透過其他 區域的人力資源存取 - AWS IAM Identity Center
跨多個 的使用者工作階段 AWS 區域AWS 主要和其他 中的存取入口網站端點 AWS 區域主要和其他 中的 ACS 端點 AWS 區域使用沒有多個 ACS URLs AWS 受管應用程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過其他 區域的人力資源存取

本節說明當您在多個區域中啟用 IAM Identity Center 時 AWS 帳戶,您的人力資源如何存取 AWS 存取入口網站、 和 應用程式。

其他區域中 AWS 存取入口網站 的 會以與主要區域中相同的方式顯示您的人力資源可存取的 AWS 帳戶和應用程式。您的人力資源可以透過 AWS 存取入口網站 直接連結至區域入口網站端點 (例如,https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com),或透過您在外部 IdP 中設定的書籤應用程式,在其他區域中登入 。

您可以使用其他區域中的 AWS 存取入口網站 端點,授權 AWS CLI 以 IAM Identity Center 使用者身分存取 APIs。此功能的運作方式與主要區域相同。不過,CLI 授權不會跨已啟用的區域複寫。因此,您必須個別授權每個區域中的 CLI。

跨多個 的使用者工作階段 AWS 區域

IAM Identity Center 會將使用者工作階段從原始區域複寫到其他已啟用的區域。一個區域中的工作階段撤銷和登出也會複寫到其他區域。

IAM Identity Center 管理員撤銷工作階段

IAM Identity Center 管理員可以在其他區域中撤銷使用者工作階段。當工作階段跨區域複寫時,在正常情況下,撤銷單一區域中的工作階段就足夠,並讓 IAM Identity Center 將變更複寫到其他已啟用的區域。如果 IAM Identity Center 的主要區域發生中斷,管理員可以在其他區域中執行此操作。

AWS 存取入口網站 主要和額外 中的 端點 AWS 區域

如果您需要查詢已啟用區域的 AWS 存取入口網站 URLs,請遵循下列步驟:

  1. 開啟 IAM Identity Center 主控台

  2. 在導覽窗格中,選擇設定

  3. 選擇 Management (管理) 標籤,

  4. IAM Identity Center 區域區段中,選擇檢視所有 AWS 存取入口網站 URLs

下表指定 IAM Identity Center 執行個體之主要和其他區域的 AWS 存取入口網站 端點。

AWS 存取入口網站 endpoint 主要區域 其他區域 URL 模式和範例
僅限傳統 IPv41

模式https://[Identity Store ID].awsapps.com/start

範例https://d-12345678.awsapps.com/start
僅限自訂別名 IPv41 是 (選用)

模式https://[custom alias].awsapps.com/start

範例https://mycompany.awsapps.com/start
僅限替代 IPv42

模式https://[Identity Center instance ID]. [Region].portal.amazonaws.com

範例https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com
雙堆疊2

模式https://[Identity Center instance ID].portal. [Region].app.aws

範例https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws

1 在其他區域中,不支援自訂別名,而且awsapps.com父系網域無法使用。

2 替代的僅限 IPv4 和雙堆疊入口網站端點在 URL /start中沒有結尾。

主要和其他 中的聲明消費者服務 (ACS) 端點 AWS 區域

如果您需要查詢 ACS URLs 或將其下載為 SAML 中繼資料的一部分,請遵循下列步驟:

  1. 開啟 IAM Identity Center 主控台

  2. 在導覽窗格中,選擇設定

  3. 選擇身分來源索引標籤。

  4. 動作下拉式功能表中,選擇管理身分驗證

  5. 服務提供者中繼資料區段會顯示每個已啟用區域的 AWS 存取入口網站 和 ACS URL。IPv4-only 和雙堆疊 URLs 會顯示在各自的索引標籤中。如果您的 IdP 支援上傳 SAML 中繼資料檔案,您可以選擇下載中繼資料檔案,以下載具有所有 ACS URLs SAML 中繼資料檔案。如果不支援,或者您偏好個別新增,您可以從資料表複製個別 URL,或選擇檢視 ACS URLs,然後選擇複製所有 URLs

下表指定 IAM Identity Center 執行個體之主要和其他區域的 SAML 聲明消費者服務 (ACS) 端點:

ACS 端點 主要區域 其他區域 URL 模式和範例
僅限 IPv4

模式https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

範例 https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111
僅限替代 IPv4*

模式https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

範例 https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111
雙堆疊

模式https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

範例 https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

*IAM Identity Center 不再將此端點用於 2026 年 2 月開始建立的執行個體。雖然此端點仍然可供舊版執行個體使用,但我們建議您改用其他兩個端點的其中一個。

使用沒有多個 ACS URLs AWS 受管應用程式

有些外部身分提供者 IdPs) 在其 IAM Identity Center 應用程式中不支援多個聲明消費者服務 (ACS) URLs。多個 ACS URLs 是直接登入多區域 IAM Identity Center 中特定區域所需的 SAML 功能。

例如,如果您透過應用程式連結啟動 AWS 受管應用程式,系統會透過應用程式的連線 IAM Identity Center 區域觸發登入。不過,如果未在外部 IdP 中設定該區域的 ACS URL,則登入會失敗。

若要解決此問題,請與您的 IdP 廠商合作,以啟用多個 ACS URLs 的支援。同時,您仍然可以在其他區域中使用 AWS 受管應用程式。首先,登入其 ACS URL 在外部 IdP 中設定的 區域 (預設為主要區域)。在 IAM Identity Center 中擁有作用中工作階段後,您可以從任何已啟用區域的 AWS 存取入口網站或透過應用程式連結啟動應用程式。