本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 IAM Identity Center 控制台中为用户分配应用程序的访问权限 您可以为用户分配对应用程序目录中的 SAML 2.0 应用程序或自定义 SAML 2.0 应用程序的单点登录访问权限。 组分配的注意事项: + **直接向组分配访问权限。**为了帮助简化访问权限的管理,我们建议您将访问权限直接分配给组而不是单个用户。通过组,您可以向用户组授予或拒绝权限,而不是将这些权限应用于每个人。如果用户移至其他组织,则只需将该用户移至其他组即可。然后,用户会自动获得新组织所需的权限。 + **不支持嵌套组。**在为应用程序分配用户访问权限时,IAM Identity Center 不支持将用户添加到嵌套组。如果用户被添加到嵌套组,他们可能会在登录期间收到“您没有任何应用程序”消息。必须针对用户所属的直属组进行分配。 **要分配用户或组对应用程序的访问权限** **重要** 对于 AWS 托管应用程序,您必须直接从相关的应用程序控制台中添加用户,或者通过添加用户 APIs。 1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。 **注意** 如果您在中管理用户 AWS Managed Microsoft AD,请确保 IAM Identity Center 控制台使用您的 AWS Managed Microsoft AD 目录所在的 AWS 区域,然后再采取下一步行动。 1. 选择**应用程序**。 1. 在应用程序列表中,选择要为其分配访问权限的应用程序名称。 1. 在应用程序详细信息页面上的**已分配用户**部分中,选择**分配用户**。 1. 在**分配用户**对话框中,输入用户的显示名称名或组名。您可以指定多个用户或组,方法是当其显示在搜索结果中时选择适用的帐户。 1. 选择 **分配用户**。