Introducción a unAWS IAM Identity Center (successor to AWS Single Sign-On)origen de identidad (consola) - Amazon Kendra

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a unAWS IAM Identity Center (successor to AWS Single Sign-On)origen de identidad (consola)

UnAWS IAM Identity Center (successor to AWS Single Sign-On)fuente de identidad contiene información sobre los niveles de acceso de grupos y usuarios. Esto resulta útil para configurar el filtrado de contexto de usuario, dondeAmazon Kendrafiltra los resultados de búsqueda de diferentes usuarios en función del acceso de su grupo a los documentos.

Para crear unIAM Identity Centerorigen de identidad, debe habilitarIAM Identity Centery crear una organización. Cuando habilitasIAM Identity Centery crear una organización por primera vez, seIAM Identity Centerel almacén de identidades como origen de identidad predeterminado. Puede cambiar a Active Directory (gestionado o autogestionado por Amazon) o a un proveedor de identidad externo como fuente de identidad. Debe seguir las instrucciones correctas para ello; consulteModificación de suIAM Identity Centerfuente de identidad. Solo puede tener un origen de identidad por organización.

Para que sus grupos enIAM Identity Centerpara que se le asignen diferentes niveles de acceso a los documentos, debe incluir sus grupos en la lista de control de acceso cuando incorpore documentos a su índice. Esto permite a los grupos buscar documentos enAmazon Kendrade acuerdo con su nivel de acceso. Al emitir una consulta, el ID de usuario debe coincidir exactamente con el nombre de usuario deIAM Identity Center.

También debe conceder los permisos necesarios para utilizarIAM Identity CenterconAmazon Kendra. Para obtener más información, consulteIAMRoles de paraAWS IAM Identity Center (successor to AWS Single Sign-On).

Para configurar unIAM Identity Centerfuente de identidad

  1. Abra la consola de IAM Identity Center.

  2. ElegirHabilitarIAM Identity Centery, a continuación, seleccioneCrearAWSorganización.

    IAM Identity CenterEl almacén de identidad se crea de forma predeterminada y se le enviará un correo electrónico para verificar la dirección de correo electrónico asociada a la organización.

  3. Para agregar un grupo a suAWSorganización, en el panel de navegación, seleccioneGroups.

  4. En la páginaPágina Grupos, eligeCreación de un grupoe introduzca un nombre y una descripción del grupo en el cuadro de diálogo. Seleccione Create (Crear).

  5. Para agregar un usuario a su organización IAM Identity Center, en el panel de navegación, elija Users (Usuarios).

  6. En la página Users (Usuarios), elija Add user (Añadir usuario). En User details (Detalles del usuario), especifique todos los campos obligatorios. En Password (Contraseña), elija Send an email to the user (Enviar un correo electrónico al usuario). Elija Next (Siguiente).

  7. Para agregar un usuario a un grupo, seleccioneGroupsy selecciona un grupo.

  8. En la páginaDetalles depágina, enMiembros del grupo, eligeAñada un usuario.

  9. En la páginaAñada usuarios al grupo, seleccione el usuario que desea agregar como miembro del grupo. Puede seleccionar varios usuarios para agregar a un grupo.

  10. Para sincronizar la lista de usuarios y grupos conIAM Identity Center, cambie el origen de identidad a Active Directory o proveedor de identidad externo.

    IAM Identity Centerel almacén de identidades es el origen de identidad predeterminado y requiere que agregue manualmente los usuarios y grupos mediante este origen si no tiene su propia lista administrada por un proveedor. Para cambiar su origen de identidad, debe seguir las instrucciones correctas para ello; consulteModificación de suIAM Identity Centerfuente de identidad.

nota

Si utiliza Active Directory o un proveedor de identidad externo como origen de identidad, debe asignar las direcciones de correo electrónico de los usuarios aIAM Identity Centernombres de usuario al especificar el protocolo Sistema para la gestión de identidades entre dominios (SCIM). Para obtener más información, consulte laIAM Identity Centerguía sobre SCIM para configurarIAM Identity Center.

Una vez que haya configurado laIAM Identity Centerorigen de identidad, puede habilitarlo en la consola cuando cree o edite el índice. Vaya aControl de acceso de usuariosen la configuración del índice y edite la configuración para permitir obtener información del grupo de usuarios deIAM Identity Center. También puede habilitarIAM Identity Centermediante laUserGroupResolutionConfigurationobjeto. Debe proporcionar laUserGroupResolutionModecomoAWS_SSOy crea unIAMrol que conceda permiso a para llamar asso:ListDirectoryAssociations,sso-directory:SearchUsers,sso-directory:ListGroupsForUser,sso-directory:DescribeGroups.

aviso

Amazon Kendraactualmente no admite el usoUserGroupResolutionConfigurationcon unAWScuenta de miembro de la organización para tuIAM Identity Centeridentificar la fuente. Debe crear el índice en la cuenta de administración de la organización para poder utilizarUserGroupResolutionConfiguration.

A continuación se proporciona información general sobre cómo configurar un origen de datos conUserGroupResolutionConfigurationy control de acceso de usuarios para filtrar los resultados de búsqueda según el contexto del usuario. En este caso, se asume que ya ha creado un índice y unIAMfunción para los índices. Crea un índice y proporciona elIAMmediante laCreateIndexAPI.

Configuración de una fuente de datos conUserGroupResolutionConfigurationy filtrado de contexto de usuario

  1. Creación de unIAMrol deque conceda permiso a para obtener acceso alIAM Identity Centerfuente de identidad.

  2. ConfigurarUserGroupResolutionConfigurationconfigurando el modo enAWS_SSOy llame aUpdateIndexpara actualizar el índice y utilizarIAM Identity Center.

  3. Si desea utilizar el control de acceso de usuario basado en tokens para filtrar los resultados de la búsqueda según el contexto del usuario, definaUserContextPolicyaUSER_TOKENcuando llamasUpdateIndex. De lo contrario,Amazon Kendrarastrea la lista de control de acceso de cada uno de sus documentos para la mayoría de los conectores de fuentes de datos. También puede filtrar los resultados de la búsqueda según el contexto del usuario en laConsultaAPI proporcionando información de usuarios y grupos enUserContext. También puede asignar usuarios a sus grupos mediantePutPrincipalMappingpara que solo tenga que proporcionar el ID de usuario cuando emita la consulta.

  4. Creación de unIAMrol deque conceda permiso a para obtener acceso a la fuente de datos.

  5. Configurarsu origen de datos. Debe proporcionar la información de conexión necesaria para conectarse a la fuente de datos.

  6. Cree un origen de datos mediante laCreateDataSourceAPI. Proporcione laDataSourceConfigurationobjeto, el ID del índice, laIAMpara la fuente de datos, el tipo de fuente de datos y asigne un nombre a la fuente de datos. También puede actualizar la fuente de datos.