Consideraciones para cambiar la fuente de identidad - AWS IAM Identity Center
Cambiar de IAM Identity Center a Active DirectoryCómo cambiar de IAM Identity Center a un IdP externoCambiar de un IdP externo a IAM Identity CenterCambiar de un IdP externo a otro IdP externoCambiar de Active Directory a un IdP externo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones para cambiar la fuente de identidad

Aunque puede cambiar su fuente de identidad en cualquier momento, le recomendamos que considere cómo este cambio podría afectar a su implementación actual.

Si ya administra usuarios y grupos en un origen de identidad, cambiar a un origen de identidad diferente podría eliminar todas las asignaciones de usuarios y grupos que configuró en IAM Identity Center. Si esto ocurre, todos los usuarios, incluido el usuario administrativo del Centro de identidades de IAM, perderán el acceso de inicio de sesión único a sus Cuentas de AWS aplicaciones.

No cambie la fuente de identidad de IAM Identity Center sin revisar las siguientes consideraciones antes de proceder. Si desea continuar con el cambio de la fuente de identidad, consulte Cambiar su fuente de identidad para obtener más información.

Cambiar de IAM Identity Center a Active Directory

Si ya administra usuarios y grupos en Active Directory, le recomendamos que considere la posibilidad de conectar su directorio al habilitar IAM Identity Center y elegir su fuente de identidad. Esto debe hacerse antes de crear usuarios y grupos en el directorio predeterminado de Identity Center y de realizar cualquier asignación.

Si ya administra usuarios y grupos en el directorio predeterminado de Identity Center, tenga en cuenta lo siguiente:

  • Asignaciones, usuarios y grupos eliminados: al cambiar la fuente de identidad a Active Directory, se eliminan los usuarios y grupos del directorio de Identity Center. Este cambio también elimina las asignaciones. En este caso, después de cambiar a Active Directory, debe sincronizar los usuarios y grupos de Active Directory con el directorio de Identity Center y, a continuación, volver a aplicar sus asignaciones.

    Si decide no usar Active Directory, debe crear los usuarios y grupos en el directorio de Identity Center y, a continuación, realizar las asignaciones.

  • Las asignaciones no se eliminan cuando se eliminan las identidades: cuando se eliminan las identidades del directorio de Identity Center, las asignaciones correspondientes también se eliminan en IAM Identity Center. Sin embargo, en Active Directory, cuando se eliminan las identidades (ya sea en Active Directory o en las identidades sincronizadas), no se eliminan las asignaciones correspondientes.

  • No hay sincronización saliente para las API: si utiliza Active Directory como fuente de identidad, le recomendamos que utilice las API de creación, actualización y eliminación con precaución. IAM Identity Center no admite la sincronización saliente, por lo que su fuente de identidad no se actualiza automáticamente con los cambios que realiza en los usuarios o grupos que utilizan estas API.

  • La URL del portal de acceso cambiará: al cambiar la fuente de identidad entre el Centro de identidades de IAM y Active Directory, también se cambiará la URL del portal de AWS acceso.

  • La caducidad de la sesión de usuario actual puede tardar hasta dos horas. Una vez que se eliminen los usuarios y grupos del directorio del Centro de Identidad, los usuarios con sesiones activas pueden seguir accediendo al portal de AWS acceso y a AWS las aplicaciones integradas durante un máximo de dos horas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulteAutenticación.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Conexión un directorio Microsoft AD.

Cómo cambiar de IAM Identity Center a un IdP externo

Si cambia la fuente de identidad de IAM Identity Center a un proveedor de identidades (IdP) externo, tenga en cuenta lo siguiente:

  • Las asignaciones y las membresías funcionan con las aserciones correctas: las asignaciones de usuario, las asignaciones grupales y las pertenencias a grupos seguirán funcionando siempre y cuando el nuevo IdP envíe las aserciones correctas (por ejemplo, los NameID de SAML). Estas afirmaciones deben coincidir con los nombres de usuario y los grupos del Centro de identidad de IAM.

  • Sin sincronización saliente: el Centro de identidad de IAM no admite la sincronización saliente, por lo que su IdP externo no se actualizará automáticamente con los cambios en los usuarios y grupos que realice en el Centro de identidad de IAM.

  • Aprovisionamiento de SCIM: si utiliza el aprovisionamiento de SCIM, los cambios en los usuarios y grupos de su proveedor de identidad solo se reflejan en el Centro de identidades de IAM después de que su proveedor de identidad los envíe al Centro de identidades de IAM. Consulte Consideraciones para utilizar el aprovisionamiento automático.

  • Reversión: puede volver a utilizar su fuente de identidad para que utilice el Centro de identidades de IAM en cualquier momento. Consulte Cambiar de un IdP externo a IAM Identity Center.

