Configurar SAML y SCIM con Microsoft Entra ID y IAM Identity Center

AWS IAM Identity Center admite la integración con Security Assertion Markup Language (SAML) 2.0, así como el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde Microsoft Entra ID (anteriormente conocido como Azure Active Directory o Azure AD) al IAM Identity Center mediante el protocolo System for Cross-Domain Identity Management (SCIM) 2.0.

Objetivo

En este tutorial, configurará un laboratorio de pruebas y configurará una SAML conexión y un SCIM aprovisionamiento entre Microsoft Entra ID e IAM Identity Center. Durante los pasos iniciales de preparación, creará un usuario de prueba (Nikki Wolf) en ambos Microsoft Entra ID e IAM Identity Center, que utilizarás para probar la SAML conexión en ambas direcciones. Más adelante, como parte de los SCIM pasos, creará un usuario de prueba diferente (Richard Roe) para comprobar los nuevos atributos en Microsoft Entra ID se están sincronizando con IAM Identity Center según lo previsto.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que definir lo siguiente:

• A Microsoft Entra ID inquilino. Para obtener más información, consulte Inicio rápido: configurar un inquilino en Microsoft .

• Un registro AWS IAM Identity Center-cuenta habilitada. Para obtener más información, consulte Habilitar IAM Identity Center en la AWS IAM Identity Center Guía del usuario.

Consideraciones

Las siguientes son consideraciones importantes sobre Microsoft Entra ID esto puede afectar a la forma en que planea implementar el aprovisionamiento automático con IAM Identity Center en su entorno de producción mediante el protocolo SCIM v2.

Aprovisionamiento automático

Antes de empezar a implementarSCIM, le recomendamos que lo revise Consideraciones para utilizar el aprovisionamiento automático primero.

Atributos para controlar el acceso

Los atributos para el control de acceso se utilizan en las políticas de permisos que determinan quién de su fuente de identidad puede acceder a su AWS recursos. Si se elimina un atributo de un usuario en Microsoft Entra ID, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en Microsoft Entra ID. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincronizará con IAM Identity Center.

Agrupación anidada

La Microsoft Entra ID el servicio de aprovisionamiento de usuarios no puede leer ni aprovisionar usuarios en grupos anidados. Solo se pueden leer y aprovisionar los usuarios que sean miembros inmediatos de un grupo asignado explícitamente. Microsoft Entra ID no desglosa de forma recursiva las pertenencias a grupos de usuarios o grupos asignados indirectamente (usuarios o grupos que son miembros de un grupo asignado directamente). Para obtener más información, consulte el ámbito basado en las tareas en Microsoft . Como alternativa, puede utilizar IAMIdentity Center ID AD Sync para realizar la integración Active Directory grupos con IAM Identity Center.

Grupos dinámicos

La Microsoft Entra ID el servicio de aprovisionamiento de usuarios puede leer y aprovisionar usuarios en grupos dinámicos. Consulte a continuación un ejemplo que muestra la estructura de usuarios y grupos cuando se utilizan grupos dinámicos y cómo se muestran en IAM Identity Center. Estos usuarios y grupos se aprovisionaron desde Microsoft Entra ID a IAM Identity Center a través de SCIM

Por ejemplo, si Microsoft Entra ID la estructura de los grupos dinámicos es la siguiente:

1. Grupo A con los miembros ua1, ua2

2. Grupo B con miembros ub1

3. Grupo C con miembros uc1

4. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

5. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

Después de aprovisionar la información de usuarios y grupos desde Microsoft Entra ID a través de IAM Identity CenterSCIM, la estructura será la siguiente:

1. Grupo A con los miembros ua1, ua2

2. Grupo B con miembros ub1

3. Grupo C con miembros uc1

4. Grupo K con miembros ua1, ua2, ub1, uc1

5. Grupo L con miembros ub1, uc1

Cuando configure el aprovisionamiento automático mediante grupos dinámicos, tenga en cuenta las siguientes consideraciones.

• Un grupo dinámico puede incluir un grupo anidado. Sin embargo, Microsoft Entra ID el servicio de aprovisionamiento no aplana el grupo anidado. Por ejemplo, si tiene lo siguiente Microsoft Entra ID estructura para grupos dinámicos:

  • El grupo A es un elemento principal del grupo B.

