitet.
1. **Wählen Sie in der oberen rechten Ecke der Konsole Ihren Kontonamen und dann Konto aus.** Dadurch gelangen Sie zur **Kontoseite**. Beachten Sie, dass in allen anderen Abschnitten auf dieser Seite eine Meldung angezeigt wird, dass Sie nicht über die erforderlichen Berechtigungen zum Anzeigen oder Ändern dieser Einstellungen verfügen.
1. Scrollen Sie auf der **Kontoseite** nach unten zum Abschnitt **AWS Regionen**. Wählen Sie ein Kontrollkästchen für jede verfügbare Region in der Tabelle aus. Beachten Sie, dass Nikki über die erforderlichen Berechtigungen verfügt, um die Liste der Regionen für ihr Konto wie vorgesehen zu **aktivieren** oder zu **deaktivieren**.
**Gut gemacht\$1**
Die Schritte 1 bis 3 haben Ihnen geholfen, Ihre SAML-Verbindung erfolgreich zu implementieren und zu testen. Um das Tutorial abzuschließen, empfehlen wir Ihnen, mit Schritt 4 fortzufahren, um die automatische Bereitstellung zu implementieren.
------
## Schritt 4: Konfigurieren und testen Sie Ihre SCIM-Synchronisierung
In diesem Schritt richten Sie Microsoft Entra ID die [automatische Bereitstellung](provision-automatically.md) (Synchronisation) von Benutzerinformationen aus dem IAM Identity Center mithilfe des SCIM v2.0-Protokolls ein. Sie konfigurieren diese Verbindung, Microsoft Entra ID indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird.
Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Microsoft Entra ID zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. Microsoft Entra ID
In den folgenden Schritten erfahren Sie, wie Sie mithilfe der IAM Identity Center-App die automatische Bereitstellung von Benutzern aktivierenMicrosoft Entra ID, die hauptsächlich im IAM Identity Center ansässig sind. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Schritt 4.1: Erstellen Sie einen zweiten Testbenutzer in Microsoft Entra ID**
Zu Testzwecken erstellen Sie einen neuen Benutzer (Richard Roe) inMicrosoft Entra ID. Später, nachdem Sie die SCIM-Synchronisierung eingerichtet haben, werden Sie testen, ob dieser Benutzer und alle relevanten Attribute erfolgreich mit IAM Identity Center synchronisiert wurden.
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Benutzer > Alle Benutzer**.
1. Wählen Sie **Neuer Benutzer** und dann oben auf dem Bildschirm **Neuen Benutzer erstellen** aus.
1. Geben Sie ****RichRoe****im Feld **Benutzerprinzipalname** Ihre bevorzugte Domain und Erweiterung ein und wählen Sie sie aus. Zum Beispiel *RichRoe*@*example.org*.
1. Geben Sie im Feld **Anzeigename** den Wert ein ****RichRoe****.
1. Geben Sie unter **Passwort** ein sicheres Passwort ein oder klicken Sie auf das Augensymbol, um das automatisch generierte Passwort anzuzeigen, und kopieren Sie den angezeigten Wert entweder oder notieren Sie ihn.
1. Wählen Sie **Eigenschaften** und geben Sie dann die folgenden Werte ein:
+ **Vorname** — Geben Sie ein ****Richard****
+ **Nachname** - Geben Sie ein ****Roe****
+ **Berufsbezeichnung** - Geben Sie ein ****Marketing Lead****
+ **Abteilung** — Geben Sie ein ****Sales****
+ **Mitarbeiter-ID** — Geben Sie ein ****12345****
1. Wählen Sie **Überprüfen \$1 Erstellen** und dann **Erstellen**.
------
#### [ Step 4.2 > ]
**Schritt 4.2: Aktivieren Sie die automatische Bereitstellung im IAM Identity Center**
In diesem Verfahren verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung von Benutzern und Gruppen zu aktivieren, die aus dem IAM Identity Center stammenMicrosoft Entra ID.
1. Öffnen Sie die [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) und wählen Sie im linken **Navigationsbereich Einstellungen** aus.
1. **Beachten Sie auf der Seite **Einstellungen** unter dem Tab **Identitätsquelle**, dass die **Bereitstellungsmethode** auf Manuell eingestellt ist.**
1. **Suchen Sie das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann Aktivieren aus.** Dadurch wird die automatische Bereitstellung im IAM Identity Center sofort aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende** Nachrichten die einzelnen Werte für die folgenden Optionen. Sie müssen diese im nächsten Schritt einfügen, wenn Sie die Bereitstellung in konfigurieren. Microsoft Entra ID
1. **SCIM-Endpunkt** — Zum Beispiel
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Doppelstapel: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Zugriffstoken** — Wählen Sie **Token anzeigen**, um den Wert zu kopieren.
