Configure SAML y SCIM con Microsoft Entra ID y el Centro de identidad de IAM

AWS IAM Identity Center admite la integración con el lenguaje de marcado para aserciones de seguridad (SAML) 2.0, así como el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde Microsoft Entra ID (anteriormente conocido como Azure Active Directory o Azure AD) al IAM Identity Center mediante el protocolo System for Cross-Domain Identity Management (SCIM) 2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Objetivo

En este tutorial, configurará un laboratorio de pruebas y configurará una conexión SAML y el aprovisionamiento de SCIM entre Microsoft Entra ID e IAM Identity Center. Durante los pasos iniciales de preparación, creará un usuario de prueba (Nikki Wolf) en ambos Microsoft Entra ID y el Centro de identidad de IAM, que utilizará para probar la conexión SAML en ambas direcciones. Más adelante, como parte de los pasos del SCIM, crearás un usuario de prueba diferente (Richard Roe) para comprobar los nuevos atributos en Microsoft Entra ID se están sincronizando con el Centro de Identidad de IAM según lo previsto.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que definir lo siguiente:

• A Microsoft Entra ID inquilino. Para obtener más información, consulte Inicio rápido: configurar un inquilino en Microsoft .

• Una cuenta AWS IAM Identity Center habilitada. Para más información, consulte Activar IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .

Consideraciones

Las siguientes son consideraciones importantes sobre Microsoft Entra ID esto puede afectar a la forma en que planea implementar el aprovisionamiento automático con IAM Identity Center en su entorno de producción mediante el protocolo SCIM v2.

Aprovisionamiento automático

Antes de comenzar a implementar SCIM, le recomendamos revisar primero las Consideraciones para utilizar el aprovisionamiento automático.

Atributos para controlar el acceso

Los atributos para el control de acceso se utilizan en las políticas de permisos que determinan quién de su fuente de identidad puede acceder a sus recursos. AWS Si se elimina un atributo de un usuario en Microsoft Entra ID, ese atributo no se eliminará del usuario correspondiente en el Centro de identidades de IAM. Se trata de una limitación conocida en Microsoft Entra ID. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincronizará con el Centro de identidades de IAM.

Agrupación anidada

La Microsoft Entra ID el servicio de aprovisionamiento de usuarios no puede leer ni aprovisionar usuarios en grupos anidados. Solo se pueden leer y aprovisionar los usuarios que sean miembros inmediatos de un grupo asignado explícitamente. Microsoft Entra ID no desglosa de forma recursiva las pertenencias a grupos de usuarios o grupos asignados indirectamente (usuarios o grupos que son miembros de un grupo asignado directamente). Para obtener más información, consulte el ámbito basado en las tareas en la Microsoft . Como alternativa, puede utilizar IAM Identity Center ID AD Sync para realizar la integración Active Directory grupos con IAM Identity Center.

Grupos dinámicos

La Microsoft Entra ID el servicio de aprovisionamiento de usuarios puede leer y aprovisionar usuarios en grupos dinámicos. Consulte a continuación un ejemplo que muestra la estructura de usuarios y grupos al utilizar grupos dinámicos y cómo se muestran en IAM Identity Center. Estos usuarios y grupos se aprovisionaron desde Microsoft Entra ID al IAM Identity Center a través de SCIM

Por ejemplo, si Microsoft Entra ID la estructura de los grupos dinámicos es la siguiente:

1. Grupo A con los miembros ua1, ua2

2. Grupo B con miembros ub1

3. Grupo C con miembros uc1

4. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

5. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

Después de aprovisionar la información de usuarios y grupos desde Microsoft Entra ID al IAM Identity Center a través de SCIM, la estructura será la siguiente:

1. Grupo A con los miembros ua1, ua2

2. Grupo B con miembros ub1

3. Grupo C con miembros uc1

4. Grupo K con miembros ua1, ua2, ub1, uc1

5. Grupo L con miembros ub1, uc1

Cuando configure el aprovisionamiento automático mediante grupos dinámicos, tenga en cuenta las siguientes consideraciones.