  • El grupo A tiene a ua1 como miembro.

  • El grupo B tiene a ub1 como miembro.

El grupo dinámico que incluye al grupo A solo incluirá a los miembros directos del grupo A (es decir, ua1). No incluirá de forma recursiva a los miembros del grupo B.

• Los grupos dinámicos no pueden contener otros grupos dinámicos. Para obtener más información, consulte las limitaciones de la vista previa en la Microsoft .

Paso 1: preparación de su inquilino de Microsoft

En este paso, explicará cómo instalar y configurar su AWS IAM Identity Center aplicación empresarial y asigne el acceso a una recién creada Microsoft Entra ID usuario de prueba.

Step 1.1 >

Paso 1.1: Configurar el AWS IAM Identity Center aplicación empresarial en Microsoft Entra ID

En este procedimiento, se instala el AWS IAM Identity Center aplicación empresarial en Microsoft Entra ID. Necesitará esta aplicación más adelante para configurar su SAML conexión con AWS.

1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como administrador de aplicaciones en la nube.

2. Vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione New application.

3. En la página Browse Microsoft Entra Gallery, ingrese AWS IAM Identity Center en el cuadro de búsqueda.

4. Seleccionar AWS IAM Identity Centera partir de los resultados.

5. Seleccione Crear.

Step 1.2 >

Paso 1.2: Crear un usuario de prueba en Microsoft Entra ID

Nikki Wolf es el nombre de tu Microsoft Entra ID usuario de prueba que creará en este procedimiento.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

3. En User principal name, ingrese NikkiWolf y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, NikkiWolf@example.org.

4. En Display name, ingrese NikkiWolf.

5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

6. Seleccione Properties y, en Name, ingrese Nikki. En Last name, ingrese Wolf.

7. Elija Review + create y, a continuación, seleccione Create.

Step 1.3

Paso 1.3: Pon a prueba la experiencia de Nikki antes de asignar sus permisos a AWS IAM Identity Center

En este procedimiento, verificará que Nikki puede iniciar sesión correctamente en el portal Mi cuenta de Microsoft.

1. En el mismo navegador, abre una pestaña nueva, ve a la página de inicio de sesión del portal Mi cuenta e introduce la dirección de correo electrónico completa de Nikki. Por ejemplo, @ NikkiWolfexample.org.

2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in. Si se trata de una contraseña generada automáticamente, se le solicitará que la cambie.

3. En la página Action Required, seleccione Ask later para omitir la solicitud de métodos de seguridad adicionales.

4. En la página Mi cuenta, en el panel de navegación izquierdo, selecciona Mis aplicaciones. Tenga en cuenta que, además de los complementos, no se muestra ninguna aplicación en este momento. Añadirás una AWS IAM Identity Centeraplicación que aparecerá aquí en un paso posterior.

Step 1.4

Paso 1.4: Asigne permisos a Nikki en Microsoft Entra ID

Ahora que ha comprobado que Nikki puede acceder correctamente al portal Mi cuenta, utilice este procedimiento para asignar su usuario al AWS IAM Identity Centeraplicación.

1. En la consola del centro de administración de Microsoft Entra, vaya a Identidad > Aplicaciones > Aplicaciones empresariales y, a continuación, seleccione AWS IAM Identity Centerde la lista.

2. A la izquierda, seleccione Users and groups.

3. Elija Agregar usuario o grupo. Puede ignorar el mensaje que indica que los grupos no están disponibles para su asignación. En este tutorial no se utilizan grupos para las asignaciones.

4. En la página Add Assignment, en Users, seleccione None Selected.

5. Seleccione y NikkiWolf, a continuación, elija Seleccionar.

6. En la página Añadir tarea, elija Asignar. NikkiWolf ahora aparece en la lista de usuarios que están asignados a AWS IAM Identity Centeraplicación.

