Configuração do diretório de usuário - Amazon Monitron
Noções básicas sobre os requisitos de SSOAdicionar usuários administradores usando o diretório nativo do Centro de Identidade do IAMAdicionar usuários administradores usando o Microsoft Active Directory Adicionar usuários administradores usando um provedor de ID externoVoltar para o Amazon Monitron com Centro de Identidade do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração do diretório de usuário

O Amazon Monitron usa AWS IAM Identity Center para gerenciar o acesso do usuário. Os usuários são adicionados a partir desse diretório de usuários do Centro de Identidade do IAM.

A forma como você adiciona um usuário administrador depende de como o Centro de Identidade do IAM foi configurado para sua organização.

Importante

Amazon Monitron requer um endereço de e-mail para cada usuário do aplicativo. Se você usa diretórios como o Microsoft Active Directory ou um provedor de ID externo, você precisa garantir que os endereços de e-mail dos seus usuários sejam adicionados e sincronizados.

Noções básicas sobre os requisitos de SSO

Quando você cria um projeto, o Amazon Monitron detecta automaticamente se o Centro de Identidade do IAM foi ativado e configurado em sua conta e se todos os pré-requisitos para usar o Centro de Identidade do IAM com o Amazon Monitron estão satisfeitos. Caso contrário, o Amazon Monitron produzirá um erro e fornecerá uma lista dos pré-requisitos necessários. Você deve atender a todos os pré-requisitos antes de poder adicionar usuários administradores. Para obter mais informações sobre como habilitar e configurar o Centro de Identidade do IAM para sua organização, consulte AWS Single Sign-On.

Importante

Amazon Monitron é compatível com todas as regiões do IAM Identity Center, exceto regiões opcionais e governamentais. A lista de regiões compatíveis é a seguinte:

  • Leste dos EUA (Norte da Virgínia)

  • Leste dos EUA (Ohio)

  • Oeste dos EUA (N. da Califórnia)

  • Oeste dos EUA (Oregon)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Tóquio)

  • Ásia-Pacífico (Seul)

  • Asia Pacific (Osaka)

  • Ásia-Pacífico (Singapura)

  • Ásia-Pacífico (Sydney)

  • Canadá (Central)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europa (Londres)

  • Europa (Paris)

  • Europa (Estocolmo)

  • América do Sul (São Paulo)

Pré-requisitos do IAM Identity Center

Antes de configurar o Centro de Identidade do IAM, você precisa:

  • Primeiro, configure o AWS Organizations serviço e tenha todos os recursos definidos como ativados. Para obter mais informações sobre essa configuração, consulte Habilitar todos os recursos em sua organização no Guia do usuário do AWS Organizations .

  • Faça login com as credenciais da conta AWS Organizations de gerenciamento antes de começar a configurar o IAM Identity Center. Essas credenciais são necessárias para habilitar o Centro de Identidade do IAM. Para obter mais informações, consulte Criação e gerenciamento de uma AWS organização no Guia AWS Organizations do usuário. Você não pode configurar o Centro de Identidade do IAM enquanto estiver conectado com as credenciais da conta de membro de uma organização.

  • Escolha um armazenamento de diretório para determinar qual grupo de usuários tem acesso SSO ao portal do usuário. Se optar por usar uma fonte de identidade padrão do Centro de Identidade do IAM para seu armazenamento do usuário, nenhuma tarefa de pré-requisito será necessária. O armazenamento do Centro de Identidade do IAM é criado por padrão quando você ativa o Centro de Identidade do IAM e está imediatamente pronto para uso. Não há custo para o uso desse armazenamento. Como alternativa, você pode optar por se Conectar ao seu provedor de identidade externo usando o Azure Active Directory. Se decidir se conectar a um Active Directory existente para o armazenamento de usuário, você deverá ter o seguinte:

    • Um AD Connector ou AWS Managed Microsoft AD diretório existente configurado e deve residir na AWS Directory Service conta de gerenciamento da sua organização. Você pode se conectar apenas a um diretório do AWS Managed Microsoft AD por vez. No entanto, você pode alterá-lo para um AWS Managed Microsoft AD diretório diferente ou alterá-lo novamente para um armazenamento do IAM Identity Center a qualquer momento. Para obter mais informações, consulte Criar um AWS Managed Microsoft AD diretório no Guia de AWS Directory Service Administração.

