As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando a sincronização de e-mail para usuários federados no Quick
| |
| --- |
| Aplica-se a: Enterprise Edition |
| |
| --- |
| Público-alvo: administradores de sistemas e administradores do Amazon Quick |
**nota**
A federação de identidades do IAM não oferece suporte à sincronização de grupos de provedores de identidade com o Amazon Quick.
Na edição Amazon Quick Enterprise, como administrador, você pode impedir que novos usuários usem endereços de e-mail pessoais ao provisionar por meio de seu provedor de identidade (IdP) diretamente para o Quick. O Quick então usa os endereços de e-mail pré-configurados passados pelo IdP ao provisionar novos usuários para sua conta. Por exemplo, você pode fazer com que somente endereços de e-mail atribuídos pela empresa sejam usados quando os usuários forem provisionados para sua conta Amazon Quick por meio do seu IdP.
**nota**
Certifique-se de que seus usuários estejam se federando diretamente para o Amazon Quick por meio de seu IdP. Federar para o Console de gerenciamento da AWS por meio de seu IdP e depois clicar no Amazon Quick resulta em um erro e eles não poderão acessar o Amazon Quick.
Quando você configura a sincronização de e-mail para usuários federados no Amazon Quick, os usuários que acessam sua conta Amazon Quick pela primeira vez têm endereços de e-mail pré-atribuídos. Eles são usados para registrar as contas desses usuários. Com essa abordagem, os usuários podem ignorar manualmente inserindo um endereço de e-mail. Além disso, os usuários não podem usar um endereço de e-mail que possa ser diferente do prescrito por você, o administrador.
O Amazon Quick oferece suporte ao provisionamento por meio de um IdP compatível com a autenticação SAML ou OpenID Connect (OIDC). Para configurar endereços de e-mail para novos usuários ao provisionar por meio de um IdP, você atualiza a relação de confiança do perfil do IAM que eles usam com `AssumeRoleWithSAML` ou `AssumeRoleWithWebIdentity`. Em seguida, você adiciona um atributo SAML ou token OIDC em seu IdP. Por último, você ativa a sincronização de e-mail para usuários federados no Amazon Quick.
Os procedimentos a seguir descrevem essas etapas em detalhes.
## Etapa 1: atualizar a relação de confiança do perfil do IAM com AssumeRoleWithSAML ou AssumeRoleWithWebIdentity
Você pode configurar endereços de e-mail para seus usuários usarem ao provisionar por meio do seu IdP para o Amazon Quick. Para isso, adicione a ação `sts:TagSession` à relação de confiança do perfil do IAM usado com `AssumeRoleWithSAML` ou`AssumeRoleWithWebIdentity`. Ao fazer isso, você pode transferir tags de `principal` quando os usuários assumirem o perfil.
O exemplo a seguir ilustra um perfil do IAM atualizado em que o IdP é o Okta. Para usar esse exemplo, atualize o Nome do recurso da Amazon (ARN) `Federated` com o ARN do seu provedor de serviços. Você pode substituir itens em vermelho por suas informações específicas do serviço AWS e do IdP.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## Etapa 2: adicionar um atributo SAML ou token OIDC para a tag da entidade principal do IAM no seu IdP
Depois de atualizar a relação de confiança do perfil do IAM, conforme descrito na seção anterior, adicione um atributo SAML ou token OIDC para a tag `Principal` do IAM no seu IdP.
Os exemplos a seguir ilustram um atributo SAML e um token OIDC. Para usar esses exemplos, substitua o endereço de e-mail por uma variável no seu IdP que aponte para o endereço de e-mail de um usuário. Você pode substituir os itens destacados em vermelho pelas suas informações.
+ **Atributo SAML**: o exemplo a seguir ilustra um atributo SAML.
```
john.doe@example.com
```
**nota**
Se você estiver usando o Okta como seu IdP, certifique-se de ativar um sinalizador de recurso na sua conta de usuário do Okta para usar o SAML. Para obter mais informações, consulte [Okta e AWS parceria para simplificar o acesso por meio de tags de sessão](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/) no blog da Okta.
+ **Token OIDC**: a seguir, ilustramos um exemplo de token OIDC.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## Etapa 3: ativar a sincronização de e-mail para usuários federados no Amazon Quick
Conforme descrito anteriormente, atualize a relação de confiança do perfil do IAM e adicione um atributo SAML ou token OIDC para a tag `Principal` do IAM no seu IdP. Em seguida, ative a sincronização de e-mail para usuários federados no Amazon Quick, conforme descrito no procedimento a seguir.
**Para ativar a sincronização de e-mail para usuários federados**
1. Em qualquer página do Amazon Quick, escolha seu nome de usuário no canto superior direito e escolha **Gerenciar Amazon Quick**.
1. Escolha **Logon único (federação do IAM)** no menu à esquerda.
1. Na página **Federação do IAM iniciada pelo provedor de serviços**, em **Sincronização de e-mail para usuários federados**, escolha **ATIVADO**.
Quando a sincronização de e-mail para usuários federados está ativada, o Amazon Quick usa os endereços de e-mail que você configurou nas etapas 1 e 2 ao provisionar novos usuários para sua conta. Os usuários não podem inserir seus próprios endereços de e-mail.
Quando a sincronização de e-mail para usuários federados está desativada, o Amazon Quick solicita que os usuários insiram seu endereço de e-mail manualmente ao provisionar novos usuários para sua conta. Eles podem usar qualquer endereço de e-mail que quiserem.