本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS IAM Identity Center 和 AWS Control Tower
<a name="sso"></a>

在 AWS Control Tower 中，IAM Identity Center 允許中央雲端管理員和最終使用者管理對多個 AWS 帳戶和商業應用程式的存取。根據預設，AWS Control Tower 會使用此服務來設定和管理透過 Account Factory 建立之帳戶的存取權，除非您已選取自我管理身分和存取控制的選項。

如需選取身分提供者的詳細資訊，請參閱 [IAM Identity Center 指引](sso-guidance.md)。

如需如何在 AWS Control Tower 中設定 IAM Identity Center 使用者和許可的簡短教學課程，您可以檢視此影片 (6：23)。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

[![AWS Videos](http://img.youtube.com/vi/y_n9xN5mg1g/0.jpg)](http://www.youtube.com/watch?v=y_n9xN5mg1g)


**關於使用 IAM Identity Center 設定 AWS Control Tower **

當您最初設定 AWS Control Tower 時，只有根使用者和具有正確許可的任何 IAM 使用者才能新增 IAM Identity Center 使用者。不過，在 **AWSAccountFactory** 群組中新增最終使用者之後，他們可以從 Account Factory 精靈建立新的 IAM Identity Center 使用者。如需詳細資訊，請參閱[使用 Account Factory 佈建和管理帳戶](account-factory.md)。

如果您選擇建議的預設值，AWS Control Tower 會使用預先設定的目錄來設定登陸區域，協助您管理使用者身分和單一登入，以便您的使用者跨帳戶擁有聯合存取。當您設定登陸區域時，系統會建立此預設目錄，以包含*使用者群組*和*許可集*。

**注意**  
您可以使用 IAM Identity Center 的委派管理員功能，將 AWS IAM Identity Center 組織中 的管理委派給管理帳戶以外的帳戶。如果您選擇使用此功能，請注意，具有管理群組成員資格存取權的管理員*也可以*管理指派給管理帳戶的群組。如需詳細資訊，請參閱此部落格文章，標題為 [AWS SSO 委派管理入門](https://aws.amazon.com/blogs//security/getting-started-with-aws-sso-delegated-administration/)

## IAM Identity Center 帳戶和 AWS Control Tower 的須知事項
<a name="sso-good-to-know"></a>

以下是在 AWS Control Tower 中使用 IAM Identity Center 使用者帳戶時需要了解的一些好事項。
+ 如果您的 AWS IAM Identity Center 使用者帳戶已停用，您會在嘗試在 Account Factory 中佈建新帳戶時收到錯誤訊息。您可以在 IAM Identity Center 主控台中重新啟用 IAM Identity Center 使用者。
+ 如果您在更新與帳戶工廠提供的帳戶相關聯的佈建產品時指定新的 IAM Identity Center 使用者電子郵件地址，AWS Control Tower 會建立新的 IAM Identity Center 使用者帳戶。之前建立的使用者帳戶不會移除。如果您想要從 IAM Identity Center 移除先前的 AWS IAM Identity Center 使用者電子郵件地址，請參閱[停用使用者](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)。
+ AWS IAM Identity Center 已[與 Azure Active Directory 整合](https://aws.amazon.com//blogs/aws/the-next-evolution-in-aws-single-sign-on/)，您可以將現有的 Azure Active Directory 連線至 AWS Control Tower。
+ 如需 AWS Control Tower 行為如何與 AWS IAM Identity Center 和不同身分來源互動的詳細資訊，請參閱 AWS IAM Identity Center 文件中的[變更身分來源注意事項](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-considerations.html)。