Paso 2: Prepara tu AWS cuenta

En este paso, explicarás cómo usarlo IAM Identity Centerpara configurar los permisos de acceso (mediante un conjunto de permisos), cree manualmente el usuario correspondiente de Nikki Wolf y asígnele los permisos necesarios para administrar los recursos en AWS.

Step 2.1 >

Paso 2.1: Crea un conjunto de RegionalAdmin permisos en IAM Identity Center

Este conjunto de permisos se utilizará para conceder a Nikki los permisos necesarios AWS los permisos de cuenta necesarios para gestionar las regiones desde la página de la cuenta del AWS Management Console. Todos los demás permisos para ver o gestionar cualquier otra información de la cuenta de Nikki están denegados de forma predeterminada.

1. Abra la consola de IAM Identity Center.

2. En Permisos para varias cuentas, elija Conjunto de permisos.

3. Elija Crear conjunto de permisos.

4. En la página Seleccionar el tipo de conjunto de permisos, seleccione Conjunto de permisos personalizado y seleccione Siguiente.

5. Seleccione Política insertada para ampliarla y, a continuación, siga estos pasos para crear una política para el conjunto de permisos:

   1. Seleccione Agregar nueva instrucción para crear una instrucción de política.

   2. En Editar estado de cuenta, seleccione Cuenta en la lista y, a continuación, seleccione las siguientes casillas de verificación.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

   3. Junto a Agregar un recurso, elija Agregar.

   4. En la página Agregar recurso, en Tipo de recurso, seleccione Todos los recursos y, a continuación, seleccione Agregar recurso. Compruebe que la política sea similar a la siguiente:

      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }

6. Elija Next (Siguiente).

7. En la página Especificar los detalles del conjunto de permisos, en Nombre de conjunto de permisos, escriba RegionalAdmin y, a continuación, seleccione Siguiente.

8. En la página Review and create (Revisar y crear), elija Create (Crear). Debería RegionalAdminaparecer en la lista de conjuntos de permisos.

Step 2.2 >

Paso 2.2: Cree el NikkiWolf usuario correspondiente en IAM Identity Center

Dado que el SAML protocolo no proporciona un mecanismo para consultar el IdP (Microsoft Entra ID) y cree usuarios automáticamente aquí, en IAM Identity Center, utilice el siguiente procedimiento para crear manualmente un usuario en IAM Identity Center que refleje los atributos principales del usuario de Nikki Wolf en Microsoft Entra ID.

1. Abra la consola de IAMIdentity Center.

2. Seleccione Usuarios, Agregar usuario y, a continuación, proporcione la siguiente información:

   1. Para el nombre de usuario y la dirección de correo electrónico: introduzca la misma NikkiWolf @yourcompanydomain.extensionque utilizaste al crear tu Microsoft Entra ID usuario. Por ejemplo, NikkiWolf@example.org.

   2. Confirmar dirección de correo electrónico: vuelva a ingresar la dirección de correo electrónico del paso anterior

   3. Nombre: ingrese Nikki.

   4. Apellidos: ingrese Wolf.

   5. Nombre de visualización: ingrese Nikki Wolf.

3. Seleccione Siguiente dos veces, y a continuación, seleccione Agregar usuario.

4. Seleccione Close (Cerrar).

Step 2.3

Paso 2.3: Asigne a Nikki el conjunto de RegionalAdmin permisos en IAM Identity Center

Aquí encontrará el Cuenta de AWS en el que Nikki administrará las regiones y, a continuación, asignará los permisos necesarios para acceder correctamente a AWS portal de acceso.

1. Abra la consola IAM de Identity Center.

2. En Permisos para varias cuentas, elija Cuentas de AWS.

3. Selecciona la casilla de verificación situada junto al nombre de la cuenta (por ejemplo, Sandbox) donde quieres conceder a Nikki acceso para gestionar las regiones y, a continuación, selecciona Asignar usuarios y grupos.

4. En la página Asignar usuarios y grupos, seleccione la pestaña Usuarios, busque y marque la casilla situada junto a Nikki y, a continuación, seleccione Siguiente.

Paso 3: Configura y prueba tu conexión SAML

En este paso, configura la SAML conexión mediante el AWS IAM Identity Center aplicación empresarial en Microsoft Entra ID junto con la configuración del IdP externo en IAM Identity Center.

