Aprovisionamiento de un proveedor de identidad externo en IAM Identity Center mediante SCIM - AWS IAM Identity Center
Consideraciones para utilizar el aprovisionamiento automáticoCómo monitorizar la caducidad del token de accesoCómo habilitar el aprovisionamiento automáticoCómo habilitar el aprovisionamiento automáticoCómo generar un nuevo token de accesoCómo eliminar un token de accesoCómo eliminar un token de accesoAprovisionamiento manual

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aprovisionamiento de un proveedor de identidad externo en IAM Identity Center mediante SCIM

IAMIdentity Center admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos de su proveedor de identidad (IdP) IAM a Identity Center mediante el protocolo System for Cross-domain Identity Management SCIM () v2.0. Al configurar la SCIM sincronización, crea una asignación de los atributos de usuario del proveedor de identidad (IdP) a los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y su IdP. Para configurar esta conexión en su IdP, utilice su SCIM terminal para IAM Identity Center y un token portador que cree en IAM Identity Center.

Consideraciones para utilizar el aprovisionamiento automático

Antes de comenzar la implementaciónSCIM, le recomendamos que revise primero las siguientes consideraciones importantes sobre su funcionamiento con IAM Identity Center. Para obtener información adicional sobre el aprovisionamiento, consulte la sección Tutoriales de introducción correspondiente a su IdP.

  • Si va a aprovisionar una dirección de correo electrónico principal, el valor de este atributo debe ser único para cada usuario. En algunos casos IdPs, es posible que la dirección de correo electrónico principal no sea una dirección de correo electrónico real. Por ejemplo, puede ser un nombre principal universal (UPN) que solo se parece a un correo electrónico. IdPs Pueden tener una dirección de correo electrónico secundaria o «otra» que contenga la dirección de correo electrónico real del usuario. Debe configurar SCIM su IdP para asignar la dirección de correo electrónico única que no sea NULL al atributo de dirección de correo electrónico principal de IAM Identity Center. Además, debe asignar el identificador de inicio de sesión único no nulo del usuario al atributo de nombre de usuario de IAM Identity Center. Compruebe si su IdP tiene un valor único que sea tanto el identificador de inicio de sesión como el nombre de correo electrónico del usuario. Si es así, puede asignar ese campo de IdP tanto al correo electrónico principal del IAM Identity Center como al nombre de usuario del IAM Identity Center.

  • Para que la SCIM sincronización funcione, cada usuario debe tener un nombre, apellidos, nombre de usuario y nombre para mostrar especificados. Si falta alguno de estos valores en un usuario, este no se aprovisionará.

  • Si necesita utilizar aplicaciones de terceros, primero tendrá que asignar el atributo de SAML asunto saliente al atributo de nombre de usuario. Si la aplicación de terceros necesita una dirección de correo electrónico enrutable, debe proporcionar el atributo de correo electrónico a su IdP.

  • SCIMEl proveedor de identidad controla los intervalos de aprovisionamiento y actualización. Los cambios en los usuarios y grupos de su proveedor de identidades solo se reflejan en IAM Identity Center después de que su proveedor de identidad los envíe a IAM Identity Center. Consulte con su proveedor de identidades para obtener más información sobre la frecuencia de las actualizaciones de usuarios y grupos.

  • Actualmente, no se proporcionan atributos con varios valores (como varios correos electrónicos o números de teléfono para un usuario determinado). SCIM Los intentos de sincronizar atributos con varios valores en IAM Identity Center fallarán. SCIM Para evitar errores, asegúrese de que solo se pase un valor único para cada atributo. Si tiene usuarios con atributos de varios valores, elimine o modifique las asignaciones de atributos duplicadas en SCIM su IdP para la conexión a Identity Center. IAM

  • Compruebe que la externalId SCIM asignación de su IdP corresponde a un valor que sea único, que esté siempre presente y que tenga menos probabilidades de cambiar para sus usuarios. Por ejemplo, su IdP puede proporcionar un objectId garantizado u otro tipo de identificador que no se vea afectado por los cambios en los atributos del usuario, como el nombre y el correo electrónico. Si es así, puede asignar ese valor al SCIM externalId campo. Esto garantiza que sus usuarios no pierdan AWS derechos, asignaciones o permisos si necesita cambiar su nombre o correo electrónico.