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren.
1. Klicken Sie auf **Schließen**.
1. Beachten Sie auf der Registerkarte **Identitätsquelle**, dass die **Bereitstellungsmethode** jetzt auf **SCIM** eingestellt ist.
------
#### [ Step 4.3 > ]
**Schritt 4.3: Konfigurieren Sie die automatische Bereitstellung in Microsoft Entra ID**
Nachdem Sie Ihren RichRoe Testbenutzer eingerichtet und SCIM im IAM Identity Center aktiviert haben, können Sie mit der Konfiguration der SCIM-Synchronisierungseinstellungen unter fortfahren. Microsoft Entra ID
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Wählen Sie **Provisioning** und wählen Sie unter **Verwalten erneut** **Provisioning** aus.
1. **Wählen Sie im **Bereitstellungsmodus** die Option Automatisch aus.**
1. Fügen Sie unter **Administratoranmeldedaten** in das **Feld Mandanten-URL** den Wert für die **SCIM-Endpunkt-URL** ein, den Sie zuvor kopiert haben. **`Step 4.2`** Fügen Sie in **Secret Token** den Wert für das **Zugriffstoken** ein.
1. Wählen Sie **Test Connection** (Verbindung testen) aus. Es sollte eine Meldung angezeigt werden, die darauf hinweist, dass die getesteten Anmeldeinformationen erfolgreich autorisiert wurden, um die Bereitstellung zu aktivieren.
1. Wählen Sie **Speichern**.
1. Wählen Sie unter **Verwalten** die Option **Benutzer und Gruppen** und dann **Benutzer/Gruppe hinzufügen** aus.
1. Wählen Sie auf der Seite **Zuweisung hinzufügen** unter **Benutzer die** Option **Keine** ausgewählt aus.
1. Wählen Sie **RichRoe**und wählen Sie dann **Auswählen aus**.
1. Wählen Sie auf der Seite **Add Assignment** (Zuweisung hinzufügen) **Assign** (Zuweisen) aus.
1. Wählen Sie **Überblick** und dann **Bereitstellung starten** aus.
------
#### [ Step 4.4 ]
**Schritt 4.4: Stellen Sie sicher, dass die Synchronisation stattgefunden hat**
In diesem Abschnitt überprüfen Sie, ob Richards Benutzer erfolgreich bereitgestellt wurde und ob alle Attribute im IAM Identity Center angezeigt werden.
1. **Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) die Option Benutzer aus.**
1. Auf der Seite „**Benutzer**“ sollte Ihr **RichRoe**Benutzer angezeigt werden. Beachten Sie, dass in der Spalte **Erstellt von** der Wert auf **SCIM** gesetzt ist.
1. Stellen Sie **RichRoe**unter **Profil** sicher, dass die folgenden Attribute von Microsoft Entra ID kopiert wurden.
+ **Vorname** - ****Richard****
+ **Nachname** - ****Roe****
+ **Abteilung** - ****Sales****
+ **Titel** - ****Marketing Lead****
+ **Mitarbeiternummer** - ****12345****
Nachdem Richards Benutzer nun in IAM Identity Center erstellt wurde, können Sie ihn einem beliebigen Berechtigungssatz zuweisen, sodass Sie kontrollieren können, welche Zugriffsebene er auf Ihre AWS Ressourcen hat. Sie könnten beispielsweise dem **RegionalAdmin** Berechtigungssatz, den Sie zuvor verwendet haben, um Nikki die Berechtigungen zur Verwaltung von Regionen zu gewähren (siehe **`Step 2.3`**), zuweisen **RichRoe**und dann seine Zugriffsebene damit testen. **`Step 3.5`**
**Herzlichen Glückwunsch\$1**
Sie haben erfolgreich eine SAML-Verbindung zwischen Microsoft und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert, um alles synchron zu halten. Jetzt können Sie das Gelernte anwenden, um Ihre Produktionsumgebung reibungsloser einzurichten.
------
## *Schritt 5: ABAC konfigurieren — optional*
Nachdem Sie SAML und SCIM erfolgreich konfiguriert haben, können Sie optional die attributebasierte Zugriffskontrolle (ABAC) konfigurieren. ABAC ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert.
