Configurar SAML y SCIM con Microsoft Entra ID y IAM Identity Center

AWS IAM Identity Center admite la integración con Security Assertion Markup Language (SAML) 2.0, así como el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde Microsoft Entra ID (anteriormente conocido como Azure Active Directory o Azure AD) al IAM Identity Center mediante el protocolo System for Cross-Domain Identity Management (SCIM) 2.0.

Objetivo

En este tutorial, configurará un laboratorio de pruebas y configurará una SAML conexión y un SCIM aprovisionamiento entre Microsoft Entra ID e IAM Identity Center. Durante los pasos iniciales de preparación, creará un usuario de prueba (Nikki Wolf) en ambos Microsoft Entra ID e IAM Identity Center, que utilizarás para probar la SAML conexión en ambas direcciones. Más adelante, como parte de los SCIM pasos, creará un usuario de prueba diferente (Richard Roe) para comprobar los nuevos atributos en Microsoft Entra ID se están sincronizando con IAM Identity Center según lo previsto.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que definir lo siguiente:

• A Microsoft Entra ID inquilino. Para obtener más información, consulte Inicio rápido: configurar un inquilino en Microsoft .

• Una cuenta AWS IAM Identity Center habilitada. Para obtener más información, consulte Habilitar IAM Identity Center en la Guía del AWS IAM Identity Center usuario.

Consideraciones

Las siguientes son consideraciones importantes sobre Microsoft Entra ID esto puede afectar a la forma en que planea implementar el aprovisionamiento automático con IAM Identity Center en su entorno de producción mediante el protocolo SCIM v2.

Aprovisionamiento automático

Antes de empezar a implementarSCIM, le recomendamos que lo revise Consideraciones para utilizar el aprovisionamiento automático primero.

Atributos para controlar el acceso

Los atributos para el control de acceso se utilizan en las políticas de permisos que determinan quién de su fuente de identidad puede acceder a sus AWS recursos. Si se elimina un atributo de un usuario en Microsoft Entra ID, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en Microsoft Entra ID. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincronizará con IAM Identity Center.

Agrupación anidada

La Microsoft Entra ID el servicio de aprovisionamiento de usuarios no puede leer ni aprovisionar usuarios en grupos anidados. Solo se pueden leer y aprovisionar los usuarios que sean miembros inmediatos de un grupo asignado explícitamente. Microsoft Entra ID no desglosa de forma recursiva las pertenencias a grupos de usuarios o grupos asignados indirectamente (usuarios o grupos que son miembros de un grupo asignado directamente). Para obtener más información, consulte el ámbito basado en las tareas en Microsoft . Como alternativa, puede utilizar IAMIdentity Center ID AD Sync para realizar la integración Active Directory grupos con IAM Identity Center.

Grupos dinámicos

La Microsoft Entra ID el servicio de aprovisionamiento de usuarios puede leer y aprovisionar usuarios en grupos dinámicos. Consulte a continuación un ejemplo que muestra la estructura de usuarios y grupos cuando se utilizan grupos dinámicos y cómo se muestran en IAM Identity Center. Estos usuarios y grupos se aprovisionaron desde Microsoft Entra ID a IAM Identity Center a través de SCIM

Por ejemplo, si Microsoft Entra ID la estructura de los grupos dinámicos es la siguiente:

1. Grupo A con los miembros ua1, ua2

2. Grupo B con miembros ub1

3. Grupo C con miembros uc1

4. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

5. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

Después de aprovisionar la información de usuarios y grupos desde Microsoft Entra ID a través de IAM Identity CenterSCIM, la estructura será la siguiente:

1. Grupo A con los miembros ua1, ua2

2. Grupo B con miembros ub1

3. Grupo C con miembros uc1

4. Grupo K con miembros ua1, ua2, ub1, uc1

5. Grupo L con miembros ub1, uc1

Cuando configure el aprovisionamiento automático mediante grupos dinámicos, tenga en cuenta las siguientes consideraciones.