  • Usuarios que aún no se han asignado a una aplicación o que Cuenta de AWS no se pueden aprovisionar en IAM Identity Center. Para sincronizar usuarios y grupos, asegúrese de que estén asignados a la aplicación u otra configuración que represente la conexión de su IdP a IAM Identity Center.

  • El comportamiento de desaprovisionamiento de los usuarios lo administra el proveedor de identidades y puede variar según su implementación. Consulta con tu proveedor de identidad para obtener más información sobre el desaprovisionamiento de usuarios.

Para obtener más información sobre la SCIM implementación de IAM Identity Center, consulte la Guía para desarrolladores de SCIM implementación de IAM Identity Center.

Cómo monitorizar la caducidad del token de acceso

SCIMlos tokens de acceso se generan con una validez de un año. Cuando el token de SCIM acceso caduque en 90 días o menos, te AWS envía recordatorios a la consola de IAM Identity Center y al AWS Health panel de control para ayudarte a cambiar el token. Al rotar el token de SCIM acceso antes de que caduque, se asegura de forma continua el aprovisionamiento automático de la información de usuarios y grupos. Si el token de SCIM acceso caduca, se detiene la sincronización de la información de usuarios y grupos de su proveedor de IAM identidad con Identity Center, por lo que el aprovisionamiento automático ya no puede realizar actualizaciones ni crear y eliminar información. La interrupción del aprovisionamiento automático puede aumentar los riesgos de seguridad y afectar al acceso a sus servicios.

Los recordatorios de la consola de Identity Center persisten hasta que cambies el token de SCIM acceso y elimines cualquier token de acceso no utilizado o caducado. Los eventos de AWS Health Dashboard se renuevan semanalmente entre 90 y 60 días, dos veces por semana entre 60 y 30 días, tres veces por semana entre 30 y 15 días y todos los días desde 15 días hasta que caduquen los tokens de SCIM acceso.

Cómo habilitar el aprovisionamiento automático

Utilice el siguiente procedimiento para habilitar el aprovisionamiento automático de usuarios y grupos desde su IdP IAM a Identity Center mediante SCIM el protocolo.

nota

Antes de comenzar con este procedimiento, le recomendamos que revise primero las consideraciones de aprovisionamiento aplicables a su IdP. Para obtener más información, consulte la Tutoriales de introducción para su IdP.

Para habilitar el aprovisionamiento automático en Identity Center IAM

  1. Cuando haya completado los requisitos previos, abra la consola de IAMIdentity Center.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el SCIM punto final y el token de acceso.

  4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

    1. SCIMpunto final: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Este es el único momento en el que puede obtener el SCIM punto final y el token de acceso. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático Okta más adelante en este tutorial.

  5. Elija Close.

Después de completar este procedimiento, debe configurar el aprovisionamiento automático en su IdP. Para obtener más información, consulte la Tutoriales de introducción para su IdP.

Cómo habilitar el aprovisionamiento automático

Utilice el siguiente procedimiento para deshabilitar el aprovisionamiento automático en la consola de IAM Identity Center.

importante

Debe eliminar el token de acceso antes de iniciar este procedimiento. Para obtener más información, consulte Cómo eliminar un token de acceso.

Para deshabilitar el aprovisionamiento automático en la consola de IAM Identity Center

  1. En la consola de IAM Identity Center, seleccione Configuración en el panel de navegación izquierdo.

  2. En la página de configuración, elija la pestaña Fuente de identidad y, a continuación, Acciones > Administrar el aprovisionamiento.

  3. En la página de aprovisionamiento automático, seleccione Deshabilitar.

  4. En el cuadro de diálogo Desactivar el aprovisionamiento automático, revise la información, escriba y, a continuación DISABLE, seleccione Desactivar el aprovisionamiento automático.