    • Configure o Centro de Identidade do IAM na região em que seu diretório do AWS Managed Microsoft AD estiver configurado. O Centro de Identidade do IAM armazena os dados de atribuição na mesma região do diretório. Para administrar o Centro de Identidade do IAM, você deve mudar para a região em que configurou o Centro de Identidade do IAM. Além disso, observe que o portal do usuário do Centro de Identidade do IAM usa o mesmo URL de acesso que o diretório conectado.

  • Se você atualmente filtra o acesso a domínios específicos da Amazon Web Service (AWS) ou endpoints de URL usando uma solução de filtragem de conteúdo da web, como firewalls de próxima geração (NGFW) ou gateways seguros da web (SWG), você deve adicionar os seguintes domínios e/ou endpoints de URL às suas listas de permissões da solução de filtragem de conteúdo da web para que o Centro de Identidade do IAM funcione corretamente:

    Domínios DNS específicos

    • *.awsapps.com (http://awsapps.com/)

    • *.signin.aws

    Pontos finais de URL específicos

    • https://[yourdirectory].awsapps.com/start

    • https://[yourdirectory].awsapps.com/login

    • https://[yourregion].signin.aws/platform/login

É altamente recomendável que, antes de ativar o IAM Identity Center, você primeiro verifique se sua AWS conta está se aproximando do limite de cota para funções do IAM. Para obter mais informações, consulte Cotas de objetos do IAM. Se você estiver se aproximando da cota, considere solicitar um aumento de cota. Caso contrário, você pode ter problemas com o Centro de Identidade do IAM ao provisionar conjuntos de permissões para contas que excederam o limite de perfis do IAM.

Adicionar usuários administradores usando o diretório nativo do Centro de Identidade do IAM

A maneira mais simples de adicionar usuários administradores ao seu projeto é usando o diretório nativo do Centro de Identidade do IAM. Você pode usá-lo começando a usar o Amazon Monitron e permitindo que ele configure o Centro de Identidade do IAM em um nível básico para você. Você também pode configurar o Centro de Identidade do IAM antes de usar o Amazon Monitron e configurá-lo para usar o diretório nativo. De qualquer forma, você pode adicionar usuários manualmente e sem potencialmente expor as informações de identidade do usuário a outros usuários administradores, além do nome e do e-mail.

Para adicionar um usuário administrador ao usar o diretório nativo do Centro de Identidade do IAM

  1. Abra o console do Amazon Monitron em https://console.aws.amazon.com/monitron.

  2. Escolha Criar projeto.

  3. No painel de navegação, escolha o projeto que desejado.

  4. Na página Usuários, escolha os usuários que você deseja atribuir como usuários administradores. Se você não conseguir ver um usuário, pesquise por ele.

    Os usuários escolhidos são exibidos na seção Usuários selecionados.

  5. Se o usuário desejado não estiver no diretório, escolha Criar usuário para adicionar o usuário.

    1. Em Criar um usuário, em E-mail, insira o endereço de e-mail do novo usuário administrador.

    2. Em Nome e Sobrenome, insira o nome do administrador.

    3. Escolha Create User.

  6. Quando o nome do usuário aparecer na lista de diretórios, escolha Adicionar para adicionar os usuários administradores que você selecionou.

  7. Envie um e-mail aos usuários administradores com um convite para o projeto que inclui um link para baixar o aplicativo móvel Amazon Monitron. Para ter mais informações, consulte Enviar um convite por e-mail.

    O Amazon Monitron leva você à página do projeto, onde lista todos os usuários administradores.

  8. Para adicionar mais usuários administradores, escolha Adicionar administrador.

    Qualquer usuário administrador pode adicionar outros usuários usando o aplicativo móvel Amazon Monitron. Para obter mais informações, consulte Adicionar um usuário no Guia do usuário do Amazon Monitron.

Adicionar usuários administradores usando o Microsoft Active Directory

Se você usa o Microsoft Active Directory (AD) como o diretório de usuário principal da sua organização, você pode configurar o Centro de Identidade do IAM para usá-lo. O IAM Identity Center permite que você conecte seu Active Directory autogerenciado como seu diretório AWS gerenciado do Microsoft AD usando o AWS Directory Service. Esse diretório do Microsoft AD fornece o conjunto de identidades que você pode usar ao usar o console Amazon Monitron (ou o aplicativo móvel Amazon Monitron) para atribuir funções de usuário.

Importante

Amazon Monitron requer um endereço de e-mail para cada usuário do aplicativo. Certifique-se de que os endereços de e-mail dos seus usuários sejam adicionados e sincronizados.