• Un grupo dinámico puede incluir un grupo anidado. Sin embargo, Microsoft Entra ID el servicio de aprovisionamiento no aplana el grupo anidado. Por ejemplo, si tiene lo siguiente Microsoft Entra ID estructura para grupos dinámicos:

  • El grupo A es un elemento principal del grupo B.

  • El grupo A tiene a ua1 como miembro.

  • El grupo B tiene a ub1 como miembro.

El grupo dinámico que incluye al grupo A solo incluirá a los miembros directos del grupo A (es decir, ua1). No incluirá de forma recursiva a los miembros del grupo B.

• Los grupos dinámicos no pueden contener otros grupos dinámicos. Para obtener más información, consulte las limitaciones de la vista previa en la Microsoft .

Paso 1: preparación de su inquilino de Microsoft

En este paso, explicará cómo instalar y configurar su aplicación AWS IAM Identity Center empresarial y cómo asignar el acceso a una aplicación recién creada Microsoft Entra ID usuario de prueba.

Step 1.1 >

Paso 1.1: Configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID

En este procedimiento, se instala la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID. Necesitará esta aplicación más adelante para configurar su conexión SAML con AWS.

1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como administrador de aplicaciones en la nube.

2. Vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione New application.

3. En la página Browse Microsoft Entra Gallery, ingrese AWS IAM Identity Center en el cuadro de búsqueda.

4. Seleccione AWS IAM Identity Center de los resultados.

5. Seleccione Crear.

Step 1.2 >

Paso 1.2: Crea un usuario de prueba en Microsoft Entra ID

Nikki Wolf es el nombre de tu Microsoft Entra ID usuario de prueba que creará en este procedimiento.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

3. En User principal name, ingrese NikkiWolf y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, NikkiWolf@example.org.

4. En Display name, ingrese NikkiWolf.

5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

6. Seleccione Properties y, en Name, ingrese Nikki. En Last name, ingrese Wolf.

7. Elija Review + create y, a continuación, seleccione Create.

Step 1.3

Paso 1.3: Pon a prueba la experiencia de Nikki antes de asignar sus permisos a AWS IAM Identity Center

En este procedimiento, verificará que Nikki puede iniciar sesión correctamente en el portal Mi cuenta de Microsoft.

1. En el mismo navegador, abra una pestaña nueva, vaya a la página de inicio de sesión del portal Mi cuenta e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, NikkiWolf@. example.org

2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in. Si se trata de una contraseña generada automáticamente, se le solicitará que la cambie.

3. En la página Action Required, seleccione Ask later para omitir la solicitud de métodos de seguridad adicionales.

4. En la página Mi cuenta, en el menú de navegación izquierdo, seleccione Mis aplicaciones. Tenga en cuenta que, además de los complementos, no se muestra ninguna aplicación en este momento. Agregará una aplicación de AWS IAM Identity Center que aparecerá aquí en un paso posterior.

Step 1.4

Paso 1.4: Asigne permisos a Nikki en Microsoft Entra ID

Ahora que ha comprobado que Nikki puede acceder correctamente al portal Mi cuenta, utilice este procedimiento para asignar su usuario a la aplicación de AWS IAM Identity Center.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center en la lista.

2. A la izquierda, seleccione Users and groups.

3. Elija Agregar usuario o grupo. Puede ignorar el mensaje que indica que los grupos no están disponibles para su asignación. En este tutorial no se utilizan grupos para las asignaciones.

4. En la página Add Assignment, en Users, seleccione None Selected.

5. Seleccione y NikkiWolf, a continuación, elija Seleccionar.

6. En la página Añadir tarea, elija Asignar. NikkiWolf ahora aparece en la lista de usuarios que están asignados a la AWS IAM Identity Centeraplicación.

Paso 2: Prepara tu AWS cuenta

En este paso, explicarás cómo usarla IAM Identity Centerpara configurar los permisos de acceso (mediante un conjunto de permisos), cree manualmente el usuario correspondiente de Nikki Wolf y asígnele los permisos necesarios para administrar los AWS recursos.

