變更身分來源的考量事項 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更身分來源的考量事項

雖然您可以隨時變更身分來源,但我們建議您考慮此變更如何影響您目前的部署。

如果您已經在一個身分來源中管理使用者和群組,變更為不同的身分來源可能會移除您在 IAM Identity Center 中設定的所有使用者和群組指派。如果發生這種情況,所有使用者,包括 IAM Identity Center 中的管理使用者,都將失去對其 AWS 帳戶 和應用程式的單一登入存取權。

變更 IAM Identity Center 的身分來源之前,請先檢閱下列考量,再繼續。如果您想要繼續變更身分來源,請參閱 變更您的身分來源 以取得詳細資訊。

在 IAM Identity Center 目錄和 Active Directory 之間變更

如果您已在 Active Directory 中管理使用者和群組,我們建議您在啟用 IAM Identity Center 並選擇身分來源時,考慮連接目錄。在預設 Identity Center 目錄中建立任何使用者和群組並進行任何指派之前,請先執行此操作。

重要

將 IAM Identity Center 中的身分來源類型變更為 Active Directory 或從 Active Directory 變更時,請注意 Identity Store ID 會變更。這可能會有下列影響:

  • 您的預設 AWS 存取入口網站 URL 將會變更。您需要將新的 URL 傳達給員工,並更新書籤、Gatewall 或防火牆允許清單,以及參考此 URL 的組態。我們建議您在排定的維護時段執行此變更,以將對使用者的干擾降至最低。

  • 如果您在 IAM Identity Center 中使用客戶受管 KMS 金鑰進行靜態加密,並已使用加密內容設定 KMS 金鑰政策,請注意 Identity Store 的加密內容會變更。例如,在 Identity Store ARN "arn:aws:identitystore::123456789012:identitystore/d-922763e9b3" 中,"d-922763e9b3" 是 Identity Store ID。為避免在此轉換期間發生服務中斷,請暫時修改 KMS 金鑰政策以使用萬用字元模式:"arn:aws:identitystore::123456789012:identitystore/*"。

如果您已在預設 Identity Center 目錄中管理使用者和群組,請考慮下列事項:

  • 移除的指派和已刪除的使用者和群組 – 將您的身分來源變更為 Active Directory 會從 Identity Center 目錄中刪除您的使用者和群組。此變更也會移除您的指派。在此情況下,在變更為 Active Directory 之後,您必須將使用者和群組從 Active Directory 同步到 Identity Center 目錄,然後重新套用其指派。

    如果您選擇不使用 Active Directory,則必須在 Identity Center 目錄中建立使用者和群組,然後進行指派。

  • 刪除身分時不會刪除指派 – 在 Identity Center 目錄中刪除身分時,IAM Identity Center 中也會刪除對應的指派。不過,在 Active Directory 中,刪除身分時 (在 Active Directory 中或同步身分中),不會刪除對應的指派。

  • API 沒有傳出同步 APIs – 如果您使用 Active Directory 做為身分來源,建議您謹慎使用建立、更新和刪除 APIs。IAM Identity Center 不支援傳出同步,因此您的身分來源不會自動更新您使用這些 APIs 對使用者或群組所做的變更。

  • 存取入口網站 URL 將會變更 – 在 IAM Identity Center 和 Active Directory 之間變更您的身分來源也會變更 AWS 存取入口網站的 URL。

  • 如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者,具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需有關身分驗證工作階段持續時間和使用者行為的資訊,請參閱 了解 IAM Identity Center 中的身分驗證工作階段

如需 IAM Identity Center 如何佈建使用者和群組的詳細資訊,請參閱 Microsoft AD 目錄

從 IAM Identity Center 變更為外部 IdP

如果您將身分來源從 IAM Identity Center 變更為外部身分提供者 (IdP),請考慮下列事項:

  • 指派和成員資格使用正確的聲明 – 只要新的 IdP 傳送正確的聲明 (例如 SAML nameIDs),您的使用者指派、群組指派和群組成員資格就會繼續運作。這些聲明必須符合 IAM Identity Center 中的使用者名稱和群組。

  • 無傳出同步 – IAM Identity Center 不支援傳出同步,因此您的外部 IdP 不會自動更新您在 IAM Identity Center 中對使用者和群組所做的變更。

  • SCIM 佈建 – 如果您使用 SCIM 佈建,則身分提供者中的使用者和群組變更只會在身分提供者將這些變更傳送至 IAM Identity Center 之後,才反映在 IAM Identity Center 中。請參閱 使用自動佈建的考量事項

