Considerações para alterar sua fonte de identidade - AWS IAM Identity Center
Alteração entre o IAM Identity Center e o Active DirectoryMudar do IAM Identity Center para um IdP externoMudar de um IdP externo para o IAM Identity CenterMudar de um IdP externo para outro IdP externoAlternar entre o Active Directory e um IdP externo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações para alterar sua fonte de identidade

Embora você possa alterar sua fonte de identidade quando quiser, recomendamos que você considere como essa alteração pode afetar sua implantação atual.

Se você já estiver gerenciando usuários e grupos em uma fonte de identidade, mudar para outra fonte de identidade pode remover todas as atribuições de usuários e grupos que você configurou no Centro de Identidade do IAM. Se isso ocorrer, todos os usuários, incluindo o usuário administrativo no IAM Identity Center, perderão o acesso de login único a seus aplicativos Contas da AWS e aplicativos.

Antes de alterar a fonte de identidade do IAM Identity Center, revise as seguintes considerações antes de continuar. Se você quiser continuar com a alteração da fonte de identidade, consulte Alterar sua fonte de identidades para obter mais informações.

Alteração entre o IAM Identity Center e o Active Directory

Se você já estiver gerenciando usuários e grupos no Active Directory, recomendamos que considere a possibilidade de conectar o diretório ao habilitar o IAM Identity Center e escolher a fonte de identidade. Faça isso antes de você criar qualquer usuário e grupo no diretório padrão do Identity Center e fazer qualquer atribuição.

Se você já estiver gerenciando usuários e grupos no diretório padrão do Identity Center, considere o seguinte:

  • Atribuições removidas e usuários e grupos excluídos – Alterar sua fonte de identidade para o Active Directory exclui seus usuários e grupos do diretório do Identity Center. Essa alteração também remove suas atribuições. Nesse caso, depois de mudar para o Active Directory, você deve sincronizar seus usuários e grupos do Active Directory no diretório do Identity Center e, em seguida, reaplicar suas atribuições.

    Se você optar por não usar o Active Directory, deverá criar seus usuários e grupos no diretório do Identity Center e, em seguida, fazer as atribuições.

  • As atribuições não são excluídas quando as identidades são excluídas – Quando as identidades são excluídas no diretório do Identity Center, as atribuições correspondentes também são excluídas no IAM Identity Center. No entanto, no Active Directory, quando as identidades são excluídas (no Active Directory ou nas identidades sincronizadas), as atribuições correspondentes não são excluídas.

  • Sem sincronização de saída para APIs – Se você usa o Active Directory como sua fonte de identidade, recomendamos que utilize as APIs Criar, Atualizar e Excluir com cuidado. O IAM Identity Center não oferece suporte à sincronização de saída, portanto, sua fonte de identidade não é atualizada automaticamente com as alterações que você faz nos usuários ou grupos usando essas APIs.

  • A URL do portal de acesso mudará — Alterar sua fonte de identidade entre o IAM Identity Center e o Active Directory também altera a URL do portal de AWS acesso.

Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte Conectar-se a um diretório Microsoft AD.

Mudar do IAM Identity Center para um IdP externo

Se você alterar sua fonte de identidade do IAM Identity Center para um provedor de identidades (IdP) externo, considere o seguinte:

  • As atribuições e associações funcionam com as afirmações corretas — suas atribuições de usuário, atividades em grupo e associações em grupo continuarão funcionando enquanto o novo IdP enviar as afirmações corretas (por exemplo, SAML NameIDs). Essas afirmações devem corresponder aos nomes de usuário e grupos no IAM Identity Center.

  • Sem sincronização de saída — o IAM Identity Center não oferece suporte à sincronização de saída, portanto, seu IdP externo não será atualizado automaticamente com as alterações feitas nos usuários e grupos que você fizer no IAM Identity Center.

  • Provisionamento do SCIM — se você estiver usando o provisionamento do SCIM, as alterações nos usuários e grupos no seu provedor de identidade só serão refletidas no IAM Identity Center depois que seu provedor de identidade enviar essas alterações para o IAM Identity Center. Consulte Considerações sobre o uso do provisionamento automático.

  • Reversão — você pode reverter sua fonte de identidade para usar o IAM Identity Center a qualquer momento. Consulte Mudar de um IdP externo para o IAM Identity Center.

Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte Conecte-se a um provedor de identidades externo.

Mudar de um IdP externo para o IAM Identity Center

Se você alterar sua fonte de identidade de um provedor de identidades (IdP) externo para o IAM Identity Center, considere o seguinte:

  • O IAM Identity Center preserva todas as suas atribuições.

  • Forçar a redefinição de senha – Os usuários que tinham senhas no IAM Identity Center podem continuar fazendo login com suas senhas antigas. Para usuários que estavam no IdP externo e não estavam no IAM Identity Center, um administrador deve forçar uma redefinição de senha.

Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte Gerencie identidades no IAM Identity Center.

Mudar de um IdP externo para outro IdP externo

Se você já estiver usando um IdP externo como fonte de identidades para o IAM Identity Center e mudar para um IdP externo diferente, considere o seguinte:

  • Atribuições e associações funcionam com afirmações corretas – O IAM Identity Center preserva todos as suas atribuições. As atribuições de usuário, as atribuições de grupo e as associações de grupos continuarão funcionando enquanto o novo IdP enviar as afirmações corretas (por exemplo, SAML NameIDs).

    Essas afirmações devem corresponder aos nomes de usuário no IAM Identity Center quando seus usuários se autenticam por meio do novo IdP externo.

  • Provisionamento do SCIM – Se você estiver usando o SCIM para provisionamento no IAM Identity Center, recomendamos que você revise as informações específicas do IdP neste guia e a documentação fornecida pelo IdP para garantir que o novo provedor corresponda corretamente aos usuários e grupos quando o SCIM estiver ativado.

Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte Conecte-se a um provedor de identidades externo.

Alternar entre o Active Directory e um IdP externo

Se você alterar sua fonte de identidade de um IdP externo para o Active Directory ou do Active Directory para um IdP externo, considere o seguinte:

  • Usuários, grupos e atribuições são excluídos – Todos os usuários, grupos e atribuições são excluídos do IAM Identity Center. Nenhuma informação de usuário ou grupo é afetada no IdP externo ou no Active Directory.

  • Provisionamento de usuários – Se você mudar para um IdP externo, deverá configurar o IAM Identity Center para provisionar seus usuários. Como alternativa, você deve provisionar manualmente os usuários e grupos para o IdP externo antes de poder configurar as atribuições.

  • Criar atribuições e grupos – Se você mudar para o Active Directory, deverá criar atribuições com os usuários e grupos que estão no seu diretório no Active Directory.

Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte Conectar-se a um diretório Microsoft AD.