Step 2.1 >

Paso 2.1: Crea un conjunto de RegionalAdmin permisos en IAM Identity Center

Este conjunto de permisos se utilizará para conceder a Nikki los permisos de AWS cuenta necesarios para gestionar las regiones desde la página de la cuenta del AWS Management Console. De forma predeterminada, todos los demás permisos para ver o administrar cualquier otra información de la cuenta de Nikki están denegados.

1. Abra la consola de IAM Identity Center

2. En Permisos para varias cuentas, elija Conjunto de permisos.

3. Elija Crear conjunto de permisos.

4. En la página Seleccionar el tipo de conjunto de permisos, seleccione Conjunto de permisos personalizado y seleccione Siguiente.

5. Seleccione Política insertada para ampliarla y, a continuación, siga estos pasos para crear una política para el conjunto de permisos:

   1. Seleccione Agregar nueva instrucción para crear una instrucción de política.

   2. En Editar instrucción, seleccione Cuenta de la lista y, a continuación, seleccione las siguientes casillas de verificación.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. Junto a Agregar un recurso, elija Agregar.

   4. En la página Agregar recurso, en Tipo de recurso, seleccione Todos los recursos y, a continuación, seleccione Agregar recurso. Compruebe que la política sea similar a la siguiente:

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. Elija Next (Siguiente).

7. En la página Especificar los detalles del conjunto de permisos, en Nombre de conjunto de permisos, escriba RegionalAdmin y, a continuación, seleccione Siguiente.

8. En la página Review and create (Revisar y crear), elija Create (Crear). Debería RegionalAdminaparecer en la lista de conjuntos de permisos.

Step 2.2 >

Paso 2.2: Cree el NikkiWolf usuario correspondiente en IAM Identity Center

Dado que el protocolo SAML no proporciona un mecanismo para consultar el IdP (Microsoft Entra ID) y cree usuarios automáticamente aquí, en el Centro de Identidad de IAM, utilice el siguiente procedimiento para crear manualmente un usuario en el Centro de Identidad de IAM que refleje los atributos principales del usuario de Nikki Wolf en Microsoft Entra ID.

1. Abra la consola de IAM Identity Center.

2. Seleccione Usuarios, Agregar usuario y, a continuación, proporcione la siguiente información:

   1. Tanto para el nombre de usuario como para la dirección de correo electrónico: introduce la misma NikkiWolf@ yourcompanydomain.extension que utilizaste al crear tu Microsoft Entra ID usuario. Por ejemplo, NikkiWolf@example.org.

   2. Confirmar dirección de correo electrónico: vuelva a ingresar la dirección de correo electrónico del paso anterior

   3. Nombre: ingrese Nikki.

   4. Apellidos: ingrese Wolf.

   5. Nombre de visualización: ingrese Nikki Wolf.

3. Seleccione Siguiente dos veces, y a continuación, seleccione Agregar usuario.

4. Seleccione Close (Cerrar).

Step 2.3

Paso 2.3: Asigne a Nikki el conjunto de RegionalAdmin permisos en IAM Identity Center

Aquí encontrará el lugar Cuenta de AWS en el que Nikki administrará las regiones y, a continuación, asignará los permisos necesarios para que pueda acceder correctamente al portal de AWS acceso.

1. Abra la consola de IAM Identity Center.

2. En Permisos para varias cuentas, elija Cuentas de AWS.

3. Seleccione la casilla de verificación situada junto al nombre de la cuenta (por ejemploSandbox) a la que quiere conceder a Nikki el acceso para gestionar las regiones y, a continuación, seleccione Asignar usuarios y grupos.

4. En la página Asignar usuarios y grupos, seleccione la pestaña Usuarios, busque y marque la casilla situada junto a Nikki y, a continuación, seleccione Siguiente.

