Häufig gestellte Fragen zu AWS IAM Identity Center

Allgemeines

IAM Identity Center baut auf AWS Identity and Access Management (IAM) auf und vereinfacht die Zugriffsverwaltung auf mehrere AWS-Konten, AWS-Anwendungen und andere SAML-fähige Cloud-Anwendungen. Im IAM Identity Center erstellen oder verbinden Sie die Benutzer Ihrer Arbeitskräfte für die Nutzung in AWS. Sie können den Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen oder beide verwalten. Sie können Benutzer direkt im IAM Identity Center erstellen oder sie aus Ihrem bestehenden Mitarbeiterverzeichnis übernehmen. Mit IAM Identity Center können Sie eine einheitliche Arbeitsumgebung für die Administratoren definieren, anpassen und detailliert abgestufte Zugriffsrechte zuweisen. Ihre Mitarbeiter erhalten über ein Nutzerportal Zugang zu ihren zugewiesenen AWS-Konten oder Cloud-Anwendungen.

Mit IAM Identity Center entfällt die administrative Komplexität der Zusammenführung und Verwaltung von Berechtigungen für jedes AWS-Konto separat. Es ermöglicht Ihnen, AWS-Anwendungen über eine einzige Schnittstelle einzurichten und den Zugriff auf Ihre Cloud-Anwendungen von einem einzigen Ort aus zuzuweisen.

IAM Identity Center trägt auch zur Verbesserung der Zugriffstransparenz bei, indem es in AWS CloudTrail integriert wird und Ihnen einen zentralen Ort bietet, an dem Sie den Single Sign-On-Zugriff auf AWS-Konten und SAML-fähige Cloud-Anwendungen wie Microsoft 365, Salesforce und Box überprüfen können.

Das IAM Identity Center ist unsere empfohlene digitale Haustür zu AWS. Es sollte Ihr primäres Tool zur Verwaltung des AWS-Zugriffs der Benutzer Ihrer Arbeitskräfte sein. Es ermöglicht Ihnen, Ihre Identitäten in Ihrer bevorzugten Identitätsquelle zu verwalten, sie einmalig für die Verwendung in AWS zu verbinden, fein abgestufte Berechtigungen zu definieren und diese konsistent auf alle Konten anzuwenden. Wenn die Anzahl Ihrer Konten wächst, können Sie das IAM Identity Center als zentralen Ort für die Verwaltung des Benutzerzugriffs auf alle Ihre Cloud-Anwendungen nutzen.

IAM Identity Center richtet sich an Administratoren, die zahlreiche AWS-Konten und Geschäftsanwendungen verwalten müssen und daher die Verwaltung der Benutzerzugriffe auf diese Cloud-Services zentralisieren möchten und es gern sehen würden, wenn die Mitarbeiter von einer einzigen Stelle aus auf alle Konten und Anwendungen zugreifen könnten, ohne sich für jedes ein anderes Passwort merken zu müssen.

Als neue IAM-Identity-Center-Kunde sollten Sie Folgendes tun:

Sich bei der AWS-Managementkonsole des Management-Kontos in Ihrem AWS-Konto anmelden, und zur AWS SSO-Konsole navigieren.

Das Verzeichnis auswählen, das Sie zum Speichern der Identitäten Ihrer Benutzer und Gruppen in der AWS SSO-Konsole verwenden. IAM Identity Center stellt Ihnen standardmäßig ein Verzeichnis zur Verfügung, mit dem Sie Benutzer und Gruppen in IAM Identity Center verwalten können. Sie können das Verzeichnis auch so ändern, dass eine Verbindung mit einem Microsoft AD-Verzeichnis hergestellt wird, indem Sie durch eine Liste der verwalteten Microsoft AD- und AD Connector-Instances klicken, die IAM Identity Center automatisch in Ihrem Konto erkennt. Informationen zum Herstellen einer Verbindung mit einem Microsoft-AD-Verzeichnis finden Sie unter Erste Schritte mit AWS Directory Service.

Gewähren Sie Benutzern Single-Sign-On-Zugriff auf AWS-Konten in Ihrer Organisation, indem Sie in einer von IAM Identity Center aufgestellten Liste die AWS-Konten auswählen und dann Benutzer oder Gruppen aus Ihrem Active Directory sowie die Berechtigungen auswählen, die diesen erteilt werden sollen.

Gewähren Sie Benutzern den Zugriff auf geschäftliche Cloudanwendungen, indem Sie wie folgt vorgehen:

a. Wählen Sie in der Liste eine der Anwendungen aus, deren Integration schon vorab in IAM Identity Center unterstützt wird.

b. Konfigurieren Sie die Anwendung, indem Sie den Konfigurationsanweisungen folgen.

c. Wählen Sie die Benutzer oder Gruppen aus, die in der Lage sein sollen, auf diese Anwendung zuzugreifen.