Mit können Sie eine der folgenden beiden Methoden verwendenMicrosoft Entra ID, um ABAC für die Verwendung mit IAM Identity Center zu konfigurieren.
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**Konfigurieren Sie Benutzerattribute Microsoft Entra ID für die Zugriffskontrolle im IAM Identity Center**
Im folgenden Verfahren legen Sie fest, welche Attribute von IAM Identity Center zur Verwaltung des Zugriffs auf Ihre AWS Ressourcen verwendet werden Microsoft Entra ID sollen. Nach der Definition werden diese Attribute über SAML-Assertionen an IAM Identity Center Microsoft Entra ID gesendet. Anschließend müssen Sie [Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md) im IAM Identity Center den Zugriff auf der Grundlage der Attribute verwalten, von denen Sie die Daten übergeben haben. Microsoft Entra ID
Bevor Sie mit diesem Verfahren beginnen, müssen Sie zunächst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Klicken Sie auf **Single Sign-On**.
1. Wählen Sie im Abschnitt **Attribute und Ansprüche** die Option **Bearbeiten** aus.
1. Gehen Sie auf der Seite „**Attribute und Ansprüche**“ wie folgt vor:
1. Wählen **Sie Neuen Anspruch hinzufügen**
1. Geben Sie unter **Name** `AccessControl:AttributeName` ein. *AttributeName*Ersetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, `AccessControl:Department`.
1. Geben Sie für **Namespace** ****https://aws.amazon.com/SAML/Attributes**** ein.
1. Wählen Sie unter **Source (Quelle)** die Option **Attribute (Attribut)** aus.
1. Verwenden Sie für **das Quellattribut** die Drop-down-Liste, um die Microsoft Entra ID Benutzerattribute auszuwählen. Beispiel, `user.department`.
1. Wiederholen Sie den vorherigen Schritt für jedes Attribut, das Sie in der SAML-Assertion an das IAM Identity Center senden müssen.
1. Wählen Sie **Speichern**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Konfigurieren Sie ABAC mithilfe von IAM Identity Center**
Bei dieser Methode verwenden Sie die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf gesetzt ist. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Sie können dieses Element verwenden, um Attribute als Sitzungs-Tags in der SAML-Assertion zu übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter [Sitzungs-Tags übergeben AWS STS im](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *IAM-Benutzerhandbuch*.
Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `Department=billing` für das Tag zu übergeben:
```
billing
```
Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu.
------
## Weisen Sie Zugriff zu AWS-Konten
Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.
**Anmerkung**
Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
### Schritt 1: IAM Identity Center: Gewähren Sie Microsoft Entra ID Benutzern Zugriff auf Konten
1. Kehren Sie zur **IAM Identity Center-Konsole** zurück. Wählen Sie im IAM Identity Center-Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option aus. **AWS-Konten**
1. Auf der **AWS-Konten**Seite „**Organisationsstruktur**“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann **Benutzer oder Gruppen zuweisen** aus.
1. Der Workflow **„Benutzer und Gruppen zuweisen**“ wird angezeigt. Er besteht aus drei Schritten:
1. **Wählen Sie für Schritt 1: Benutzer und Gruppen** auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Klicken Sie anschließend auf **Weiter**.
1. **Wählen Sie für Schritt 2: Berechtigungssätze** auswählen die Option **Berechtigungssatz erstellen** aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte führt, die zur Erstellung eines Berechtigungssatzes erforderlich sind.
1. Gehen Sie für **Schritt 1: Berechtigungssatztyp auswählen** wie folgt vor:
+ Wählen Sie unter **Typ des Berechtigungssatzes** die Option **Vordefinierter Berechtigungssatz** aus.
+ Wählen Sie unter **Richtlinie für vordefinierten Berechtigungssatz** die Option aus **AdministratorAccess**.
Wählen Sie **Weiter** aus.
1. Für **Schritt 2: Geben Sie die Details zum Berechtigungssatz** an, behalten Sie die Standardeinstellungen bei und wählen Sie **Weiter** aus.
Mit den Standardeinstellungen wird ein Berechtigungssatz *AdministratorAccess* mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.
1. Stellen Sie für **Schritt 3: Überprüfen und erstellen** sicher, dass der **Typ Berechtigungssatz** die AWS verwaltete Richtlinie verwendet **AdministratorAccess**. Wählen Sie **Erstellen** aus. Auf der Seite **Berechtigungssätze** wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.