Todos os usuários administradores do Amazon Monitron têm acesso às informações de identidade no diretório de usuários que está configurado no Centro de Identidade do IAM para Amazon Monitron. É altamente recomendável usar um diretório isolado se você quiser limitar o acesso às informações da organização do usuário.

Para adicionar um usuário administrador usando o Microsoft Active Directory

  1. Configure o Centro de Identidade do IAM para se conectar ao seu Microsoft Active Directory. As etapas envolvidas nisso diferem dependendo se você está usando um diretório autogerenciado do Active Directory ou um diretório AWS gerenciado do Microsoft AD. Para obter mais informações, consulte Conectar ao diretório do Microsoft AD.

  2. Abra o console do Amazon Monitron em https://console.aws.amazon.com/monitron.

  3. Escolha Criar projeto.

  4. No painel de navegação, escolha o projeto que desejado.

  5. Para o domínio do Active Directory, escolha o domínio do diretório do qual você deseja adicionar identidades.

  6. Escolha Usuários ou Grupos, dependendo de como você deseja pesquisar no diretório de usuários.

  7. Insira uma string na caixa de pesquisa para encontrar a identidade que você deseja adicionar e escolha Pesquisar.

    Para limitar o número de usuários retornados, insira uma sequência de caracteres mais longa na caixa de pesquisa. Por exemplo, se você digitar “olg” na caixa de pesquisa, a lista retornará todos os usuários com as letras “olg” em seus nomes, como “Olga Kurth” e “Jamie Folgman”.

  8. Escolha os usuários que você deseja atribuir como usuários administradores.

  9. Escolha Adicionar para adicionar os usuários administradores.

Adicionar usuários administradores usando um provedor de ID externo

Se você estiver usando um provedor de identidades (IdP) externo, pode configurar o Centro de Identidade do IAM para usar esse provedor por meio do padrão Security Assertion Markup Language (SAML) 2.0. Isso fornece o conjunto de identidades em seu diretório IdP. Você pode extrair esse pool ao usar o console Amazon Monitron (ou o aplicativo móvel Amazon Monitron) e atribuí-los como usuários administradores. Isso também permite que seus usuários façam login no Amazon Monitron com suas credenciais corporativas.

Importante

Amazon Monitron requer um endereço de e-mail para cada usuário do aplicativo. Certifique-se de que os endereços de e-mail dos seus usuários sejam adicionados e sincronizados.

Todos os usuários administradores do Amazon Monitron têm acesso às informações de identidade no diretório de usuários que está configurado no Centro de Identidade do IAM para Amazon Monitron. É altamente recomendável usar um diretório isolado se você quiser limitar o acesso às informações da organização do usuário.

Como adicionar um usuário administrador usando um provedor de ID externo (IdP)

  1. Configure o AWS IAM Identity Center para se conectar ao seu IdP externo. As etapas envolvidas nisso diferem de acordo com o provedor que você está usando. Para obter mais informações, consulte Conectar ao seu provedor de ID externo.

  2. Abra o console do Amazon Monitron em https://console.aws.amazon.com/monitron.

  3. Escolha Criar projeto.

  4. No painel de navegação, escolha o projeto que desejado.

  5. Na página Usuários, escolha os usuários que você deseja atribuir como usuários administradores. Se você não conseguir ver um usuário, pesquise por ele.

  6. Escolha Adicionar para adicionar os usuários administradores.

Voltar para o Amazon Monitron com Centro de Identidade do IAM

Ao sair do aplicativo web Amazon Monitron, você ainda pode estar conectado. AWS IAM Identity Center Qualquer outro aplicativo que você tenha aberto no portal do usuário permanecerá aberto e em execução.

Há duas maneiras de sair do Centro de Identidade do IAM:

  • Saia diretamente pelo portal do Centro de Identidade do IAM.

  • Uma vez por hora, o AWS IAM Identity Center verifica se você está usando ativamente algum AWS serviço. Caso contrário, você será desconectado automaticamente do Centro de Identidade do IAM.

Para saber mais sobre usuários administradores que usam o Centro de Identidade do IAM, consulte Configuração do diretório de usuário.

Para saber mais sobre as melhores práticas de segurança com o Amazon Monitron e o IAM Identity Center, consulte Melhores práticas de segurança para. Amazon Monitron

Para saber mais sobre como usar o portal do usuário do SSO, consulte Usando o portal do usuário.