• Un grupo dinámico puede incluir un grupo anidado. Sin embargo, Microsoft Entra ID el servicio de aprovisionamiento no aplana el grupo anidado. Por ejemplo, si tiene lo siguiente Microsoft Entra ID estructura para grupos dinámicos:

  • El grupo A es un elemento principal del grupo B.

  • El grupo A tiene a ua1 como miembro.

  • El grupo B tiene a ub1 como miembro.

El grupo dinámico que incluye al grupo A solo incluirá a los miembros directos del grupo A (es decir, ua1). No incluirá de forma recursiva a los miembros del grupo B.

• Los grupos dinámicos no pueden contener otros grupos dinámicos. Para obtener más información, consulte las limitaciones de la vista previa en la Microsoft .

Paso 1: preparación de su inquilino de Microsoft

En este paso, explicará cómo instalar y configurar su aplicación AWS IAM Identity Center empresarial y cómo asignar el acceso a una aplicación recién creada Microsoft Entra ID usuario de prueba.

Step 1.1 >

Paso 1.1: Configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID

En este procedimiento, instale la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID. Necesitará esta aplicación más adelante para configurar su SAML conexión con AWS.

1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como administrador de aplicaciones en la nube.

2. Vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione New application.

3. En la página Browse Microsoft Entra Gallery, ingrese AWS IAM Identity Center en el cuadro de búsqueda.

4. Seleccione AWS IAM Identity Centeruno de los resultados.

5. Seleccione Crear.

Step 1.2 >

Paso 1.2: Crea un usuario de prueba en Microsoft Entra ID

Nikki Wolf es el nombre de tu Microsoft Entra ID usuario de prueba que creará en este procedimiento.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

3. En User principal name, ingrese NikkiWolf y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, NikkiWolf@example.org.

4. En Display name, ingrese NikkiWolf.

5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

6. Seleccione Properties y, en Name, ingrese Nikki. En Last name, ingrese Wolf.

7. Elija Review + create y, a continuación, seleccione Create.

Step 1.3

Paso 1.3: Pon a prueba la experiencia de Nikki antes de asignar sus permisos a AWS IAM Identity Center

En este procedimiento, verificará que Nikki puede iniciar sesión correctamente en el portal Mi cuenta de Microsoft.

1. En el mismo navegador, abre una pestaña nueva, ve a la página de inicio de sesión del portal Mi cuenta e introduce la dirección de correo electrónico completa de Nikki. Por ejemplo, @ NikkiWolfexample.org.

2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in. Si se trata de una contraseña generada automáticamente, se le solicitará que la cambie.

3. En la página Action Required, seleccione Ask later para omitir la solicitud de métodos de seguridad adicionales.

4. En la página Mi cuenta, en el panel de navegación izquierdo, selecciona Mis aplicaciones. Tenga en cuenta que, además de los complementos, no se muestra ninguna aplicación en este momento. Agregará una aplicación de AWS IAM Identity Center que aparecerá aquí en un paso posterior.

Step 1.4

Paso 1.4: Asigne permisos a Nikki en Microsoft Entra ID

Ahora que ha comprobado que Nikki puede acceder correctamente al portal Mi cuenta, utilice este procedimiento para asignar su usuario a la aplicación de AWS IAM Identity Center.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center en la lista.

2. A la izquierda, seleccione Users and groups.

3. Elija Agregar usuario o grupo. Puede ignorar el mensaje que indica que los grupos no están disponibles para su asignación. En este tutorial no se utilizan grupos para las asignaciones.

4. En la página Add Assignment, en Users, seleccione None Selected.

5. Seleccione y NikkiWolf, a continuación, elija Seleccionar.

6. En la página Añadir tarea, elija Asignar. NikkiWolf ahora aparece en la lista de usuarios asignados a la AWS IAM Identity Centeraplicación.

Paso 2: Prepara tu AWS cuenta

En este paso, explicarás cómo usarla IAM Identity Centerpara configurar los permisos de acceso (mediante un conjunto de permisos), cree manualmente el usuario correspondiente de Nikki Wolf y asígnele los permisos necesarios para administrar los AWS recursos.