Paso 3: configuración y prueba de la conexión SAML

En este paso, configura la conexión SAML mediante la aplicación empresarial de AWS IAM Identity Center Microsoft Entra ID junto con la configuración del IdP externo en el Centro de identidad de IAM.

Step 3.1 >

Paso 3.1: recopilación de los metadatos del proveedor de servicios necesarios de IAM Identity Center

En este paso, iniciará el asistente para cambiar la fuente de identidad desde la consola del IAM Identity Center y recuperará el archivo de metadatos y la URL de inicio de sesión AWS específica que deberá introducir al configurar la conexión con Microsoft Entra ID en el siguiente paso.

1. En la consola de IAM Identity Center, elija Configuración.

2. En la página de configuración, elija la pestaña Fuente de identidad, elija Acciones y, a continuación, Cambiar fuente de identidad.

3. En la página Elegir el origen de identidad, seleccione Proveedor de identidades externo y, a continuación, seleccione Siguiente.

4. En la página Configurar un proveedor de identidad externo, en Metadatos del proveedor de servicios, seleccione Descargar el archivo de metadatos para descargarlo el archivo XML.

5. En la misma sección, busque el valor de URL de inicio de sesión del portal de acceso de AWS y cópielo. Deberá ingresar este valor en el siguiente paso cuando se le pida.

6. Deje esta página abierta y continúe con el paso siguiente (Step 3.2) para configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID. Más adelante, volverás a esta página para completar el proceso.

Step 3.2 >

Paso 3.2: Configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID

Este procedimiento establece la mitad de la conexión SAML en Microsoft mediante los valores del archivo de metadatos y la URL de inicio de sesión que obtuvo en el último paso.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. En el panel de la izquierda, elija 2. Configure el inicio de sesión único.

3. En la página Configurar el inicio de sesión único con SAML, seleccione SAML. Luego, seleccione Subir archivo de metadatos, seleccione el icono de la carpeta, seleccione el archivo de metadatos del proveedor de servicios que descargó en el paso anterior y, a continuación, seleccione Agregar.

4. En la página de configuración básica de SAML, compruebe que los valores del identificador y de la URL de respuesta apuntan ahora a los puntos finales AWS que empiezan por. https://<REGION>.signin.aws.amazon.com/platform/saml/

5. En Sign on URL (Optional), pegue el valor de URL de inicio de sesión del portal de acceso de AWS que copió en el paso anterior (Step 3.1), seleccione Save y, a continuación, seleccione X para cerrar la ventana.

6. Si se te pide que pruebes el inicio de sesión único con AWS IAM Identity Center, selecciona No, lo probaré más tarde. Realizará esta verificación en un paso posterior.

7. En la página Set up Single Sign-On with SAML, en la sección SAML Certificates, junto a Federation Metadata XML, seleccione Download para guardar el archivo de metadatos en el sistema. Deberá cargar este archivo en el siguiente paso cuando se le pida.

Step 3.3 >

Paso 3.3: Configura el Microsoft Entra ID IdP externo en AWS IAM Identity Center

Aquí volverá al asistente Cambiar el origen de identidad de la consola de IAM Identity Center para completar la segunda mitad de la conexión SAML en AWS.

1. Vuelva a la sesión del navegador que dejó abierta en Step 3.1 en la consola de IAM Identity Center.

2. En la página Configurar un proveedor de identidad externo, en la sección Metadatos del proveedor de identidad, en Metadatos SAML del IdP, pulse el botón Elegir archivo y seleccione el archivo de metadatos del proveedor de identidad que descargó desde Microsoft Entra ID en el paso anterior y, a continuación, selecciona Abrir.

3. Elija Next (Siguiente).

4. Cuando haya leído el aviso legal y tenga todo listo para continuar, ingrese ACCEPT.

5. Seleccione Cambiar el origen de identidad para aplicar los cambios.

Step 3.4 >

Paso 3.4: comprobación de que Nikki se redirige al portal de acceso de AWS

En este procedimiento, probará la conexión SAML; para ello, iniciará sesión en el portal Mi cuenta de Microsoft con las credenciales de Nikki. Una vez autenticado, seleccionarás la AWS IAM Identity Center aplicación que redirigirá a Nikki al portal de AWS acceso.

