Pertimbangan untuk mengubah sumber identitas Anda - AWS IAM Identity Center
Perubahan antara IAM Identity Center dan Active DirectoryMengubah dari IAM Identity Center ke iDP eksternalMengubah dari iDP eksternal ke IAM Identity CenterMengubah dari satu iDP eksternal ke iDP eksternal lainnyaMengubah antara Active Directory dan iDP eksternal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan untuk mengubah sumber identitas Anda

Meskipun Anda dapat mengubah sumber identitas kapan saja, kami sarankan Anda mempertimbangkan bagaimana perubahan ini dapat memengaruhi penerapan Anda saat ini.

Jika Anda sudah mengelola pengguna dan grup dalam satu sumber identitas, mengubah ke sumber identitas yang berbeda dapat menghapus semua penetapan pengguna dan grup yang Anda konfigurasikan di Pusat Identitas IAM. Jika ini terjadi, semua pengguna, termasuk pengguna administratif di IAM Identity Center, akan kehilangan akses masuk tunggal ke aplikasi dan aplikasi mereka Akun AWS .

Sebelum Anda mengubah sumber identitas untuk IAM Identity Center, tinjau pertimbangan berikut sebelum Anda melanjutkan. Jika Anda ingin melanjutkan dengan mengubah sumber identitas Anda, lihat Ubah sumber identitas Anda untuk informasi lebih lanjut.

Perubahan antara IAM Identity Center dan Active Directory

Jika Anda sudah mengelola pengguna dan grup di Active Directory, sebaiknya pertimbangkan untuk menghubungkan direktori saat mengaktifkan IAM Identity Center dan memilih sumber identitas Anda. Lakukan ini sebelum Anda membuat pengguna dan grup apa pun di direktori Pusat Identitas default dan buat tugas apa pun.

Jika Anda sudah mengelola pengguna dan grup di direktori Pusat Identitas default, pertimbangkan hal berikut:

  • Penugasan dihapus dan pengguna dan grup dihapus — Mengubah sumber identitas Anda ke Active Directory menghapus pengguna dan grup Anda dari direktori Pusat Identitas. Perubahan ini juga menghapus tugas Anda. Dalam hal ini, setelah Anda mengubah ke Active Directory, Anda harus menyinkronkan pengguna dan grup dari Active Directory ke direktori Pusat Identitas, dan kemudian menerapkan kembali tugas mereka.

    Jika Anda memilih untuk tidak menggunakan Active Directory, Anda harus membuat pengguna dan grup di direktori Pusat Identitas, dan kemudian membuat tugas.

  • Penugasan tidak dihapus saat identitas dihapus — Saat identitas dihapus di direktori Pusat Identitas, tugas yang sesuai juga akan dihapus di Pusat Identitas IAM. Namun di Active Directory, ketika identitas dihapus (baik di Active Directory atau identitas yang disinkronkan), tugas yang sesuai tidak dihapus.

  • Tidak ada sinkronisasi keluar untuk API — Jika Anda menggunakan Active Directory sebagai sumber identitas, sebaiknya gunakan API Buat, Perbarui, dan Hapus dengan hati-hati. Pusat Identitas IAM tidak mendukung sinkronisasi keluar, sehingga sumber identitas Anda tidak diperbarui secara otomatis dengan perubahan yang Anda buat pada pengguna atau grup yang menggunakan API ini.

  • URL portal akses akan berubah — Mengubah sumber identitas Anda antara IAM Identity Center dan Active Directory juga mengubah URL untuk portal AWS akses.

Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihatConnect ke Microsoft AD direktori.

Mengubah dari IAM Identity Center ke iDP eksternal

Jika Anda mengubah sumber identitas dari IAM Identity Center ke penyedia identitas eksternal (iDP), pertimbangkan hal berikut:

  • Penugasan dan keanggotaan berfungsi dengan pernyataan yang benar — tugas pengguna, penugasan grup, dan keanggotaan grup Anda akan terus berfungsi selama iDP baru mengirimkan pernyataan yang benar (misalnya, NAMEID SAM). Pernyataan ini harus cocok dengan nama pengguna dan grup di Pusat Identitas IAM.