Step 2.1 >

Paso 2.1: Crea un conjunto de RegionalAdmin permisos en IAM Identity Center

Este conjunto de permisos se utilizará para conceder a Nikki los permisos de AWS cuenta necesarios para gestionar las regiones desde la página de la cuenta dentro del AWS Management Console. De forma predeterminada, todos los demás permisos para ver o administrar cualquier otra información de la cuenta de Nikki están denegados.

1. Abra la consola de IAM Identity Center.

2. En Permisos para varias cuentas, elija Conjunto de permisos.

3. Elija Crear conjunto de permisos.

4. En la página Seleccionar el tipo de conjunto de permisos, seleccione Conjunto de permisos personalizado y seleccione Siguiente.

5. Seleccione Política insertada para ampliarla y, a continuación, siga estos pasos para crear una política para el conjunto de permisos:

   1. Seleccione Agregar nueva instrucción para crear una instrucción de política.

   2. En Editar estado de cuenta, seleccione Cuenta en la lista y, a continuación, seleccione las siguientes casillas de verificación.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. Junto a Agregar un recurso, elija Agregar.

   4. En la página Agregar recurso, en Tipo de recurso, seleccione Todos los recursos y, a continuación, seleccione Agregar recurso. Compruebe que la política sea similar a la siguiente:

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. Elija Next (Siguiente).

7. En la página Especificar los detalles del conjunto de permisos, en Nombre de conjunto de permisos, escriba RegionalAdmin y, a continuación, seleccione Siguiente.

8. En la página Review and create (Revisar y crear), elija Create (Crear). Debería RegionalAdminaparecer en la lista de conjuntos de permisos.

Step 2.2 >

Paso 2.2: Cree el NikkiWolf usuario correspondiente en IAM Identity Center

Dado que el SAML protocolo no proporciona un mecanismo para consultar el IdP (Microsoft Entra ID) y cree usuarios automáticamente aquí, en IAM Identity Center, utilice el siguiente procedimiento para crear manualmente un usuario en IAM Identity Center que refleje los atributos principales del usuario de Nikki Wolf en Microsoft Entra ID.

1. Abra la consola de IAMIdentity Center.

2. Seleccione Usuarios, Agregar usuario y, a continuación, proporcione la siguiente información:

   1. Para el nombre de usuario y la dirección de correo electrónico: introduzca la misma NikkiWolf @yourcompanydomain.extensionque utilizaste al crear tu Microsoft Entra ID usuario. Por ejemplo, NikkiWolf@example.org.

   2. Confirmar dirección de correo electrónico: vuelva a ingresar la dirección de correo electrónico del paso anterior

   3. Nombre: ingrese Nikki.

   4. Apellidos: ingrese Wolf.

   5. Nombre de visualización: ingrese Nikki Wolf.

3. Seleccione Siguiente dos veces, y a continuación, seleccione Agregar usuario.

4. Seleccione Close (Cerrar).

Step 2.3

Paso 2.3: Asigne a Nikki el conjunto de RegionalAdmin permisos en IAM Identity Center

Aquí encontrará el lugar Cuenta de AWS en el que Nikki administrará las regiones y, a continuación, asignará los permisos necesarios para que pueda acceder correctamente al portal de AWS acceso.

1. Abra la consola de IAM Identity Center.

2. En Permisos para varias cuentas, elija Cuentas de AWS.

3. Seleccione la casilla de verificación situada junto al nombre de la cuenta (por ejemplo, Sandbox) donde quieres conceder a Nikki acceso para gestionar las regiones y, a continuación, selecciona Asignar usuarios y grupos.

4. En la página Asignar usuarios y grupos, seleccione la pestaña Usuarios, busque y marque la casilla situada junto a Nikki y, a continuación, seleccione Siguiente.

Paso 3: Configura y prueba tu conexión SAML

En este paso, configura la SAML conexión mediante la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID junto con la configuración del IdP externo en IAM Identity Center.

Step 3.1 >

Paso 3.1: Recopile los metadatos del proveedor de servicios necesarios desde IAM Identity Center

En este paso, iniciará el asistente para cambiar la fuente de identidad desde la consola de IAM Identity Center y recuperará el archivo de metadatos y el inicio de sesión AWS específico URL que deberá introducir al configurar la conexión con Microsoft Entra ID en el siguiente paso.