1. Vaya a la página de inicio de sesión del portal Mi cuenta e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, NikkiWolf @. example.org

2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in.

3. En la página Mi cuenta, en el menú de navegación izquierdo, seleccione Mis aplicaciones.

4. En la página My Apps, seleccione la aplicación denominada AWS IAM Identity Center. Esto debería solicitarle una autenticación adicional.

5. En la página de inicio de sesión de Microsoft, elige tus NikkiWolf credenciales. Si se te solicita la autenticación por segunda vez, vuelve a elegir tus NikkiWolf credenciales. Esto debería redirigirlo automáticamente al portal de AWS acceso.

   sugerencia

   Si no se le redirige correctamente, compruebe que el valor de URL de inicio de sesión del portal de acceso de AWS que ha ingresado en Step 3.2 coincide con el valor que ha copiado en Step 3.1.

6. Compruebe que su Cuentas de AWS pantalla.

   sugerencia

   Si la página está vacía y no se Cuentas de AWS muestra, confirme que Nikki se ha asignado correctamente al conjunto de RegionalAdminpermisos (consulte Step 2.3).

Step 3.5

Paso 3.5: comprobación del nivel de acceso de Nikki para administrar su Cuenta de AWS

En este paso, comprobará el nivel de acceso de Nikki para administrar la configuración regional de su Cuenta de AWS. Nikki solo debe tener los privilegios de administrador suficientes para administrar las regiones desde la página Cuentas.

1. En el portal de AWS acceso, seleccione la pestaña Cuentas para ver la lista de cuentas. Aparecen los nombres de las cuentas IDs, las cuentas y las direcciones de correo electrónico asociadas a las cuentas en las que haya definido conjuntos de permisos.

2. Elija el nombre de la cuenta (por ejemploSandbox) en la que aplicó el conjunto de permisos (consulte Step 2.3). Esto ampliará la lista de conjuntos de permisos entre los que Nikki puede elegir para administrar su cuenta.

3. Luego, RegionalAdminelija la consola de administración para asumir la función que definió en el conjunto de RegionalAdminpermisos. Esto le redirige a la página de inicio de la AWS Management Console .

4. En la esquina superior derecha de la consola, seleccione el nombre de cuenta y, a continuación, seleccione Cuenta. El enlace le dirigirá a la página Cuenta. Observe que en todas las demás secciones de esta página aparece un mensaje en el que se indica que no tiene los permisos necesarios para ver ni modificar esos ajustes.

5. En la página Cuenta, desplácese hacia abajo hasta la sección Regiones de AWS . Seleccione la casilla de verificación de cualquier región disponible en la tabla. Tenga en cuenta que Nikki tiene los permisos necesarios para habilitar o deshabilitar la lista de regiones de su cuenta, tal y como estaba previsto.

¡Bien hecho!

Los pasos del 1 al 3 lo ayudaron a implementar y probar correctamente la conexión SAML. Ahora, para completar el tutorial, le recomendamos que continúe con el paso 4 para implementar el aprovisionamiento automático.

Paso 4: configuración y comprobación de la sincronización de SCIM

En este paso, configurará el aprovisionamiento automático (sincronización) de la información del usuario desde Microsoft Entra ID al IAM Identity Center mediante el protocolo SCIM v2.0. Esta conexión se configura en Microsoft Entra ID utilizando su terminal SCIM para el IAM Identity Center y un token portador creado automáticamente por el IAM Identity Center.

Al configurar la sincronización de SCIM, se crea un mapeo de los atributos de usuario en Microsoft Entra ID a los atributos nombrados en el Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre el Centro de Identidad de IAM y Microsoft Entra ID.

Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de los usuarios que residen principalmente en Microsoft Entra ID al IAM Identity Center mediante la aplicación IAM Identity Center en Microsoft Entra ID.