1. Auf der Browser-Registerkarte **Benutzer und Gruppen zuweisen** befinden Sie sich immer noch in **Schritt 2: Wählen Sie die Berechtigungssätze** aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.
1. Wählen Sie im Bereich „**Berechtigungssätze**“ die Schaltfläche „**Aktualisieren**“. Der von Ihnen erstellte *AdministratorAccess* Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann **Weiter**.
1. Überprüfen **Sie für Schritt 3: Überprüfen und Absenden** den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann **Senden** aus.
Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.
Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. *AdministratorAccess*
### Schritt 2Microsoft Entra ID: Bestätigen Sie den Zugriff der Microsoft Entra ID Benutzer auf AWS Ressourcen
1. Kehren Sie zur **Microsoft Entra ID**Konsole zurück und navigieren Sie zu Ihrer SAML-basierten Anmeldeanwendung für IAM Identity Center.
1. Wählen Sie **Benutzer und Gruppen und anschließend** Benutzer oder Gruppen **hinzufügen** aus. Sie fügen den Benutzer, den Sie in diesem Tutorial in Schritt 4 erstellt haben, der Microsoft Entra ID Anwendung hinzu. Indem Sie den Benutzer hinzufügen, ermöglichen Sie ihm, sich anzumelden AWS. Suchen Sie nach dem Benutzer, den Sie in Schritt 4 erstellt haben. Wenn Sie diesen Schritt befolgen würden, wäre das der Fall**RichardRoe**.
1. Eine Demo finden Sie unter Verbinden Sie [Ihre bestehende IAM Identity Center-Instanz](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) mit Microsoft Entra ID
## Microsoft Entra IDKonfiguration für den Zugriff auf zusätzliche Regionen von IAM Identity Center — optional
Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und AWS-Konten über die zusätzlichen Regionen zu ermöglichen. Die folgenden Schritte führen Sie durch das Verfahren. Weitere Informationen zu diesem Thema, einschließlich der Voraussetzungen, finden Sie unter[Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
1. Rufen Sie ACS URLs für die zusätzlichen Regionen von der IAM Identity Center-Konsole ab, wie unter beschrieben[ACS-Endpunkte im primären und weiteren AWS-Regionen](multi-region-workforce-access.md#acs-endpoints).
1. Navigieren Sie in der [Microsoft Entra Admin Center-Konsole](https://entra.microsoft.com/) zu **Identität > Anwendungen > Unternehmensanwendungen** und wählen Sie **AWS IAM Identity Center**dann.
1. Wählen Sie auf der linken Seite **2 aus. Richten Sie Single Sign-On** ein.
1. Wählen Sie auf der Seite **Basic SAML Configuration** im Abschnitt **Antwort-URL (Assertion Consumer Service URL)** die Option **Antwort-URL hinzufügen für die ACS-URL** jeder weiteren Region aus. Sie können die ACS-URL der primären Region als Standardadresse beibehalten, sodass Benutzer beim Starten der Anwendung weiterhin zur primären Region umgeleitet werden. AWS IAM Identity Center Microsoft Entra ID
1. Wenn Sie mit dem Hinzufügen des ACS fertig URLs sind, speichern Sie die **AWS IAM Identity Center**Anwendung.
1. Sie können in jeder weiteren Region eine Lesezeichen-App Microsoft Entra ID für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifenMicrosoft Entra ID. Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Microsoft Entra ID gewähren. Weitere Informationen finden Sie in der [Microsoft Entra IDDokumentation](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on).
1. Stellen Sie sicher, dass Sie sich in jeder weiteren Region beim AWS Zugangsportal anmelden können. Navigieren Sie zum [AWS Zugriffsportal URLs](multi-region-workforce-access.md#portal-endpoints) oder starten Sie die Lesezeichen-Apps vonMicrosoft Entra ID.