1. En la consola de IAM Identity Center, seleccione Configuración.

2. En la página de configuración, elija la pestaña Fuente de identidad, elija Acciones y, a continuación, Cambiar fuente de identidad.

3. En la página Elegir el origen de identidad, seleccione Proveedor de identidades externo y, a continuación, seleccione Siguiente.

4. En la página Configurar un proveedor de identidad externo, en Metadatos del proveedor de servicios, elija Descargar archivo de metadatos para descargar el XML archivo.

5. En la misma sección, localice el URL valor de inicio de sesión del portal de AWS acceso y cópielo. Deberá ingresar este valor en el siguiente paso cuando se le pida.

6. Deje esta página abierta y continúe con el siguiente paso (Step 3.2) para configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID. Más adelante, volverás a esta página para completar el proceso.

Step 3.2 >

Paso 3.2: Configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID

Este procedimiento establece la mitad de la SAML conexión en el lado de Microsoft mediante los valores del archivo de metadatos y el inicio de sesión URL que obtuvo en el último paso.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. A la izquierda, selecciona 2. Configura el inicio de sesión único.

3. En la página Configurar el inicio de sesión único conSAML, elija. SAML A continuación, selecciona Cargar archivo de metadatos, selecciona el icono de la carpeta, selecciona el archivo de metadatos del proveedor de servicios que descargaste en el paso anterior y, a continuación, selecciona Añadir.

4. En la página de SAMLconfiguración básica, compruebe que tanto los URL valores de identificador como de respuesta apuntan ahora a puntos finales AWS que comienzan conhttps://<REGION>.signin.aws.amazon.com/platform/saml/.

5. En Iniciar sesión URL (opcional), pegue el URL valor de inicio de sesión del portal de AWS acceso que copió en el paso anterior (Step 3.1), elija Guardar y, a continuación, elija X para cerrar la ventana.

6. Si se te pide que pruebes el inicio de sesión único con él AWS IAM Identity Center, selecciona No, lo probaré más tarde. Realizará esta verificación en un paso posterior.

7. En la SAML página Configurar el inicio de sesión único con, en la sección SAMLCertificados, junto a Metadatos de la federación XML, selecciona Descargar para guardar el archivo de metadatos en el sistema. Deberá cargar este archivo en el siguiente paso cuando se le pida.

Step 3.3 >

Paso 3.3: Configure el Microsoft Entra ID IdP externo en AWS IAM Identity Center

Aquí volverá al asistente para cambiar la fuente de identidad de la consola de IAM Identity Center para completar la segunda mitad de la SAML conexión. AWS

1. Vuelva a la sesión del navegador que dejó abierta Step 3.1en la consola de IAM Identity Center.

2. En la página Configurar un proveedor de identidad externo, en la sección Metadatos del proveedor de identidad, en SAMLMetadatos del IdP, pulse el botón Elegir archivo y seleccione el archivo de metadatos del proveedor de identidad que descargó desde Microsoft Entra ID en el paso anterior y, a continuación, selecciona Abrir.

3. Elija Next (Siguiente).

4. Cuando haya leído el aviso legal y tenga todo listo para continuar, ingrese ACCEPT.

5. Seleccione Cambiar el origen de identidad para aplicar los cambios.

Step 3.4 >

Paso 3.4: comprobación de que Nikki se redirige al portal de acceso de AWS

En este procedimiento, probará la SAML conexión iniciando sesión en el portal Mi cuenta de Microsoft con las credenciales de Nikki. Una vez autenticado, seleccionarás la AWS IAM Identity Center aplicación que redirigirá a Nikki al AWS portal de acceso.

1. Vaya a la página de inicio de sesión del portal Mi cuenta e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, @ NikkiWolfexample.org.

2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in.

3. En la página Mi cuenta, en el panel de navegación izquierdo, selecciona Mis aplicaciones.

4. En la página My Apps, seleccione la aplicación denominada AWS IAM Identity Center. Esto debería solicitarle una autenticación adicional.

