Amazon Q Business ist ein Chatbot, der von künstlicher Intelligenz (KI) angetrieben wird und die Produktivität von Mitarbeitern steigert, indem er Fragen beantwortet und Aufgaben anhand von Informationen in den Unternehmenssystemen, auf die jeder Benutzer zugreifen kann. Wenn Sie Amazon Q Business für unternehmensinterne KI-Anwendungen nutzen möchten und Organisationen die Verwendung von AWS IAM Identity Center noch nicht flächendeckend implementiert haben, können Sie Amazon Q Business IAM Federation verwenden, um den Benutzerzugriff auf Amazon Q Business-Anwendungen direkt von Ihrem Unternehmens-Identitätsanbieter (IdP) zu verwalten. Amazon Q Business IAM Federation verwendet die Föderation mit IAM und erfordert nicht die Verwendung von IAM Identity Center.
AWS empfiehlt die Verwendung von AWS Identity Center, wenn Sie eine große Anzahl von Benutzern haben, um eine nahtlose Benutzerverwaltungserfahrung für mehrere Amazon Q Business-Anwendungen über viele AWS-Konten in AWS-Organisationen zu erreichen. Sie können federierte Gruppen verwenden, um den Zugriff zu definieren, und ein Benutzer wird nur einmal für sein höchstes Abonnementniveau von Amazon Q Business belastet. Obwohl Amazon Q Business IAM Federation es Ihnen ermöglicht, private und sichere generative KI-Anwendungen zu erstellen, ohne die Verwendung von IAM Identity Center zu erfordern, ist es relativ eingeschränkt und unterstützt keine federierten Gruppen und die Möglichkeit, einem Benutzer nur einmal für sein höchstes Abonnementniveau eines Amazon Q Business-Abonnements zu berechnen.
Um diese Lösung umzusetzen, erstellen Sie einen IAM-Identitätsanbieter für SAML oder einen IAM-Identitätsanbieter für OIDC basierend auf der IdP-Anwendungsintegration. Wenn Sie eine Amazon Q Business-Anwendung erstellen, wählen und konfigurieren Sie den entsprechenden IAM-Identitätsanbieter. Wenn die Anwendung auf Anfragen eines authentifizierten Benutzers antwortet, verwendet die Amazon Q Business-Anwendung die Konfiguration des IAM-Identitätsanbieters, um die Benutzeridentität zu validieren. Die Anwendung kann sicher und vertraulich antworten, indem Zugriffssteuerungslisten (ACLs) durchgesetzt werden, um Antworten nur aus dem Unternehmensinhalt zu generieren, auf den der Benutzer berechtigt ist, zuzugreifen.
Die Amazon Q Business IAM-Föderation erfordert die Föderation der Benutzeridentitäten, die in Ihrem Unternehmens-IdP bereitgestellt sind, wie z. B. Okta oder Ping Identity-Konto, unter Verwendung der Föderation mit IAM. Dies beinhaltet ein einmaliges Setup, bei dem eine SAML- oder OIDC-Anwendungsintegration in Ihrem IdP-Konto erstellt und ein entsprechender SAML-Identitätsanbieter oder ein OIDC-Identitätsanbieter in AWS IAM erstellt wird. Dieser SAML- oder OIDC-IAM-Identitätsanbieter ist erforderlich, um eine Amazon Q Business-Anwendung zu erstellen. Der IAM-Identitätsanbieter wird von der Amazon Q Business-Anwendung verwendet, um die föderierten Identitäten von Benutzern zu validieren und zu vertrauen, die über das Unternehmens-IdP authentifiziert wurden, und jedem Benutzer eine eindeutige Identität zuzuordnen. Daher ist ein Benutzer in allen Amazon Q Business-Anwendungen eindeutig identifiziert, die denselben SAML-IAM-Identitätsanbieter oder denselben OIDC-IAM-Identitätsanbieter gemeinsam nutzen.