Als Sie eine Verbindung zum Verzeichnis herstellten, wurde eine IAM-Identity-Center-Anmelde-URL generiert. Geben Sie diese URL an Ihre Benutzer weiter, damit diese sich bei IAM Identity Center anmelden und dann auf Konten und Geschäftsanwendungen zugreifen können.

IAM Identity Center wird ohne Aufpreis angeboten.

In der AWS-Regionentabelle finden Sie mehr Informationen über die Verfügbarkeit von IAM Identity Center in den einzelnen Regionen.

Unterstützung für Identitätsquellen und Anwendungen

Nein. Zum jedem beliebigen Zeitpunkt können Sie nur ein Verzeichnis oder einen SAML-2.0-Identitätsanbieter auf einmal mit IAM Identity Center verbinden lassen. Sie können jedoch die Verbindung zu einer anderen Identitätsquelle wechseln.

Sie können IAM Identity Center mit den meisten SAML-2.0-IdPs wie Okta Universal Directory oder Microsoft Entra ID (ehemals Azure AD) verbinden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

Nein. IAM Identity Center ändert keine bestehenden IAM-Rollen, -Benutzer oder -Richtlinien in Ihren AWS-Konten. IAM Identity Center erstellt neue Rollen und Richtlinien speziell für die Verwendung mit IAM Identity Center.

Nach der Aktivierung von IAM Identity Center funktionieren alle bestehenden IAM-Rollen oder -Benutzer unverändert weiter. Das bedeutet, dass Sie schrittweise zu IAM Identity Center migrieren können, ohne den bestehenden Zugriff auf AWS zu unterbrechen.

IAM Identity Center stellt neue Rollen für die Verwendung in Ihren AWS-Konten bereit. Sie können dieselben Richtlinien, die Sie für Ihre bestehenden IAM-Rollen verwenden, den neuen Rollen beifügen, die Sie mit IAM Identity Center verwenden.

IAM Identity Center erstellt keine IAM-Benutzer und -Gruppen. IAM Identity Center verfügt über einen eigenen, speziell entwickelten Identitätsspeicher für Benutzerinformationen. Wenn Sie einen externen Identitätsanbieter verwenden, enthält Identity Center eine synchronisierte Kopie der Benutzerattribute und der Gruppenmitgliedschaft, aber kein Authentifizierungsmaterial wie Passwörter oder MFA-Geräte. Ihr externer Identitätsanbieter bleibt die Quelle der Wahrheit für Benutzerinformationen und -attribute.

Ja. Wenn Sie Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin oder PingFederate verwenden, können Sie SCIM zur automatischen Benutzer- und Gruppeninformationssynchronisierung zwischen Ihrem IdP und IAM Identity Center verwenden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

Sie können IAM Identity Center mithilfe eines AWS Directory Service mit Ihrem lokal installierten Active Directory (AD) oder mit einem AWS Managed Microsoft AD AWS Directory Service verbinden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.

Es gibt zwei Möglichkeiten, um ein lokal gehostetes Active Directory mit IAM Identity Center zu verbinden: (1) per AD Connector oder (2) über eine AWS Managed Microsoft AD-Vertrauensstellung. AD Connector verbindet Ihren bestehenden lokal installierten Active Directory mit AWS. AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanforderungen an Ihr lokales Microsoft Active Directory weiterleiten kann, ohne dazu Informationen in der Cloud zwischenzuspeichern. Informationen zur Verbindung eines lokal vorhandenen AD Connectors erhalten Sie im AWS-Directory-Service-Administrationshandbuch. Mit AWS Managed Microsoft AD ist es ganz einfach, Microsoft Active Directory in AWS zu nutzen. Es kann dazu verwendet werden, eine Gesamtstruktur-Vertrauensstellung zwischen Ihrem lokal installierten Verzeichnis und AWS Managed Microsoft AD einzurichten. Informationen zur Einrichtung einer Vertrauensstellung erhalten Sie im AWS-Directory-Service-Administrationshandbuch.

Amazon Cognito ist ein Service, mit dem Sie Identitäten für Ihre kundenspezifischen Anwendungen verwalten können; es handelt sich nicht um eine unterstützte Identitätsquelle in IAM Identity Center. Sie können Ihre Workforce-Identitäten in IAM Identity Center oder in Ihrer externen Identitätsquelle erstellen und verwalten, so etwa Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD) odereinem anderen unterstützten IdP.