Step 4.1 >

Paso 4.1: Cree un segundo usuario de prueba en Microsoft Entra ID

Para realizar las pruebas, creará un nuevo usuario (Richard Roe) en Microsoft Entra ID. Más adelante, después de configurar la sincronización con SCIM, comprobará que este usuario y todos los atributos relevantes se han sincronizado correctamente con el IAM Identity Center.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

3. En User principal name, ingrese RichRoe y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, @. RichRoeexample.org

4. En Display name, ingrese RichRoe.

5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

6. Seleccione Properties y, a continuación, facilite los siguientes valores:

   • First name: ingrese Richard.

   • Last name: ingrese Roe.

   • Job title: ingrese Marketing Lead.

   • Department: ingrese Sales.

   • Employee ID: ingrese 12345.

7. Elija Review + create y, a continuación, seleccione Create.

Step 4.2 >

Paso 4.2: habilitación del aprovisionamiento automático en IAM Identity Center

En este procedimiento, utilizará la consola del IAM Identity Center para habilitar el aprovisionamiento automático de los usuarios y grupos procedentes de Microsoft Entra ID al Centro de identidades de IAM.

1. Abra la consola de IAM Identity Center y seleccione Configuración en el panel izquierdo de navegación.

2. En la página Configuración, en la pestaña Origen de identidad, observe que Método de aprovisionamiento está establecido en Manual.

3. Busque el cuadro de información Aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos en el siguiente paso cuando configure el aprovisionamiento en Microsoft Entra ID.

   1. Punto final SCIM: por ejemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

   2. Token de acceso: seleccione Mostrar token para copiar el valor.

   aviso

   Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar.

5. Seleccione Cerrar.

6. En la pestaña Origen de identidad, observe que Método de aprovisionamiento ahora está establecido en SCIM.

Step 4.3 >

Paso 4.3: Configurar el aprovisionamiento automático en Microsoft Entra ID

Ahora que ha establecido su usuario de RichRoe prueba y ha activado el SCIM en el IAM Identity Center, puede continuar con la configuración de los ajustes de sincronización del SCIM en Microsoft Entra ID.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. Seleccione Provisioning y, en Manage, vuelva a seleccionar Provisioning.

3. En Provisioning Mode, seleccione Automatic.

4. En Admin Credentials, en Tenant URL, pegue el valor de la URL de Punto de conexión de SCIM que copió anteriormente en Step 4.2. En Secret Token, pegue el valor de Access token.

5. Elija Test Connection. Debería ver un mensaje que indica que las credenciales probadas se autorizaron correctamente para habilitar el aprovisionamiento.

6. Seleccione Guardar.

7. En Manage, seleccione Users and groups y, a continuación, seleccione Add user/group.

8. En la página Add Assignment, en Users, seleccione None Selected.

9. Seleccione y, a continuación RichRoe, elija Seleccionar.

10. En la página Agregar asignación, elija Asignar.

11. Seleccione Overview y, a continuación, seleccione Start provisioning.

Step 4.4

Paso 4.4: comprobación de que se ha producido la sincronización

En esta sección, verificará que el usuario de Richard se aprovisionó correctamente y que todos los atributos se muestran en IAM Identity Center.

1. En la consola de IAM Identity Center, seleccione Usuarios.

2. En la página de usuarios, debería aparecer su RichRoeusuario. Observe que, en la columna Creado por, el valor está establecido en SCIM.

3. Seleccione RichRoe, en Perfil, comprobar que los siguientes atributos se hayan copiado de Microsoft Entra ID.

   • Nombre: Richard.

   • Apellido: Roe.

   • Departamento: Sales.

   • Título: Marketing Lead.

   • Número de empleado: 12345.

   Ahora que el usuario de Richard se ha creado en IAM Identity Center, puede asignarlo a cualquier conjunto de permisos para controlar el nivel de acceso que tiene a sus recursos de AWS . Por ejemplo, puede asignar RichRoeal conjunto de RegionalAdmin permisos que utilizó anteriormente para conceder a Nikki los permisos para administrar regiones (consulte Step 2.3) y, a continuación, probar su nivel de acceso utilizando Step 3.5.

