Zugriff auf Mitarbeiter über eine zusätzliche Region - AWS IAM Identity Center
Benutzersitzungen über mehrere AWS-RegionenAWS auf Portal-Endpunkte im primären und weiteren Bereich zugreifen AWS-RegionenACS-Endpunkte im primären und weiteren AWS-RegionenVerwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriff auf Mitarbeiter über eine zusätzliche Region

In diesem Abschnitt wird erklärt, wie Ihre Mitarbeiter auf die AWS-Zugangsportal, AWS-Konto s und Anwendungen zugreifen können, wenn Sie IAM Identity Center in mehreren Regionen aktiviert haben.

AWS-Zugangsportal In einer zusätzlichen Region werden die AWS-Konto Anwendungen und Anwendungen angezeigt, auf die Ihre Mitarbeiter Zugriff haben, genauso wie in der primären Region. Ihre Belegschaft kann sich AWS-Zugangsportal in einer weiteren Region über einen direkten Link zum regionalen Portal-Endpunkt (z. B.https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com) oder über eine Lesezeichen-App, die Sie im externen IdP eingerichtet haben, anmelden.

Sie können den AWS-Zugangsportal Endpunkt in einer weiteren Region verwenden, um den Zugriff APIs als IAM AWS CLI Identity Center-Benutzer zu autorisieren. Diese Funktion funktioniert genauso wie in der primären Region. CLI-Autorisierungen werden jedoch nicht in allen aktivierten Regionen repliziert. Daher müssen Sie die CLI in jeder Region einzeln autorisieren.

Benutzersitzungen über mehrere AWS-Regionen

IAM Identity Center repliziert Benutzersitzungen von der ursprünglichen Region in die anderen aktivierten Regionen. Der Widerruf und die Abmeldung von Sitzungen in einer Region werden auch auf die anderen Regionen repliziert.

Widerruf von Sitzungen durch IAM Identity Center-Administratoren

IAM Identity Center-Administratoren können Benutzersitzungen in weiteren Regionen widerrufen. Da Sitzungen regionsübergreifend repliziert werden, reicht es unter normalen Bedingungen aus, eine Sitzung in einer einzelnen Region zu widerrufen und IAM Identity Center die Änderung auf die anderen aktivierten Regionen replizieren zu lassen. Wenn es in der primären Region von IAM Identity Center zu Störungen kommt, können Administratoren diesen Vorgang in weiteren Regionen durchführen.

AWS-Zugangsportal Endpunkte in der primären und weiteren AWS-Regionen

Gehen Sie wie folgt vor, wenn Sie im AWS Zugriffsportal URLs nach den aktivierten Regionen suchen müssen:

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie den Tab Management.

  4. Wählen Sie im Abschnitt Regionen für IAM Identity Center die Option Portal URLs für alle AWS Zugriffe anzeigen aus.

In der folgenden Tabelle sind die AWS-Zugangsportal Endpunkte in den primären und zusätzlichen Regionen einer IAM Identity Center-Instanz aufgeführt.

AWS-Zugangsportal Endpunkt Primäre -Region Zusätzliche Region URL-Muster und Beispiel
IPv4 Nur klassisch 1 Ja Nein

Muster: https://[Identity Store ID].awsapps.com/start

Beispiel: https://d-12345678.awsapps.com/start

IPv4 Nur benutzerdefinierter Alias 1 Ja (optional) Nein

Muster: https://[custom alias].awsapps.com/start

Beispiel: https://mycompany.awsapps.com/start

IPv4 Nur Alternative 2 Ja Ja

Muster: https://[Identity Center instance ID]. [Region].portal.amazonaws.com

Beispiel: https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com

Dual-Stack 2 Ja Ja

Muster: https://[Identity Center instance ID].portal. [Region].app.aws

Beispiel: https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws

1 In weiteren Regionen wird der benutzerdefinierte Alias nicht unterstützt und die awsapps.com übergeordnete Domain ist nicht verfügbar.

2 Die Endpunkte des IPv4 alternativen Portals und des Dual-Stack-Portals haben kein Ende /start in der URL.

Assertion Consumer Service (ACS) -Endpunkte im primären und weiteren AWS-Regionen

Gehen Sie wie folgt vor, wenn Sie die ACS nachschlagen URLs oder sie als Teil der SAML-Metadaten herunterladen müssen:

  1. Öffnen Sie die IAM-Identity-Center-Konsole.

  2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

  3. Wählen Sie die Registerkarte Identitätsquelle.

  4. Wählen Sie im Dropdownmenü Aktionen die Option Authentifizierung verwalten aus.

  5. Im Abschnitt mit den Metadaten des Dienstanbieters werden die AWS-Zugangsportal und die ACS-URL für jede aktivierte Region angezeigt. IPv4-only und Dual-Stack URLs werden auf den jeweiligen Registerkarten angezeigt. Wenn Ihr IdP das Hochladen der SAML-Metadatendatei unterstützt, können Sie Metadatendatei herunterladen wählen, um die SAML-Metadatendatei mit allen ACS herunterzuladen. URLs Wenn dies nicht unterstützt wird oder Sie sie lieber einzeln hinzufügen möchten, können Sie einzelne Dateien aus der Tabelle kopieren oder ACS anzeigen URLs und dann Alle kopieren auswählen. URLs

In der folgenden Tabelle sind die SAML Assertion Consumer Service (ACS) -Endpunkte in den primären und zusätzlichen Regionen einer IAM Identity Center-Instanz aufgeführt:

ACS-Endpunkt Primäre -Region Zusätzliche Region URL-Muster und Beispiel
IPv4 nur Ja Ja

Muster: https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

Beispiel: https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

IPv4 Nur Alternativ* Ja Nein

Muster: https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

Beispiel: https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

Dual-Stack Ja Ja

Muster: https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

Beispiel: https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

*IAM Identity Center verwendet diesen Endpunkt nicht mehr für Instances, die ab Februar 2026 erstellt wurden. Dieser Endpunkt bleibt zwar für frühere Instances verfügbar, wir empfehlen jedoch, stattdessen einen der beiden anderen Endpunkte zu verwenden.

Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs

Einige externe Identitätsanbieter (IdPs) unterstützen den Multiple Assertion Consumer Service (ACS) URLs in ihrer IAM Identity Center-Anwendung nicht. Mehrere ACS URLs sind eine SAML-Funktion, die für die direkte Anmeldung in einer bestimmten Region in einem IAM Identity Center mit mehreren Regionen erforderlich ist.

Wenn Sie beispielsweise eine AWS verwaltete Anwendung über einen Anwendungslink starten, löst das System die Anmeldung über die verbundene IAM Identity Center-Region der Anwendung aus. Wenn die ACS-URL für diese Region jedoch nicht im externen IdP konfiguriert ist, schlägt die Anmeldung fehl.

Um dieses Problem zu beheben, arbeiten Sie mit Ihrem IdP-Anbieter zusammen, um die Unterstützung für mehrere ACS URLs zu aktivieren. In der Zwischenzeit können Sie AWS verwaltete Anwendungen weiterhin in weiteren Regionen verwenden. Melden Sie sich zunächst bei der Region an, deren ACS-URL im externen IdP konfiguriert ist (standardmäßig die primäre Region). Nachdem Sie eine aktive Sitzung in IAM Identity Center eingerichtet haben, können Sie die Anwendung über das AWS Zugriffsportal in einer beliebigen aktivierten Region oder über einen Anwendungslink starten.