Ja. Sie können IAM Identity Center verwenden, um Zugriff zur AWS-Managementkonsole und CLI v2 zu erhalten. IAM Identity Center ermöglicht es Ihren Nutzern, per Single Sign-On auf die CLI und die AWS-Managementkonsole zuzugreifen. Die AWS Mobile Console-App unterstützt ebenfalls IAM Identity Center, sodass überall eine konsistente Anmeldung möglich ist, ob Browser, Mobilgerät oder CLI.

Sie können die folgenden Anwendungen an IAM Identity Center anbinden:

IAM-Identity-Center-integrierte Anwendungen: IAM Identity-Center-integrierte Anwendungen wie SageMaker Studio und IoT SiteWise nutzen IAM Identity Center zur Authentifizierung und zur Arbeit mit Ihren Identitäten in IAM Identity Center. Es ist keine zusätzliche Konfiguration erforderlich, um Identitäten in diesen Anwendungen zu synchronisieren oder den Verbund separat einzurichten.

Vorintegrierte SAML-Anwendungen: IAM Identity Center wird mit Integrationen für die gebräuchlichsten Geschäftsanwendungen ausgeliefert. Eine umfassende Liste finden Sie in der IAM-Identity-Center-Konsole.

Benutzerdefinierte SAML-Anwendungen: IAM Identity Center unterstützt Anwendungen, die Identitätsverbund mit SAML 2.0 ermöglichen. Sie können IAM Identity Center aktivieren, damit diese Anwendungen mithilfe des benutzerdefinierten Anwendungsassistenten unterstützt werden.

Single-Sign-On-Zugriff auf AWS-Konten

Sie können jedes beliebige AWS-Konto, das per AWS Organizations verwaltet wird, zu IAM Identity Center hinzufügen. Um Single Sign-On für Ihre Konten zu verwalten, müssen Sie alle Funktionen in Ihren Organisationen aktivieren.

Sie können Konten innerhalb der Organisation auswählen oder Konten nach der Organisationseinheit filtern.

Trusted Identity Propagation wird hauptsächlich verwendet, um Business-Intelligence-Anwendungen (BI) in die Lage zu versetzen, AWS-Analyseservices wie Amazon Redshift oder Amazon Quicksight nach Daten abzufragen, die von Geschäftsanwendern mit einer einzigen Benutzeranmeldung über den bestehenden Identitätsanbieter des Kunden benötigt werden, während gleichzeitig die Identität des Benutzers gewahrt bleibt. Die Funktion unterstützt verschiedene Arten häufig verwendeter BI-Anwendungen und verwendet unterschiedliche Mechanismen, um die Identität des Benutzers zwischen Diensten zu übertragen.

Beim Erteilen von Zugriff für Ihre Benutzer können Sie deren Zugriffsmöglichkeiten einschränken, indem Sie entsprechende Berechtigungen aus einem Berechtigungssatz auswählen. Berechtigungssätze sind eine Zusammenstellung von Berechtigungen, die Sie in IAM Identity Center erstellen können. Deren Gestaltung erfolgt nach AWS-verwalteten Richtlinien für bestimmte berufliche Funktionen oder nach beliebigen AWS-verwalteten Richtlinien. AWS-verwaltete Richtlinien für berufliche Funktionen sind so weit wie möglich für gängige berufliche Positionen in der IT-Branche ausgelegt. Falls erforderlich, können Sie den Berechtigungssatz vollständig an Ihre jeweiligen Sicherheitsanforderungen anpassen. IAM Identity Center wendet diese Berechtigungen automatisch auf die ausgewählten Konten an. Wenn Sie die Berechtigungssätze ändern, ermöglicht IAM Identity Center es Ihnen, die Änderungen problemlos für die entsprechenden Konten zu übernehmen. Wenn Ihre Benutzer über das AWS-Zugriffsportal auf die Konten zugreifen, schränken diese Berechtigungen ein, was für Aktionen die Benutzer innerhalb dieser Konten durchführen können. Sie können Ihren Benutzern auch mehrere Berechtigungssätze zuteilen. Beim Zugriff auf das Konto per Benutzerportal können Benutzer dann auswählen, welchen Berechtigungssatz sie für die jeweilige Sitzung übernehmen möchten.

IAM Identity Center bietet Support von APIs und AWS CloudFormation, um die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten zu automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abzurufen.

Zur Nutzung von ABAC können Sie Attribute aus dem Identitätsspeicher von IAM Identity Center für IAM-Identity-Center-Benutzer und andere Benutzer auswählen, die über Microsoft AD oder externe SAML 2.0-IdPs wie Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin oder PingFederate synchronisiert sind. Wenn ein IdP als Identitätsquelle verwendet wird, können Sie die Attribute optional als Teil einer SAML 2.0 Assertion übermitteln.