Step 3.1 >

Paso 3.1: Recopile los metadatos del proveedor de servicios necesarios desde IAM Identity Center

En este paso, iniciará el asistente para cambiar la fuente de identidad desde la consola de IAM Identity Center y recuperará el archivo de metadatos y el AWS URLdeberá introducir un inicio de sesión específico al configurar la conexión con Microsoft Entra ID en el siguiente paso.

1. En la consola de IAM Identity Center, seleccione Configuración.

2. En la página de configuración, elija la pestaña Fuente de identidad, elija Acciones y, a continuación, Cambiar fuente de identidad.

3. En la página Elegir el origen de identidad, seleccione Proveedor de identidades externo y, a continuación, seleccione Siguiente.

4. En la página Configurar un proveedor de identidad externo, en Metadatos del proveedor de servicios, elija Descargar archivo de metadatos para descargar el XML archivo.

5. En la misma sección, localice el AWS acceda al URL valor de inicio de sesión del portal y cópielo. Deberá ingresar este valor en el siguiente paso cuando se le pida.

6. Deje esta página abierta y vaya al paso siguiente (Step 3.2) para configurar el AWS IAM Identity Center aplicación empresarial en Microsoft Entra ID. Más adelante, volverás a esta página para completar el proceso.

Step 3.2 >

Paso 3.2: Configurar el AWS IAM Identity Center aplicación empresarial en Microsoft Entra ID

Este procedimiento establece la mitad de la SAML conexión en el lado de Microsoft mediante los valores del archivo de metadatos y el inicio de sesión URL que obtuvo en el último paso.

1. En la consola del centro de administración de Microsoft Entra, vaya a Identidad > Aplicaciones > Aplicaciones empresariales y, a continuación, seleccione AWS IAM Identity Center.

2. A la izquierda, selecciona 2. Configura el inicio de sesión único.

3. En la página Configurar el inicio de sesión único conSAML, elija. SAML A continuación, selecciona Cargar archivo de metadatos, selecciona el icono de la carpeta, selecciona el archivo de metadatos del proveedor de servicios que descargaste en el paso anterior y, a continuación, selecciona Añadir.

4. En la página de SAMLconfiguración básica, compruebe que tanto los URL valores de identificador como de respuesta apuntan ahora a los puntos finales de AWS que comiencen conhttps://<REGION>.signin.aws.amazon.com/platform/saml/.

5. En Iniciar sesión URL (opcional), pega el AWS acceda al URL valor de inicio de sesión del portal que copió en el paso anterior (Step 3.1), seleccione Guardar y, a continuación, elija X para cerrar la ventana.

6. Si se le solicita que pruebe el inicio de sesión único con AWS IAM Identity Center, selecciona No. Lo probaré más tarde. Realizará esta verificación en un paso posterior.

7. En la SAML página Configurar el inicio de sesión único con, en la sección SAMLCertificados, junto a Metadatos de la federación XML, selecciona Descargar para guardar el archivo de metadatos en el sistema. Deberá cargar este archivo en el siguiente paso cuando se le pida.

Step 3.3 >

Paso 3.3: Configure el Microsoft Entra ID IdP externo en AWS IAM Identity Center

Aquí volverá al asistente para cambiar la fuente de identidad de la consola de IAM Identity Center para completar la segunda mitad de la conexión en SAML AWS.

1. Vuelva a la sesión del navegador que dejó abierta Step 3.1en la consola de IAM Identity Center.

2. En la página Configurar un proveedor de identidad externo, en la sección Metadatos del proveedor de identidad, en SAMLMetadatos del IdP, pulse el botón Elegir archivo y seleccione el archivo de metadatos del proveedor de identidad que descargó desde Microsoft Entra ID en el paso anterior y, a continuación, selecciona Abrir.

3. Elija Next (Siguiente).

4. Cuando haya leído el aviso legal y tenga todo listo para continuar, ingrese ACCEPT.

5. Seleccione Cambiar el origen de identidad para aplicar los cambios.

Step 3.4 >

Paso 3.4: Comprueba que Nikki es redirigida al AWS portal de acceso

En este procedimiento, probará la SAML conexión iniciando sesión en el portal Mi cuenta de Microsoft con las credenciales de Nikki. Una vez autenticado, seleccionará el AWS IAM Identity Center aplicación que redirigirá a Nikki al AWS portal de acceso.