¡Enhorabuena!

Has configurado correctamente una conexión SAML entre Microsoft AWS y has comprobado que el aprovisionamiento automático funciona para mantener todo sincronizado. Ahora puede aplicar lo aprendido para configurar su entorno de producción de forma más fluida.

Paso 5: Configurar ABAC: opcional

Ahora que se ha configurado SAML y SCIM, puede optar por configurar el control de acceso basado en atributos (ABAC). El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos basados en atributos.

With Microsoft Entra ID, puede utilizar cualquiera de los dos métodos siguientes para configurar ABAC para su uso con el IAM Identity Center.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Configure los atributos de usuario en Microsoft Entra ID para el control de acceso en el IAM Identity Center

En el siguiente procedimiento, determinará qué atributos hay Microsoft Entra ID el IAM Identity Center debe utilizarlos para gestionar el acceso a sus AWS recursos. Una vez definido, Microsoft Entra ID envía estos atributos al centro de identidad de IAM mediante aserciones de SAML. A continuación, tendrá que ir al Centro de Identidad de IAM para gestionar el acceso Crea un conjunto de permisos. en función de los atributos de los que ha pasado Microsoft Entra ID.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. Elija Single sign-on (Inicio de sesión único).

3. En la sección Attributes & Claims, elija Edit.

4. En la página Attributes & Claims, haga lo siguiente:

   1. Elija Añadir nueva reclamación.

   2. En Nombre, escriba AccessControl:AttributeName. Sustituya AttributeName por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, AccessControl:Department.

   3. En Namespace (Espacio de nombres), escriba https://aws.amazon.com/SAML/Attributes.

   4. En Source (Origen), elija Attribute (Atributo).

   5. En el caso del atributo Fuente, utilice la lista desplegable para elegir el Microsoft Entra ID atributos de usuario. Por ejemplo, user.department.

5. Repita el paso anterior para cada atributo que necesite enviar a IAM Identity Center en la aserción SAML.

6. Seleccione Guardar.

Configure ABAC using IAM Identity Center

Configuración de ABAC con IAM Identity Center

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un conjunto de Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas Department=billing.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Asigne acceso a Cuentas de AWS

Los siguientes pasos solo son necesarios para conceder acceso Cuentas de AWS únicamente a. Estos pasos no son necesarios para conceder el acceso a AWS las solicitudes.

Paso 1: Centro de identidad de IAM: subvención Microsoft Entra ID acceso de los usuarios a las cuentas

1. Vuelva a la consola de IAM Identity Center. En el panel de navegación del IAM Identity Center, en Permisos para varias cuentas, seleccione Cuentas de AWS.

2. En la página Cuentas de AWS, la opción Estructura organizativa muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione Asignar usuarios o grupos.

3. Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:

   1. En Paso 1: selección de usuarios y grupos, elija el usuario que realizará la función del trabajo de administrador. A continuación, elija Siguiente.

   2. En Paso 2: selección de conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.

      1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:

         • En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.

         • En Política para un conjunto de permisos predefinido, elija AdministratorAccess.

         Elija Next (Siguiente).

      2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.

         La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccess con una duración de sesión establecida en una hora.

      3. En el paso 3: revisar y crear, compruebe que el tipo de conjunto de permisos utiliza la política AWS gestionada AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.

      4. En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.

      5. En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de AdministratorAccess permisos que creó aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione Siguiente.

   3. En Paso 3: revisión y envío, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione Enviar.

      La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.

      Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el AdministratorAccess rol.

Paso 2: Microsoft Entra ID: Confirma Microsoft Entra ID el acceso de los usuarios a AWS los recursos

1. Regrese a la Microsoft Entra IDconsola y navegue hasta la aplicación de inicio de sesión basada en SAML de IAM Identity Center.

