Appearance
Kiro CLI Enterprise Identity Provider 用于把企业用户身份接入 Kiro。Kiro 支持通过 AWS IAM Identity Center 连接,也支持直接连接外部 IdP,例如 Okta 和 Microsoft Entra ID。连接后即可订阅 users 或 groups。
Kiro CLI Enterprise Identity Provider:连接 IAM Identity Center、Okta 和 Entra ID
企业版 Kiro 需要先接入身份提供方,才能把团队用户订阅到 Kiro。Kiro 支持两类方式:通过 AWS IAM Identity Center 连接,或直接连接外部 Identity Provider。
身份接入完成后,管理员就可以按用户或 groups 分配 Kiro subscription tier。
支持的身份来源
Kiro 支持这些 identity sources:
- AWS IAM Identity Center。
- External Identity Provider:
- Okta。
- Microsoft Entra ID。
如果团队已经使用 Okta 或 Entra ID,可以通过相应方式接入。若团队集中使用 AWS IAM Identity Center,也可以直接使用 IdC 中的用户和 groups。
连接后的下一步
Identity provider 连接完成后,管理员可以进入订阅流程:
- 在 Kiro console 中导入 users 或 groups。
- 选择对应 subscription tier。
- 给用户或 group 分配 Kiro 订阅。
- 等待用户收到下载和登录邮件。
注意:订阅 group 时,实际被订阅的是 group 内的每个用户,而不是一个独立的 group subscription。
选择方式建议
- 已经使用 AWS IAM Identity Center 管理用户:优先连接 IAM Identity Center。
- 企业身份主目录在 Okta:按 Okta 方式接入。
- 企业身份主目录在 Microsoft Entra ID:按 Entra ID 方式接入。
- 有多个 profile 或 Region:先规划清楚,避免同一用户被重复订阅。
常见问题
Q: Kiro Enterprise 支持哪些 IdP?
A: 支持 AWS IAM Identity Center,也支持外部 IdP,例如 Okta 和 Microsoft Entra ID。
Q: 接入 IdP 后就自动订阅用户了吗?
A: 不会。连接身份源后,还需要在 Kiro console 中订阅 users 或 groups。
Q: 订阅 group 是不是按组计费?
A: 不是。Kiro 会把 group 中的用户逐个订阅,计费仍按用户计算。