  • Las sesiones de usuario existentes se revocan al expirar la duración de la sesión: una vez que cambias tu fuente de identidad a un proveedor de identidad externo, las sesiones de usuario activas se conservan durante el resto de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de AWS acceso se establece en ocho horas y cambiaste la fuente de identidad en la cuarta hora, las sesiones de usuario activas se mantendrán durante cuatro horas más. Para revocar las sesiones de usuario, consulteElimine las sesiones del portal de AWS acceso y las aplicaciones AWS integradas.

    Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo al portal de acceso y a AWS las aplicaciones integradas durante un máximo de dos horas. AWS

    nota

    No podrá revocar las sesiones de los usuarios desde la consola del IAM Identity Center después de eliminar el usuario.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Administrar un proveedor de identidad externo.

Cambiar de un IdP externo a IAM Identity Center

Si cambia la fuente de identidad de un proveedor de identidades (IdP) externo a IAM Identity Center, tenga en cuenta lo siguiente:

  • IAM Identity Center conserva todas sus asignaciones.

  • Forzar el restablecimiento de la contraseña: los usuarios que tenían contraseñas en IAM Identity Center pueden seguir iniciando sesión con sus contraseñas anteriores. Para los usuarios que estaban en el IdP externo y no en IAM Identity Center, el administrador debe forzar el restablecimiento de la contraseña.

  • Las sesiones de usuario existentes se revocan al expirar la duración de la sesión: una vez que cambies tu fuente de identidad al IAM Identity Center, las sesiones de usuario activas se conservan durante el resto de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de AWS acceso es de ocho horas y cambiaste la fuente de identidad a las cuatro horas, las sesiones de usuario activas seguirán activas durante cuatro horas más. Para revocar las sesiones de usuario, consulteElimine las sesiones del portal de AWS acceso y las aplicaciones AWS integradas.

    Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo al portal de acceso y a AWS las aplicaciones integradas durante un máximo de dos horas. AWS

    nota

    No podrá revocar las sesiones de los usuarios desde la consola del IAM Identity Center después de eliminar el usuario.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Administración de identidades en IAM Identity Center.

Cambiar de un IdP externo a otro IdP externo

Si ya utiliza un IdP externo como fuente de identidad para IAM Identity Center y cambia a un IdP externo diferente, tenga en cuenta lo siguiente:

  • Las asignaciones y las membresías funcionan con las confirmaciones correctas: IAM Identity Center conserva todas sus tareas. Las asignaciones de usuarios, las asignaciones de grupos y la pertenencia a grupos seguirán funcionando siempre que el nuevo IdP envíe las aserciones correctas (por ejemplo, los NameID de SAML).

    Estas confirmaciones deben coincidir con los nombres de usuario de IAM Identity Center cuando los usuarios se autentiquen a través del nuevo IdP externo.

  • Aprovisionamiento de SCIM: si utiliza SCIM para el aprovisionamiento en el IAM Identity Center, le recomendamos que revise la información específica del IdP en esta guía y la documentación proporcionada por el IdP para asegurarse de que el nuevo proveedor relaciona correctamente los usuarios y los grupos cuando SCIM está habilitado.

  • Las sesiones de usuario existentes se revocan al expirar la duración de la sesión: una vez que cambias la fuente de identidad a un proveedor de identidad externo diferente, las sesiones de usuario activas persisten durante el tiempo restante de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de AWS acceso es de ocho horas y cambiaste la fuente de identidad a la cuarta hora, las sesiones de usuario activas se mantendrán durante cuatro horas más. Para revocar las sesiones de usuario, consulteElimine las sesiones del portal de AWS acceso y las aplicaciones AWS integradas.

    Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo al portal de acceso y a AWS las aplicaciones integradas durante un máximo de dos horas. AWS

    nota

    No podrá revocar las sesiones de los usuarios desde la consola del IAM Identity Center después de eliminar el usuario.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Administrar un proveedor de identidad externo.

Cambiar de Active Directory a un IdP externo

Si cambia la fuente de identidad de un IdP externo a Active Directory o de Active Directory a un IdP externo, tenga en cuenta lo siguiente:

  • Se eliminan los usuarios, los grupos y las asignaciones: todos los usuarios, grupos y asignaciones se eliminan de IAM Identity Center. Ninguna información de usuario o grupo se ve afectada ni en el IdP externo ni en Active Directory.

  • Aprovisionamiento de usuarios: si cambia a un IdP externo, debe configurar IAM Identity Center para aprovisionar a los usuarios. Como alternativa, debe aprovisionar manualmente los usuarios y grupos para el IdP externo antes de poder configurar las asignaciones.

  • Creación de asignaciones y grupos: si cambia a Active Directory, debe crear asignaciones con los usuarios y grupos que se encuentran en el directorio de Active Directory.

  • La caducidad de las sesiones de usuario existentes puede tardar hasta dos horas. Una vez que se eliminen los usuarios y los grupos del directorio del Identity Center, los usuarios con sesiones activas pueden seguir accediendo al portal de AWS acceso y a AWS las aplicaciones integradas durante un máximo de dos horas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulteAutenticación.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Conexión un directorio Microsoft AD.