2. Seleccione Usuarios y grupos y seleccione Añadir usuarios o grupos. Añadirá el usuario que creó en este tutorial en el paso 4 a Microsoft Entra ID "Hello, World!". Al añadir el usuario, le permitirás iniciar sesión en él. AWS Busca el usuario que creaste en el paso 4. Si hubiera seguido este paso, seríaRichardRoe.

   1. Para ver una demostración, consulte Federar su instancia de IAM Identity Center existente con Microsoft Entra ID

Solución de problemas

Para solucionar problemas generales de SCIM y SAML con Microsoft Entra ID, consulte las siguientes secciones:

• Problemas de sincronización con Microsoft Entra ID y el Centro de identidad de IAM

• Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo

• Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center

• Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo

• Recursos adicionales

Problemas de sincronización con Microsoft Entra ID y el Centro de identidad de IAM

Si tiene problemas con Microsoft Entra ID los usuarios no se sincronizan con el Centro de Identidad de IAM, puede deberse a un problema de sintaxis que el Centro de Identidad de IAM ha detectado cuando se añade un nuevo usuario al Centro de Identidad de IAM. Puede confirmarlo consultando la Microsoft Entra ID registros de auditoría de eventos fallidos, como un'Export'. El motivo del estado de este evento indicará:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

También puede comprobar AWS CloudTrail el evento fallido. Para ello, busque en la consola del historial de eventos o CloudTrail utilice el siguiente filtro:

"eventName":"CreateUser"

El error del CloudTrail evento indicará lo siguiente:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

En última instancia, esta excepción significa que uno de los valores transferidos desde Microsoft Entra ID contenía más valores de los previstos. La solución consiste en revisar los atributos del usuario en Microsoft Entra ID, asegurándose de que ninguno contenga valores duplicados. Un ejemplo habitual de valores duplicados es la presencia de varios valores en los números de contacto, como el número de móvil, del trabajo y el fax. Aunque son valores independientes, todos se transfieren al IAM Identity Center con el atributo principal phoneNumbers.

Para obtener sugerencias generales acerca de la solución de problemas de SCIM, consulte Resolución de problemas.

Microsoft Entra ID Sincronización de cuentas de invitado

Si desea sincronizar su Microsoft Entra ID los usuarios invitados al Centro de identidad de IAM, consulten el siguiente procedimiento.

Microsoft Entra ID el correo electrónico de los usuarios invitados es diferente a Microsoft Entra ID usuarios. Esta diferencia provoca problemas al intentar sincronizar Microsoft Entra ID usuarios invitados con el centro de identidad de IAM. Por ejemplo, consulte la siguiente dirección de correo electrónico para un usuario invitado:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

El Centro de Identidad de IAM espera que la dirección de correo electrónico de un usuario no contenga ese formato. EXT@domain

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

2. Diríjase a la pestaña Inicio de sesión único en el panel izquierdo.

3. Seleccione Editar, que aparece junto a Atributos y notificaciones del usuario.

4. Seleccione un Identificador de usuario único (ID de nombre) después de las Notificaciones obligatorias.

5. Creará dos condiciones de reclamación para su Microsoft Entra ID usuarios y usuarios invitados:

   1. En Microsoft Entra ID usuarios, cree un tipo de usuario para los miembros con el atributo de origen establecido en user.userprincipalname.

   2. En Microsoft Entra ID usuarios invitados, creen un tipo de usuario para invitados externos con el atributo de origen establecido enuser.mail.

   3. Seleccione Guardar y vuelva a intentar iniciar sesión como Microsoft Entra ID usuario invitado.

Recursos adicionales

• Para obtener sugerencias generales acerca de la solución de problemas de SCIM, consulte Resolución de problemas de IAM Identity Center.

• En Microsoft Entra ID solución de problemas, consulte Microsoft documentación.

• Para obtener más información sobre la federación entre varios Cuentas de AWS, consulte Asegurar Cuentas de AWS con Azure Active Directory Federation.

Los siguientes recursos pueden ayudarle a solucionar problemas a medida que trabaja con AWS:

• AWS re:Post- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.

• AWS Support: obtenga soporte técnico