1. Vaya a la página de inicio de sesión del portal Mi cuenta e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, NikkiWolf@example.org.

2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in.

3. En la página Mi cuenta, en el panel de navegación izquierdo, selecciona Mis aplicaciones.

4. En la página Mis aplicaciones, selecciona la aplicación llamada AWS IAM Identity Center. Esto debería solicitarle una autenticación adicional.

5. En la página de inicio de sesión de Microsoft, elige tus NikkiWolf credenciales. Si se te solicita la autenticación por segunda vez, vuelve a elegir tus NikkiWolf credenciales. Esto debería redirigirlo automáticamente al AWS portal de acceso.

   sugerencia

   Si no se le redirige correctamente, compruebe que AWS el URL valor de inicio de sesión en el portal de acceso que ha introducido Step 3.2coincide con el valor del que ha Step 3.1copiado.

6. Compruebe que su Cuentas de AWS pantalla.

   sugerencia

   Si la página está vacía y no Cuentas de AWS muestre, confirme que Nikki se ha asignado correctamente al conjunto de RegionalAdminpermisos (consulte Step 2.3).

Step 3.5

Paso 3.5: Comprueba el nivel de acceso de Nikki para gestionarlo Cuenta de AWS

En este paso, comprobarás el nivel de acceso de Nikki para administrarle la configuración regional Cuenta de AWS. Nikki solo debe tener los privilegios de administrador suficientes para gestionar las regiones desde la página de cuentas.

1. En el navegador AWS al acceder al portal, seleccione la pestaña Cuentas para ver la lista de cuentas. Aparecen los nombres de las cuentasIDs, las cuentas y las direcciones de correo electrónico asociadas a las cuentas en las que haya definido conjuntos de permisos.

2. Elija el nombre de la cuenta (por ejemplo, Sandbox) donde aplicó el conjunto de permisos (consulte Step 2.3). Esto ampliará la lista de conjuntos de permisos entre los que Nikki puede elegir para administrar su cuenta.

3. Luego, RegionalAdminelija la consola de administración para asumir la función que definió en el conjunto de RegionalAdminpermisos. Esto lo redireccionará a la AWS Management Console página de inicio.

4. En la esquina superior derecha de la consola, seleccione el nombre de cuenta y, a continuación, seleccione Cuenta. El enlace le dirigirá a la página Cuenta. Observe que en todas las demás secciones de esta página aparece un mensaje en el que se indica que no tiene los permisos necesarios para ver ni modificar esos ajustes.

5. En la página de la cuenta, desplázate hacia abajo hasta la sección AWS Regiones. Seleccione una casilla de verificación para cualquier región disponible en la tabla. Tenga en cuenta que Nikki tiene los permisos necesarios para habilitar o deshabilitar la lista de regiones de su cuenta, tal y como estaba previsto.

¡Bien hecho!

Los pasos 1 a 3 le ayudaron a implementar y probar correctamente la SAML conexión. Ahora, para completar el tutorial, le recomendamos que continúe con el paso 4 para implementar el aprovisionamiento automático.

Paso 4: Configura y prueba la SCIM sincronización

En este paso, configurará el aprovisionamiento automático (sincronización) de la información del usuario desde Microsoft Entra ID a IAM Identity Center mediante el protocolo SCIM v2.0. Esta conexión se configura en Microsoft Entra ID utilizando su SCIM terminal para IAM Identity Center y un token portador que IAM Identity Center crea automáticamente.

Al configurar la SCIM sincronización, se crea un mapeo de los atributos de usuario en Microsoft Entra ID a los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y Microsoft Entra ID.

Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de los usuarios que residen principalmente en Microsoft Entra ID a IAM Identity Center mediante la aplicación IAM Identity Center en Microsoft Entra ID.