5. En la página de inicio de sesión de Microsoft, elige tus NikkiWolf credenciales. Si se te solicita la autenticación por segunda vez, vuelve a elegir tus NikkiWolf credenciales. Esto debería redirigirlo automáticamente al portal de AWS acceso.

   sugerencia

   Si no se te redirige correctamente, asegúrate de que el URL valor de inicio de sesión en el portal de AWS acceso que has introducido Step 3.2coincide con el valor del que has Step 3.1copiado.

6. Compruebe que su Cuentas de AWS pantalla sea visible.

   sugerencia

   Si la página está vacía y no se Cuentas de AWS muestra, confirme que Nikki se ha asignado correctamente al conjunto de RegionalAdminpermisos (consulte Step 2.3).

Step 3.5

Paso 3.5: comprobación del nivel de acceso de Nikki para administrar su Cuenta de AWS

En este paso, comprobará el nivel de acceso de Nikki para administrar la configuración regional de su Cuenta de AWS. Nikki solo debe tener los privilegios de administrador suficientes para administrar las regiones desde la página Cuentas.

1. En el portal de AWS acceso, seleccione la pestaña Cuentas para ver la lista de cuentas. Aparecen los nombres de las cuentasIDs, las cuentas y las direcciones de correo electrónico asociadas a las cuentas en las que haya definido conjuntos de permisos.

2. Elija el nombre de la cuenta (por ejemplo, Sandbox) donde aplicó el conjunto de permisos (consulte Step 2.3). Esto ampliará la lista de conjuntos de permisos entre los que Nikki puede elegir para administrar su cuenta.

3. Luego, RegionalAdminelija la consola de administración para asumir la función que definió en el conjunto de RegionalAdminpermisos. Esto le redirige a la página de inicio de la AWS Management Console .

4. En la esquina superior derecha de la consola, seleccione el nombre de cuenta y, a continuación, seleccione Cuenta. El enlace le dirigirá a la página Cuenta. Observe que en todas las demás secciones de esta página aparece un mensaje en el que se indica que no tiene los permisos necesarios para ver ni modificar esos ajustes.

5. En la página Cuenta, desplácese hacia abajo hasta la sección Regiones de AWS . Seleccione una casilla de verificación para cualquier región disponible en la tabla. Tenga en cuenta que Nikki tiene los permisos necesarios para habilitar o deshabilitar la lista de regiones de su cuenta, tal y como estaba previsto.

¡Bien hecho!

Los pasos 1 a 3 le ayudaron a implementar y probar correctamente la SAML conexión. Ahora, para completar el tutorial, le recomendamos que continúe con el paso 4 para implementar el aprovisionamiento automático.

Paso 4: Configura y prueba la SCIM sincronización

En este paso, configurará el aprovisionamiento automático (sincronización) de la información del usuario desde Microsoft Entra ID a IAM Identity Center mediante el protocolo SCIM v2.0. Esta conexión se configura en Microsoft Entra ID utilizando su SCIM terminal para IAM Identity Center y un token portador que IAM Identity Center crea automáticamente.

Al configurar la SCIM sincronización, se crea un mapeo de los atributos de usuario en Microsoft Entra ID a los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y Microsoft Entra ID.

Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de los usuarios que residen principalmente en Microsoft Entra ID a IAM Identity Center mediante la aplicación IAM Identity Center en Microsoft Entra ID.

Step 4.1 >

Paso 4.1: Cree un segundo usuario de prueba en Microsoft Entra ID

Para realizar las pruebas, creará un nuevo usuario (Richard Roe) en Microsoft Entra ID. Más adelante, después de configurar la SCIM sincronización, comprobará que este usuario y todos los atributos relevantes se han sincronizado correctamente con IAM Identity Center.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

3. En User principal name, ingrese RichRoe y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, @ RichRoeexample.org.

4. En Display name, ingrese RichRoe.

5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

6. Seleccione Properties y, a continuación, facilite los siguientes valores:

   • First name: ingrese Richard.

   • Last name: ingrese Roe.

   • Job title: ingrese Marketing Lead.

   • Department: ingrese Sales.

   • Employee ID: ingrese 12345.