Anmeldeinformationen für AWS CLI erhalten Sie für jedes AWS-Konto und alle Benutzerberechtigungen, die Ihnen Ihr IAM-Identity-Center-Administrator zugewiesen hat. Durch die CLI-Anmeldeinformationen erhalten Sie programmgesteuerten Zugriff auf Ihr AWS-Konto.

AWS CLI-Anmeldeinformationen aus dem IAM-Identity-Center sind 60 Minuten lang gültig. Neue Anmeldeinformationen können Sie jederzeit bei Bedarf anfordern.

Single-Sign-On-Zugriff für Geschäftsanwendungen

Navigieren Sie in der IAM-Identity-Center-Konsole in den Bereich „Applications“ (Anwendungen), wählen Sie „Configure new application“ (Neue Anwendung konfigurieren), und wählen Sie dann eine Anwendung in der Liste der Cloud-Anwendungen aus, die bereits mit IAM Identity Center integriert sind. Folgen Sie beim Konfigurieren der Anwendung den eingeblendeten Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und klicken Sie dann auf "Assign Access" (Zugriff zuweisen), um den Vorgang abzuschließen.

Ja. Wenn Ihre Anwendung SAML 2.0 unterstützt, können Sie sie als benutzerdefinierte SAML 2.0-Anwendung konfigurieren. Navigieren Sie in der IAM-Identity-Center-Konsole in den Bereich "Applications" (Anwendungen), wählen Sie "Configure new application" (Neue Anwendung konfigurieren) aus, und wählen Sie dann "Custom SAML 2.0 application" (Benutzerdefinierte SAML 2.0-Anwendung) aus. Folgen Sie beim Konfigurieren der Anwendung den Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und wählen Sie dann "Assign Access" aus, um den Vorgang abzuschließen.

Nein. IAM Identity Center unterstützt nur SAML-2.0-basierte Anwendungen.

Nein. IAM Identity Center unterstützt Single Sign-On nur für Geschäftsanwendungen, auf die über einen Webbrowser zugegriffen wird.

Verschiedenes

IAM Identity Center wird Daten darüber speichern, welche AWS-Konten und Cloud-Anwendungen welchen Benutzern und Gruppen zugewiesen sind und was für Berechtigungen für den Zugriff auf AWS-Konten erteilt wurden. Außerdem wird IAM Identity Center auch IAM-Rollen in individuellen AWS-Konten für jeden Berechtigungssatz erstellen, mit dem Sie Ihren Benutzern Zugriff erteilen.

Dank IAM Identity Center können Sie auf Standards basierte starke Authentifizierungsfunktionen für alle Ihre Benutzer übergreifend über alle Identitätsquellen aktivieren. Wenn Sie einen unterstützten SAML 2.0-IdP als Identitätsquelle verwenden, können sie die Multi-Faktor-Authentifizierung Ihres Anbieters aktivieren. Falls Sie IAM Identity Center oder Active Directory als Identitätsquelle verwenden, unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung, um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren.

Sie haben auch die Möglichkeit, Ihre vorhandene MFA-Konfiguration für den Remote Authentication Dial-In User Service (RADIUS) mit IAM Identity Center und AWS Directory Services zur Authentifizierung Ihrer Benutzer als sekundäre Verifizierungsmaßnahme zu nutzen. Weitere Informationen zur Konfiguration von MFA mit IAM Identity Center finden Sie im IAM Identity Center Benutzerhandbuch.

Ja. Für Benutzeridentitäten im Identitätsspeicher von IAM Identity Center und Active Directory unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung (WebAuthn), um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren.

Als Erstes besuchen Ihre Mitarbeiter das IAM-Identity-Center-Benutzerportal, das generiert wird, wenn Sie Ihre Identitätsquelle in IAM Identity Center konfigurieren. Wenn Sie Ihre Benutzer in IAM Identity Center verwalten, können Ihre Mitarbeiter ihre E-Mail-Adresse und ihr Kennwort, die sie mit IAM Identity Center konfiguriert haben, verwenden, um sich beim Benutzerportal anzumelden. Wenn Sie IAM Identity Center mit einem Microsoft Active Directory oder einem SAML 2.0 Identitätsanbieter verbinden, können sich Ihre Mitarbeiter mit ihren bestehenden Unternehmens-Anmeldeinformationen anmelden. Anschließend können sie die Konten und Anwendungen anzeigen, die ihnen zugewiesen sind. Um auf ein Konto oder eine Anwendung zuzugreifen, klicken Ihre Mitarbeiter dann auf das zugehörige Symbol im IAM-Identity-Center-Benutzerportal.

Ja. IAM Identity Center bietet Kontenzuweisungs-APIs mit denen Sie die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abrufen können.