Step 4.1 >

Paso 4.1: Cree un segundo usuario de prueba en Microsoft Entra ID

Para realizar las pruebas, creará un nuevo usuario (Richard Roe) en Microsoft Entra ID. Más adelante, después de configurar la SCIM sincronización, comprobará que este usuario y todos los atributos relevantes se han sincronizado correctamente con IAM Identity Center.

1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

3. En User principal name, ingrese RichRoe y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, @ RichRoeexample.org.

4. En Display name, ingrese RichRoe.

5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

6. Seleccione Properties y, a continuación, facilite los siguientes valores:

   • First name: ingrese Richard.

   • Last name: ingrese Roe.

   • Job title: ingrese Marketing Lead.

   • Department: ingrese Sales.

   • Employee ID: ingrese 12345.

7. Elija Review + create y, a continuación, seleccione Create.

Step 4.2 >

Paso 4.2: Habilitar el aprovisionamiento automático en IAM Identity Center

En este procedimiento, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático de los usuarios y grupos procedentes de Microsoft Entra ID a IAM Identity Center.

1. Abra la consola de IAM Identity Center y seleccione Configuración en el panel de navegación izquierdo.

2. En la página Configuración, en la pestaña Origen de identidad, observe que Método de aprovisionamiento está establecido en Manual.

3. Busque el cuadro de información Aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el SCIM punto final y el token de acceso.

4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos en el siguiente paso cuando configure el aprovisionamiento en Microsoft Entra ID.

   1. SCIMpunto final: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Token de acceso: seleccione Mostrar token para copiar el valor.

   aviso

   Este es el único momento en el que puede obtener el SCIM punto final y el token de acceso. Asegúrese de copiar estos valores antes de continuar.

5. Elija Close.

6. En la pestaña Origen de identidad, observe que el método de aprovisionamiento ahora está configurado en. SCIM

Step 4.3 >

Paso 4.3: Configurar el aprovisionamiento automático en Microsoft Entra ID

Ahora que ha establecido su usuario de RichRoe prueba y lo ha activado SCIM en IAM Identity Center, puede continuar con la configuración de los ajustes de SCIM sincronización en Microsoft Entra ID.

1. En la consola del centro de administración de Microsoft Entra, vaya a Identidad > Aplicaciones > Aplicaciones empresariales y, a continuación, seleccione AWS IAM Identity Center.

2. Seleccione Provisioning y, en Manage, vuelva a seleccionar Provisioning.

3. En Provisioning Mode, seleccione Automatic.

4. En Credenciales de administrador, en Tenant, URL pega el URL valor del SCIMpunto final que copiaste anteriormente Step 4.2. En Secret Token, pegue el valor de Access token.

5. Elija Test Connection. Debería ver un mensaje que indica que las credenciales probadas se autorizaron correctamente para habilitar el aprovisionamiento.

6. Seleccione Guardar.

7. En Manage, seleccione Users and groups y, a continuación, seleccione Add user/group.

8. En la página Add Assignment, en Users, seleccione None Selected.

9. Seleccione y RichRoe, a continuación, elija Seleccionar.

10. En la página Agregar asignación, elija Asignar.

11. Seleccione Overview y, a continuación, seleccione Start provisioning.

Step 4.4

Paso 4.4: comprobación de que se ha producido la sincronización

En esta sección, verificará que el usuario de Richard se ha aprovisionado correctamente y que todos los atributos se muestran en IAM Identity Center.

1. En la consola IAM de Identity Center, elija Usuarios.

2. En la página de usuarios, debería aparecer su RichRoeusuario. Observe que en la columna Creado por, el valor está establecido en SCIM.

3. Seleccione RichRoe, en Perfil, comprobar que los siguientes atributos se hayan copiado de Microsoft Entra ID.

   • Nombre: Richard.

   • Apellido: Roe.

   • Departamento: Sales.

   • Título: Marketing Lead.

   • Número de empleado: 12345.

   Ahora que el usuario de Richard se ha creado en IAM Identity Center, puede asignarlo a cualquier conjunto de permisos para controlar el nivel de acceso que tiene a su AWS recursos. Por ejemplo, puede asignar RichRoeal conjunto de RegionalAdmin permisos que utilizó anteriormente para conceder a Nikki los permisos para administrar regiones (consulte Step 2.3) y, a continuación, probar su nivel de acceso utilizando Step 3.5.