7. Elija Review + create y, a continuación, seleccione Create.

Step 4.2 >

Paso 4.2: Habilitar el aprovisionamiento automático en IAM Identity Center

En este procedimiento, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático de los usuarios y grupos procedentes de Microsoft Entra ID a IAM Identity Center.

1. Abra la consola de IAM Identity Center y seleccione Configuración en el panel de navegación izquierdo.

2. En la página Configuración, en la pestaña Origen de identidad, observe que Método de aprovisionamiento está establecido en Manual.

3. Busque el cuadro de información Aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el SCIM punto final y el token de acceso.

4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos en el siguiente paso cuando configure el aprovisionamiento en Microsoft Entra ID.

   1. SCIMpunto final: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Token de acceso: seleccione Mostrar token para copiar el valor.

   aviso

   Este es el único momento en el que puede obtener el SCIM punto final y el token de acceso. Asegúrese de copiar estos valores antes de continuar.

5. Elija Close.

6. En la pestaña Origen de identidad, observe que el método de aprovisionamiento ahora está configurado en. SCIM

Step 4.3 >

Paso 4.3: Configurar el aprovisionamiento automático en Microsoft Entra ID

Ahora que ha establecido su usuario de RichRoe prueba y lo ha activado SCIM en IAM Identity Center, puede continuar con la configuración de los ajustes de SCIM sincronización en Microsoft Entra ID.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. Seleccione Provisioning y, en Manage, vuelva a seleccionar Provisioning.

3. En Provisioning Mode, seleccione Automatic.

4. En Credenciales de administrador, en Tenant, URL pegue el URL valor del SCIMpunto final que copió anteriormente Step 4.2. En Secret Token, pegue el valor de Access token.

5. Elija Test Connection. Debería ver un mensaje que indica que las credenciales probadas se autorizaron correctamente para habilitar el aprovisionamiento.

6. Seleccione Guardar.

7. En Manage, seleccione Users and groups y, a continuación, seleccione Add user/group.

8. En la página Add Assignment, en Users, seleccione None Selected.

9. Seleccione y RichRoe, a continuación, elija Seleccionar.

10. En la página Agregar asignación, elija Asignar.

11. Seleccione Overview y, a continuación, seleccione Start provisioning.

Step 4.4

Paso 4.4: comprobación de que se ha producido la sincronización

En esta sección, verificará que el usuario de Richard se ha aprovisionado correctamente y que todos los atributos se muestran en IAM Identity Center.

1. En la consola IAM de Identity Center, elija Usuarios.

2. En la página de usuarios, debería aparecer su RichRoeusuario. Observe que en la columna Creado por, el valor está establecido en SCIM.

3. Seleccione RichRoe, en Perfil, comprobar que los siguientes atributos se hayan copiado de Microsoft Entra ID.

   • Nombre: Richard.

   • Apellido: Roe.

   • Departamento: Sales.

   • Título: Marketing Lead.

   • Número de empleado: 12345.

   Ahora que el usuario de Richard se ha creado en IAM Identity Center, puede asignarlo a cualquier conjunto de permisos para controlar el nivel de acceso que tiene a sus AWS recursos. Por ejemplo, puede asignar RichRoeal conjunto de RegionalAdmin permisos que utilizó anteriormente para conceder a Nikki los permisos para administrar regiones (consulte Step 2.3) y, a continuación, probar su nivel de acceso utilizando Step 3.5.

¡Enhorabuena!

Has configurado correctamente una SAML conexión entre Microsoft AWS y has comprobado que el aprovisionamiento automático funciona para mantener todo sincronizado. Ahora puede aplicar lo aprendido para configurar su entorno de producción de forma más fluida.

Paso 5: Configurar (opcional) ABAC

Ahora que lo ha configurado SAML correctamenteSCIM, puede optar por configurar el control de acceso basado en atributos ()ABAC. ABACes una estrategia de autorización que define los permisos en función de los atributos.