Cómo generar un nuevo token de acceso

Utilice el siguiente procedimiento para generar un nuevo token de acceso en la consola de IAM Identity Center.

nota

Este procedimiento requiere que haya habilitado previamente el aprovisionamiento automático. Para obtener más información, consulte Cómo habilitar el aprovisionamiento automático.

Cómo generar un nuevo token de acceso

  1. En la consola de IAM Identity Center, seleccione Configuración en el panel de navegación izquierdo.

  2. En la página de configuración, elija la pestaña Fuente de identidad y, a continuación, Acciones > Administrar aprovisionamiento.

  3. En la página de aprovisionamiento automático, en Tokens de acceso, seleccione Generar token.

  4. En el cuadro de diálogo Generar un nuevo token de acceso, copie el nuevo token de acceso y guárdelo en un lugar seguro.

  5. Elija Close.

Cómo eliminar un token de acceso

Utilice el siguiente procedimiento para eliminar un token de acceso existente en la consola de IAM Identity Center.

Cómo eliminar una clave de acceso

  1. En la consola de IAM Identity Center, seleccione Configuración en el panel de navegación izquierdo.

  2. En la página de configuración, elija la pestaña Fuente de identidad y, a continuación, Acciones > Administrar aprovisionamiento.

  3. En la página de aprovisionamiento automático, en Tokens de acceso, seleccione el token de acceso que desee eliminar y, a continuación, Eliminar.

  4. En el cuadro de diálogo Eliminar el token de acceso, revise la información, escriba y DELETE, a continuación, seleccione Eliminar el token de acceso.

Cómo eliminar un token de acceso

Un directorio de IAM Identity Center admite hasta dos tokens de acceso a la vez. Para generar un token de acceso adicional antes de cualquier rotación, elimine los tokens de acceso caducados o no utilizados.

Si su token de SCIM acceso está a punto de caducar, puede usar el siguiente procedimiento para rotar un token de acceso existente en la consola de IAM Identity Center.

Cómo eliminar un token de acceso

  1. En la consola de IAM Identity Center, seleccione Configuración en el panel de navegación izquierdo.

  2. En la página de configuración, elija la pestaña Fuente de identidad y, a continuación, Acciones > Administrar aprovisionamiento.

  3. En la página de aprovisionamiento automático, en Tokens de acceso, anote el ID del token que desee rotar.

  4. Siga los pasos que encontrará en Cómo generar un nuevo token de acceso para crear un nuevo token. Si ya ha creado el número máximo de tokens de SCIM acceso, primero tendrá que eliminar uno de los existentes.

  5. Vaya al sitio web de su proveedor de identidad y configure el nuevo token de acceso para el SCIM aprovisionamiento y, a continuación, pruebe la conectividad con IAM Identity Center con el nuevo token de SCIM acceso. Una vez que haya confirmado que el aprovisionamiento funciona correctamente con el nuevo token, continúe con el siguiente paso de este procedimiento.

  6. Siga los pasos que se indican en Cómo eliminar un token de acceso para eliminar el token de acceso que anotó anteriormente. También puede usar la fecha de creación del token como una pista sobre qué token eliminar.

Aprovisionamiento manual

Algunos IdPs no son compatibles con el Sistema de Gestión de Identidad entre Dominios (SCIM) o tienen una implementación incompatibleSCIM. En esos casos, puede aprovisionar usuarios manualmente a través de la consola de IAM Identity Center. Al agregar usuarios a IAM Identity Center, asegúrese de configurar el nombre de usuario para que sea idéntico al nombre de usuario que tiene en su IdP. Como mínimo, debe tener una dirección de correo electrónico y un nombre de usuario únicos. Para obtener más información, consulte Exclusividad del nombre de usuario y de la dirección de correo electrónico.

También debe administrar todos los grupos manualmente en IAM Identity Center. Para ello, cree los grupos y los añada mediante la consola de IAM Identity Center. No es necesario que estos grupos coincidan con los que existen en su IdP. Para obtener más información, consulte Grupos.