  • Tidak ada sinkronisasi keluar - Pusat Identitas IAM tidak mendukung sinkronisasi keluar, sehingga IDP eksternal Anda tidak akan diperbarui secara otomatis dengan perubahan pada pengguna dan grup yang Anda buat di Pusat Identitas IAM.

  • Penyediaan SCIM - jika Anda menggunakan penyediaan SCIM, perubahan pada pengguna dan grup di penyedia identitas Anda hanya tercermin di Pusat Identitas IAM setelah penyedia identitas Anda mengirimkan perubahan tersebut ke Pusat Identitas IAM. Lihat Pertimbangan untuk menggunakan penyediaan otomatis.

  • Rollback — Anda dapat mengembalikan sumber identitas Anda kembali menggunakan IAM Identity Center kapan saja. Lihat Mengubah dari iDP eksternal ke IAM Identity Center.

Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihatConnect ke penyedia identitas eksternal.

Mengubah dari iDP eksternal ke IAM Identity Center

Jika Anda mengubah sumber identitas dari penyedia identitas eksternal (iDP) menjadi IAM Identity Center, pertimbangkan hal berikut:

  • IAM Identity Center mempertahankan semua tugas Anda.

  • Reset paksa kata sandi — Pengguna yang memiliki kata sandi di Pusat Identitas IAM dapat melanjutkan masuk dengan kata sandi lama mereka. Untuk pengguna yang berada di IDP eksternal dan tidak berada di Pusat Identitas IAM, administrator harus memaksa pengaturan ulang kata sandi.

Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihatKelola identitas di Pusat Identitas IAM.

Mengubah dari satu iDP eksternal ke iDP eksternal lainnya

Jika Anda sudah menggunakan iDP eksternal sebagai sumber identitas untuk IAM Identity Center dan Anda mengubah ke iDP eksternal yang berbeda, pertimbangkan hal berikut:

  • Tugas dan keanggotaan bekerja dengan pernyataan yang benar - IAM Identity Center mempertahankan semua tugas Anda. Penugasan pengguna, penugasan grup, dan keanggotaan grup akan terus berfungsi selama iDP baru mengirimkan pernyataan yang benar (misalnya, NAMEID SAM).

    Pernyataan ini harus cocok dengan nama pengguna di Pusat Identitas IAM saat pengguna Anda mengautentikasi melalui iDP eksternal yang baru.

  • Penyediaan SCIM - Jika Anda menggunakan SCIM untuk penyediaan ke IAM Identity Center, kami sarankan Anda meninjau informasi khusus IDP dalam panduan ini dan dokumentasi yang disediakan oleh IDP untuk memastikan bahwa penyedia baru akan cocok dengan pengguna dan grup dengan benar saat SCIM diaktifkan.

Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihatConnect ke penyedia identitas eksternal.

Mengubah antara Active Directory dan iDP eksternal

Jika Anda mengubah sumber identitas dari iDP eksternal ke Active Directory, atau dari Active Directory ke iDP eksternal, pertimbangkan hal berikut:

  • Pengguna, grup, dan tugas dihapus - Semua pengguna, grup, dan tugas dihapus dari Pusat Identitas IAM. Tidak ada informasi pengguna atau grup yang terpengaruh baik di IDP eksternal atau Direktori Aktif.

  • Menyediakan pengguna — Jika Anda mengubah ke iDP eksternal, Anda harus mengonfigurasi Pusat Identitas IAM untuk menyediakan pengguna Anda. Atau, Anda harus secara manual menyediakan pengguna dan grup untuk iDP eksternal sebelum Anda dapat mengonfigurasi tugas.

  • Buat tugas dan grup — Jika Anda mengubah ke Active Directory, Anda harus membuat tugas dengan pengguna dan grup yang ada di direktori Anda di Active Directory.

Untuk informasi tentang cara IAM Identity Center menyediakan pengguna dan grup, lihatConnect ke Microsoft AD direktori.