## Fehlerbehebung
Informationen zur allgemeinen SCIM- und SAML-Fehlerbehebung mit Microsoft Entra ID finden Sie in den folgenden Abschnitten:
+ [Synchronisierungsprobleme mit Microsoft Entra ID und IAM Identity Center](#entra-scim-troubleshooting)
+ [Bestimmte Benutzer können sich von einem externen SCIM-Anbieter nicht mit dem IAM Identity Center synchronisieren](troubleshooting.md#issue2)
+ [Probleme mit dem Inhalt von SAML-Assertionen, die von IAM Identity Center erstellt wurden](troubleshooting.md#issue1)
+ [Beim Bereitstellen von Benutzern oder Gruppen mit einem externen Identitätsanbieter ist ein Fehler beim Duplizieren von Benutzern oder Gruppen aufgetreten](troubleshooting.md#duplicate-user-group-idp)
+ [Weitere Ressourcen](#entra-scim-troubleshooting-resources)
### Synchronisierungsprobleme mit Microsoft Entra ID und IAM Identity Center
Wenn Sie Probleme mit Microsoft Entra ID Benutzern haben, die nicht mit IAM Identity Center synchronisieren, kann dies an einem Syntaxproblem liegen, das IAM Identity Center gemeldet hat, wenn ein neuer Benutzer zu IAM Identity Center hinzugefügt wird. Sie können dies überprüfen, indem Sie in den Microsoft Entra ID Audit-Logs nach fehlgeschlagenen Ereignissen suchen, wie z. B. `'Export'` Der **Statusgrund** für dieses Ereignis lautet wie folgt:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Sie können auch AWS CloudTrail nach dem fehlgeschlagenen Ereignis suchen. Suchen Sie dazu in der Konsole „**Event History**“ oder CloudTrail verwenden Sie den folgenden Filter:
```
"eventName":"CreateUser"
```
Der Fehler in der CloudTrail Veranstaltung wird Folgendes bedeuten:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
Letztlich bedeutet diese Ausnahme, dass einer der übergebenen Werte mehr Werte als erwartet Microsoft Entra ID enthielt. Die Lösung besteht darin, die Attribute des Benutzers zu überprüfen Microsoft Entra ID und sicherzustellen, dass keine doppelten Werte enthalten. Ein häufiges Beispiel für doppelte Werte ist das Vorhandensein mehrerer Werte für Kontaktnummern wie **Handy** -, Geschäfts **-** und **Faxnummern**. Obwohl sie separate Werte sind, werden sie alle unter dem einzigen übergeordneten Attribut **PhoneNumbers** an das IAM Identity Center übergeben.
[Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter Problembehandlung.](troubleshooting.md#issue2)
### Microsoft Entra IDSynchronisation des Gastkontos
Wenn Sie Ihre Microsoft Entra ID Gastbenutzer mit IAM Identity Center synchronisieren möchten, gehen Sie wie folgt vor.
Microsoft Entra IDDie E-Mail-Adresse von Gastbenutzern unterscheidet sich von der E-Mail-Adresse von Microsoft Entra ID Benutzern. Dieser Unterschied führt zu Problemen beim Versuch, Microsoft Entra ID Gastbenutzer mit IAM Identity Center zu synchronisieren. Sehen Sie sich zum Beispiel die folgende E-Mail-Adresse für einen Gastbenutzer an:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center geht nicht davon aus, dass die E-Mail-Adresse das *\$1EXT\$1@domain* Format enthält.
1. Melden Sie sich im [Microsoft Entra Admin Center](https://entra.microsoft.com/) an und navigieren Sie zu **Identität** > **Anwendungen** > **Unternehmensanwendungen und wählen** Sie dann **AWS IAM Identity Center**
1. Navigieren Sie im linken Bereich zur Registerkarte **Single Sign On**.
1. Wählen Sie **Bearbeiten** aus, was neben **Benutzerattribute und Ansprüche** angezeigt wird.
1. Wählen Sie **unter Erforderliche Ansprüche die Option Eindeutige Benutzerkennung (Name-ID)** **aus**.
1. Sie werden zwei Anspruchsbedingungen für Ihre Microsoft Entra ID Benutzer und Gastbenutzer erstellen:
1. Erstellen Sie für Microsoft Entra ID Benutzer einen Benutzertyp für Mitglieder, bei dem das Quellattribut auf gesetzt ist` user.userprincipalname`.
1. Erstellen Sie für Microsoft Entra ID Gastbenutzer einen Benutzertyp für externe Gäste, wobei das Quellattribut auf gesetzt ist`user.mail`.
1. Wählen Sie **Speichern** und versuchen Sie erneut, sich als Microsoft Entra ID Gastbenutzer anzumelden.
### Weitere Ressourcen
+ Allgemeine Tipps zur SCIM-Fehlerbehebung finden Sie unter. [Behebung von Problemen mit IAM Identity Center](troubleshooting.md)
+ Informationen zur Microsoft Entra ID Fehlerbehebung finden Sie in der [MicrosoftDokumentation](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Weitere Informationen zum Verbund zwischen mehreren AWS-Konten finden Sie unter [Sichern AWS-Konten mit Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:
+ [AWS re:Post](https://repost.aws/)- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Holen Sie sich technischen Support