View a markdown version of this page

Accesso alla forza lavoro tramite una regione aggiuntiva - Centro identità AWS IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso alla forza lavoro tramite una regione aggiuntiva

Questa sezione spiega come la forza lavoro può accedere a Portale di accesso AWS, Account AWS e alle applicazioni dopo aver abilitato IAM Identity Center in più regioni.

Portale di accesso AWS In una regione aggiuntiva vengono visualizzati Account AWS i messaggi e le applicazioni a cui la forza lavoro ha accesso nello stesso modo in cui nella regione principale. La tua forza lavoro può accedere Portale di accesso AWS in un'altra regione tramite un collegamento diretto all'endpoint del portale regionale (ad esempiohttps://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com) o tramite un'app di segnalibri configurata nell'IdP esterno.

Puoi utilizzare l' Portale di accesso AWS endpoint in una regione aggiuntiva per autorizzare l' AWS CLI accesso alle API come utente IAM Identity Center. Questa funzionalità funziona allo stesso modo della regione principale. Tuttavia, le autorizzazioni CLI non vengono replicate tra le regioni abilitate. Pertanto, è necessario autorizzare la CLI in ciascuna regione singolarmente.

Sessioni utente su più sessioni Regioni AWS

IAM Identity Center replica le sessioni utente dalla regione di origine alle altre regioni abilitate. La revoca della sessione e la disconnessione in una regione vengono replicate anche nelle altre regioni.

Revoca della sessione da parte degli amministratori di IAM Identity Center

Gli amministratori di IAM Identity Center possono revocare le sessioni utente in regioni aggiuntive. Poiché le sessioni vengono replicate tra le regioni, in condizioni normali è sufficiente revocare una sessione in una singola regione e consentire a IAM Identity Center di replicare la modifica nelle altre regioni abilitate. Se la regione principale di IAM Identity Center presenta un'interruzione, gli amministratori possono eseguire questa operazione in regioni aggiuntive.

Portale di accesso AWS endpoint primari e aggiuntivi Regioni AWS

Se devi cercare gli URL del portale di AWS accesso per le regioni abilitate, procedi nel seguente modo:

  1. Apri la console Centro identità IAM.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegliere la scheda Management (Gestione),

  4. Nella sezione Regioni per IAM Identity Center, scegli Visualizza tutti gli URL del portale di AWS accesso.

La tabella seguente specifica gli Portale di accesso AWS endpoint nelle regioni primarie e aggiuntive di un'istanza di IAM Identity Center.

Portale di accesso AWS endpoint Regione principale Regione aggiuntiva Modello ed esempio di URL
IPv4 classico (solo 1) No

Pattern: https://[Identity Store ID].awsapps.com/start

Esempio: https://d-12345678.awsapps.com/start

Custom-alias Solo IPv4 1 Sì (facoltativo) No

Pattern: https://[custom alias].awsapps.com/start

Esempio: https://mycompany.awsapps.com/start

Solo IPv4 alternativo 2

Pattern: https://[Identity Center instance ID]. [Region].portal.amazonaws.com

Esempio: https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com

Dual-stack2

Pattern: https://[Identity Center instance ID].portal. [Region].app.aws

Esempio: https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws

1 In altre regioni, l'alias personalizzato non è supportato e il dominio awsapps.com principale non è disponibile.

2 Gli endpoint alternativi del portale solo IPv4 e dual-stack non hanno il termine finale nell'URL. /start

Endpoint Assertion Consumer Service (ACS) negli endpoint primari e aggiuntivi Regioni AWS

Se devi cercare gli URL ACS o scaricarli come parte dei metadati SAML, procedi nel seguente modo:

  1. Apri la console Centro identità IAM.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegli la scheda Origine dell'identità.

  4. Nel menu a discesa Azioni, scegli Gestisci l'autenticazione.

  5. La sezione dei metadati del fornitore di servizi mostra l'URL Portale di accesso AWS e l'URL ACS per ogni regione abilitata. IPv4-only e gli URL dual-stack vengono visualizzati in schede separate. Se il tuo IdP supporta il caricamento di un file di metadati SAML, puoi scegliere Scarica il file di metadati per scaricare il file di metadati SAML con tutti gli URL ACS. Se il tuo IdP non supporta il caricamento di un file di metadati o preferisci aggiungere gli URL ACS singolarmente, puoi copiare i singoli URL dalla tabella nella console oppure scegliere Visualizza URL ACS e quindi Copia tutti gli URL. Conserva l'URL ACS già configurato per la regione principale per garantire che il single sign-on SAML avviato dal provider di servizi dalla regione principale rimanga funzionante.

La tabella seguente specifica gli endpoint SAML Assertion Consumer Service (ACS) nelle regioni primarie e aggiuntive di un'istanza di IAM Identity Center:

Endpoint ACS Regione principale Regione aggiuntiva Modello di URL ed esempio
Solo IPv4

Pattern: https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

Esempio: https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

Solo IPv4 alternativo* No

Pattern: https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

Esempio: https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

Dual-stack

Pattern: https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

Esempio: https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

* Per le istanze abilitate prima di febbraio 2026, conserva questo endpoint perché è necessario il single sign-on SAML avviato dal provider di servizi nella regione primaria. IAM Identity Center non utilizza questo endpoint per le istanze abilitate a febbraio 2026 o versioni successive.

Utilizzo AWS applicazioni gestite senza più URL ACS

Alcuni provider di identità esterni (IdPs) non supportano più URL ACS (Assertion Consumer Service) nella loro applicazione IAM Identity Center. Gli URL ACS multipli sono una funzionalità SAML necessaria per l'accesso diretto a una regione specifica in un IAM Identity Center multiregionale.

Ad esempio, se avvii un'applicazione AWS gestita tramite un collegamento all'applicazione, il sistema attiva l'accesso tramite la regione IAM Identity Center connessa all'applicazione. Tuttavia, se l'URL ACS per quella regione non è configurato nell'IdP esterno, l'accesso non riesce.

Per risolvere questo problema, collabora con il fornitore del tuo IdP per abilitare il supporto per più URL ACS. Nel frattempo, puoi comunque utilizzare AWS le applicazioni gestite in altre regioni. Innanzitutto, accedi alla regione il cui URL ACS è configurato nell'IdP esterno (la regione principale per impostazione predefinita). Dopo una sessione attiva in IAM Identity Center, puoi avviare l'applicazione dal portale di AWS accesso in qualsiasi regione abilitata o tramite un collegamento all'applicazione.