Con Microsoft Entra ID, puede usar cualquiera de los dos métodos siguientes ABAC para configurarlo para su uso con IAM Identity Center.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Configure los atributos de usuario en Microsoft Entra ID para el control de acceso en IAM Identity Center

En el siguiente procedimiento, determinará qué atributos hay en Microsoft Entra ID IAMIdentity Center debe utilizarlos para administrar el acceso a sus AWS recursos. Una vez definido, Microsoft Entra ID envía estos atributos a IAM Identity Center mediante SAML aserciones. A continuación, tendrá que hacerlo Crea un conjunto de permisos. en IAM Identity Center para gestionar el acceso en función de los atributos desde los que haya pasado Microsoft Entra ID.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. Elija Single sign-on (Inicio de sesión único).

3. En la sección Attributes & Claims, elija Edit.

4. En la página Attributes & Claims, haga lo siguiente:

   1. Elija Añadir nueva reclamación.

   2. En Nombre, escriba AccessControl:AttributeName. Reemplazar AttributeName con el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, AccessControl:Department.

   3. En Namespace (Espacio de nombres), escriba https://aws.amazon.com/SAML/Attributes.

   4. En Source (Origen), elija Attribute (Atributo).

   5. En el caso del atributo de origen, utilice la lista desplegable para elegir el Microsoft Entra ID atributos de usuario. Por ejemplo, user.department.

5. Repita el paso anterior para cada atributo que necesite enviar a IAM Identity Center en la SAML afirmación.

6. Seleccione Guardar.

Configure ABAC using IAM Identity Center

Configure ABAC mediante IAM Identity Center

Con este método, se utiliza la Atributos para controlar el acceso función de IAM Identity Center para pasar un Attribute elemento con el Name atributo establecido enhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Puede utilizar este elemento para pasar los atributos como etiquetas de sesión en la SAML aserción. Para obtener más información sobre las etiquetas de sesión, consulte Pasar etiquetas de sesión AWS STS en la Guía del IAM usuario.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas Department=billing.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Resolución de problemas

Para obtener información general SCIM y SAML solucionar problemas con Microsoft Entra ID consulte las siguientes secciones.

• Problemas de sincronización con Microsoft Entra ID y IAM Identity Center

• Algunos usuarios no se sincronizan con IAM Identity Center desde un proveedor externo SCIM

• Problemas relacionados con el contenido de SAML las afirmaciones creadas por Identity Center IAM

Problemas de sincronización con Microsoft Entra ID y IAM Identity Center

Si tiene problemas con Microsoft Entra ID los usuarios no se sincronizan con IAM Identity Center, es posible que se deba a un problema de sintaxis que IAM Identity Center ha detectado cuando se agrega un nuevo usuario a IAM Identity Center. Puede confirmarlo consultando la Microsoft Entra ID registros de auditoría de eventos fallidos, como un'Export'. El motivo del estado de este evento indicará:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

También puede comprobar AWS CloudTrail el evento fallido. Para ello, busque en la consola del historial de eventos o CloudTrail utilice el siguiente filtro:

"eventName":"CreateUser"

El error del CloudTrail evento indicará lo siguiente:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

En última instancia, esta excepción significa que uno de los valores transferidos desde Microsoft Entra ID contenía más valores de los previstos. La solución consiste en revisar los atributos del usuario en Microsoft Entra ID, asegurándose de que ninguno contenga valores duplicados. Un ejemplo habitual de valores duplicados es la presencia de varios valores en los números de contacto, como el número de móvil, del trabajo y el fax. Aunque son valores independientes, todos se transfieren a IAM Identity Center bajo el atributo principal único phoneNumbers.

Para obtener consejos generales SCIM de solución de problemas, consulte Solución de problemas.

Recursos adicionales de

• Para obtener consejos generales SCIM de solución de problemas, consulteSolución de problemas con IAM Identity Center.

• En Microsoft Entra ID solución de problemas, consulte Microsoft documentación.

• Para obtener más información sobre la federación entre varios Cuentas de AWS, consulte Asegurar Cuentas de AWS con Azure Active Directory Federation.

Los siguientes recursos pueden ayudarle a solucionar problemas a medida que trabaja con AWS:

• AWS re:Post- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.

• AWS Support- Obtenga asistencia técnica