  • 回復 – 您可以隨時使用 IAM Identity Center 將身分來源還原為 。請參閱 從外部 IdP 變更為 IAM Identity Center

  • 現有的使用者工作階段會在工作階段持續時間到期時撤銷 – 一旦您將身分來源變更為外部身分提供者,作用中的使用者工作階段會在主控台中設定的工作階段持續時間上限剩餘時間內保留。例如,如果 AWS 存取入口網站工作階段持續時間設定為 8 小時,且您在第四小時內變更了身分來源,則作用中的使用者工作階段會再保留 4 小時。若要撤銷使用者工作階段,請參閱 檢視和結束人力使用者的作用中工作階段

    如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者,具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需有關身分驗證工作階段持續時間和使用者行為的資訊,請參閱 了解 IAM Identity Center 中的身分驗證工作階段

    注意

    刪除使用者之後,您無法從 IAM Identity Center 主控台撤銷使用者工作階段。

如需 IAM Identity Center 如何佈建使用者和群組的資訊,請參閱 外部身分提供者

從外部 IdP 變更為 IAM Identity Center

如果您將身分來源從外部身分提供者 (IdP) 變更為 IAM Identity Center,請考慮下列事項:

  • IAM Identity Center 會保留您的所有指派。

  • 強制重設密碼 – 在 IAM Identity Center 中擁有密碼的使用者可以繼續使用其舊密碼登入。對於位於外部 IdP 且不在 IAM Identity Center 的使用者,管理員必須強制重設密碼。

  • 現有的使用者工作階段會在工作階段持續時間到期時撤銷 – 一旦您將身分來源變更為 IAM Identity Center,作用中的使用者工作階段會在主控台中設定的工作階段持續時間上限的剩餘期間內保留。例如,如果 AWS 存取入口網站工作階段持續時間為 8 小時,而您在第四小時變更了身分來源,則作用中的使用者工作階段會再繼續執行 4 小時。若要撤銷使用者工作階段,請參閱 檢視和結束人力使用者的作用中工作階段

    如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者,具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需有關身分驗證工作階段持續時間和使用者行為的資訊,請參閱 了解 IAM Identity Center 中的身分驗證工作階段

    注意

    刪除使用者之後,您將無法從 IAM Identity Center 主控台撤銷使用者工作階段。

如需 IAM Identity Center 如何佈建使用者和群組的資訊,請參閱 在 Identity Center 目錄中管理使用者

從一個外部 IdP 變更為另一個外部 IdP

如果您已經使用外部 IdP 做為 IAM Identity Center 的身分來源,並變更為不同的外部 IdP,請考慮下列事項:

  • 指派和成員資格適用於正確的聲明 – IAM Identity Center 會保留所有指派。只要新的 IdP 傳送正確的聲明 (例如 SAML nameIDs),使用者指派、群組指派和群組成員資格就會繼續運作。

    當您的使用者透過新的外部 IdP 驗證時,這些聲明必須符合 IAM Identity Center 中的使用者名稱。

  • SCIM 佈建 – 如果您使用 SCIM 將佈建至 IAM Identity Center,建議您檢閱本指南中的 IdP 特定資訊,以及 IdP 提供的文件,以確保新的供應商在啟用 SCIM 時正確符合使用者和群組。

  • 現有的使用者工作階段會在工作階段持續時間到期時撤銷 – 一旦您將身分來源變更為不同的外部身分提供者,作用中的使用者工作階段會在主控台中設定的工作階段持續時間上限的剩餘期間內保留。例如,如果 AWS 存取入口網站工作階段持續時間為 8 小時,而您在第四小時變更了身分來源,則作用中的使用者工作階段會再保留 4 小時。若要撤銷使用者工作階段,請參閱 檢視和結束人力使用者的作用中工作階段

    如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者,具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需有關身分驗證工作階段持續時間和使用者行為的資訊,請參閱 了解 IAM Identity Center 中的身分驗證工作階段

    注意

    刪除使用者之後,您無法從 IAM Identity Center 主控台撤銷使用者工作階段。

如需 IAM Identity Center 如何佈建使用者和群組的資訊,請參閱 外部身分提供者

在 Active Directory 和外部 IdP 之間變更

如果您將身分來源從外部 IdP 變更為 Active Directory,或從 Active Directory 變更為外部 IdP,請考慮下列事項:

  • 刪除使用者、群組和指派 – 從 IAM Identity Center 刪除所有使用者、群組和指派。外部 IdP 或 Active Directory 中不會影響使用者或群組資訊。

  • 佈建使用者 – 如果您變更為外部 IdP,您必須設定 IAM Identity Center 來佈建使用者。或者,您必須先手動佈建外部 IdP 的使用者和群組,才能設定指派。

  • 建立指派和群組 – 如果您變更為 Active Directory,您必須使用 Active Directory 中目錄中的使用者和群組來建立指派。

  • 如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者,具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需有關身分驗證工作階段持續時間和使用者行為的資訊,請參閱 了解 IAM Identity Center 中的身分驗證工作階段

如需 IAM Identity Center 如何佈建使用者和群組的詳細資訊,請參閱 Microsoft AD 目錄