¡Enhorabuena!

Ha configurado correctamente una SAML conexión entre Microsoft y AWS y ha comprobado que el aprovisionamiento automático funciona para mantener todo sincronizado. Ahora puede aplicar lo aprendido para configurar su entorno de producción de forma más fluida.

Solución de SCIM problemas con Microsoft Entra ID

Si tiene problemas con Microsoft Entra ID los usuarios no se sincronizan con IAM Identity Center, es posible que se deba a un problema de sintaxis que IAM Identity Center ha detectado cuando se agrega un nuevo usuario a IAM Identity Center. Puede confirmarlo consultando la Microsoft Entra ID registros de auditoría de eventos fallidos, como un'Export'. El motivo del estado de este evento indicará:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

También puede comprobar AWS CloudTrail para el evento fallido. Para ello, busque en la consola del historial de eventos o CloudTrail utilice el siguiente filtro:

"eventName":"CreateUser"

El error del CloudTrail evento indicará lo siguiente:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

En última instancia, esta excepción significa que uno de los valores transferidos desde Microsoft Entra ID contenía más valores de los previstos. La solución en este caso es revisar los atributos del usuario en Microsoft Entra ID, asegurándose de que ninguno contenga valores duplicados. Un ejemplo habitual de valores duplicados es la presencia de varios valores en los números de contacto, como el número de móvil, del trabajo y el fax. Aunque son valores independientes, todos se transfieren a IAM Identity Center bajo el atributo principal único phoneNumbers.

Para obtener consejos generales SCIM de solución de problemas, consulteResolución de problemas de IAM Identity Center.

Paso 5: Configurar (opcional) ABAC

Ahora que lo ha configurado SAML correctamenteSCIM, puede optar por configurar el control de acceso basado en atributos ()ABAC. ABACes una estrategia de autorización que define los permisos en función de los atributos.

Con Microsoft Entra ID, puede usar cualquiera de los dos métodos siguientes ABAC para configurarlo para su uso con IAM Identity Center.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Configure los atributos de usuario en Microsoft Entra ID para el control de acceso en IAM Identity Center

En el siguiente procedimiento, determinará qué atributos hay en Microsoft Entra ID IAMIdentity Center debe utilizarlos para administrar el acceso a su AWS recursos. Una vez definido, Microsoft Entra ID envía estos atributos a IAM Identity Center mediante SAML aserciones. A continuación, tendrá que hacerlo Crea un conjunto de permisos. en IAM Identity Center para gestionar el acceso en función de los atributos desde los que haya pasado Microsoft Entra ID.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

1. En la consola del centro de administración de Microsoft Entra, vaya a Identidad > Aplicaciones > Aplicaciones empresariales y, a continuación, seleccione AWS IAM Identity Center.

2. Elija Single sign-on (Inicio de sesión único).

3. En la sección Attributes & Claims, elija Edit.

4. En la página Attributes & Claims, haga lo siguiente:

   1. Elija Añadir nueva reclamación.

   2. En Nombre, escriba AccessControl:AttributeName. Reemplazar AttributeName con el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, AccessControl:Department.

   3. En Namespace (Espacio de nombres), escriba https://aws.amazon.com/SAML/Attributes.

   4. En Source (Origen), elija Attribute (Atributo).

   5. En el caso del atributo de origen, utilice la lista desplegable para elegir el Microsoft Entra ID atributos de usuario. Por ejemplo, user.department.

5. Repita el paso anterior para cada atributo que necesite enviar a IAM Identity Center en la SAML afirmación.

6. Seleccione Guardar.

Configure ABAC using IAM Identity Center

Configure ABAC mediante IAM Identity Center

Con este método, se utiliza la Atributos para controlar el acceso función de IAM Identity Center para pasar un Attribute elemento con el Name atributo establecido enhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Puede utilizar este elemento para pasar los atributos como etiquetas de sesión en la SAML aserción. Para obtener más información sobre las etiquetas de sesión, consulte Pasar etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas Department=billing.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.