Provisionando um provedor de identidade externo no IAM Identity Center usando SCIM - AWS IAM Identity Center
Considerações sobre o uso do provisionamento automáticoComo monitorar a expiração do token de acessoComo habilitar provisionamento automáticoComo desabilitar provisionamento automáticoComo gerar um novo token de acessoComo excluir um token de acessoComo fazer rodízio de um token de acessoProvisionamento manual

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provisionando um provedor de identidade externo no IAM Identity Center usando SCIM

IAMO Identity Center suporta o provisionamento automático (sincronização) de informações de usuários e grupos do seu provedor de identidade (IdP) no Identity Center usando o protocolo System for Cross-domain IAM Identity Management () v2.0. SCIM Ao configurar a SCIM sincronização, você cria um mapeamento dos atributos de usuário do provedor de identidade (IdP) para os atributos nomeados IAM no Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e seu IdP. Você configura essa conexão em seu IdP usando seu SCIM endpoint para o IAM Identity Center e um token de portador que você cria no Identity Center. IAM

Considerações sobre o uso do provisionamento automático

Antes de começar a implantaçãoSCIM, recomendamos que você primeiro analise as seguintes considerações importantes sobre como ela funciona com o IAM Identity Center. Para considerações adicionais sobre provisionamento, consulte o Tutoriais de introdução aplicável ao seu IdP.

  • Se você estiver provisionando um endereço de e-mail principal, esse valor de atributo deverá ser exclusivo para cada usuário. Em alguns casos IdPs, o endereço de e-mail principal pode não ser um endereço de e-mail real. Por exemplo, pode ser um nome principal universal (UPN) que se parece apenas com um e-mail. Eles IdPs podem ter um endereço de e-mail secundário ou “outro” que contém o endereço de e-mail real do usuário. Você deve configurar SCIM em seu IdP para mapear o endereço de e-mail exclusivo não NULL para o atributo de endereço de e-mail principal do IAM Identity Center. E você deve mapear o identificador de login exclusivo não NULL do usuário para o atributo de nome de usuário do IAM Identity Center. Verifique se o seu IdP tem um valor único que seja o identificador de login e o nome de e-mail do usuário. Nesse caso, você pode mapear esse campo IdP para o e-mail principal do IAM Identity Center e para o nome de usuário do IAM Identity Center.

  • Para que a SCIM sincronização funcione, cada usuário deve ter um valor especificado para nome, sobrenome, nome de usuário e nome de exibição. Se algum desses valores estiver ausente de um usuário, esse usuário não será provisionado.

  • Se você precisar usar aplicativos de terceiros, primeiro precisará mapear o atributo de SAML assunto de saída para o atributo de nome de usuário. Se o aplicativo de terceiros precisar de um endereço de e-mail roteável, você deverá fornecer o atributo de e-mail ao seu IdP.

  • SCIMos intervalos de provisionamento e atualização são controlados pelo seu provedor de identidade. As alterações nos usuários e grupos em seu provedor de identidade só são refletidas no IAM Identity Center depois que seu provedor de identidade envia essas alterações para o IAM Identity Center. Consulte seu provedor de identidades para obter detalhes sobre a frequência das atualizações de usuários e grupos.

  • Atualmente, atributos de vários valores (como vários e-mails ou números de telefone de um determinado usuário) não são provisionados com. SCIM As tentativas de sincronizar atributos de vários valores no IAM Identity Center com falharão. SCIM Para evitar falhas, certifique-se de que somente um único valor seja passado para cada atributo. Se você tiver usuários com atributos de vários valores, remova ou modifique os mapeamentos de atributos duplicados em seu IdP para a SCIM conexão com o Identity Center. IAM

  • Verifique se o externalId SCIM mapeamento em seu IdP corresponde a um valor exclusivo, sempre presente e com menor probabilidade de ser alterado para seus usuários. Por exemplo, seu IdP pode fornecer um identificador objectId garantido ou outro que não seja afetado por alterações nos atributos do usuário, como nome e e-mail. Nesse caso, você pode mapear esse valor para o SCIM externalId campo. Isso garante que seus usuários não percam AWS direitos, atribuições ou permissões se você precisar alterar o nome ou o e-mail deles.

  • Usuários que ainda não foram atribuídos a um aplicativo ou que Conta da AWS não podem ser provisionados no IAM Identity Center. Para sincronizar usuários e grupos, certifique-se de que eles estejam atribuídos ao aplicativo ou a outra configuração que represente a conexão do seu IdP com o IAM Identity Center.

  • O comportamento de desprovisionamento do usuário é gerenciado pelo provedor de identidade e pode variar de acordo com sua implementação. Consulte seu provedor de identidade para obter detalhes sobre o desprovisionamento de usuários.

Para obter mais informações sobre a SCIM implementação do IAM Identity Center, consulte o Guia do desenvolvedor de SCIM implementação do IAM Identity Center.

Como monitorar a expiração do token de acesso

SCIMos tokens de acesso são gerados com validade de um ano. Quando seu token de SCIM acesso está configurado para expirar em 90 dias ou menos, AWS envia lembretes no console do IAM Identity Center e no AWS Health Painel para ajudá-lo a alternar o token. Ao girar o token de SCIM acesso antes que ele expire, você protege continuamente o provisionamento automático das informações do usuário e do grupo. Se o token de SCIM acesso expirar, a sincronização das informações do usuário e do grupo do seu provedor de identidade com o Identity Center será interrompida, portanto, o provisionamento automático não poderá mais fazer atualizações ou criar e excluir informações. IAM A interrupção do provisionamento automático pode impor riscos de segurança mais graves e afetar o acesso aos seus serviços.

Os lembretes do console do Identity Center persistem até que você gire o token de SCIM acesso e exclua todos os tokens de acesso não utilizados ou expirados. Os eventos do AWS Health Dashboard são renovados semanalmente entre 90 a 60 dias, duas vezes por semana de 60 a 30 dias, três vezes por semana de 30 a 15 dias e diariamente a partir de 15 dias até que os tokens de SCIM acesso expirem.

Como habilitar provisionamento automático

Use o procedimento a seguir para ativar o provisionamento automático de usuários e grupos do seu IdP para o IAM Identity Center usando o protocolo. SCIM

nota

Antes de iniciar esse procedimento, recomendamos que você analise antes as considerações de provisionamento que sejam aplicáveis ao seu IdP. Para obter mais informações, consulte o Tutoriais de introdução para seu IdP.

Para habilitar o provisionamento automático no Identity Center IAM

  1. Depois de concluir os pré-requisitos, abra o console do IAMIdentity Center.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso ativa imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do SCIM endpoint e do token de acesso.

  4. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.

    1. SCIMendpoint - Por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Essa é a única vez em que você pode obter o SCIM endpoint e o token de acesso. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar o provisionamento automático Okta posteriormente neste tutorial.

  5. Escolha Fechar.

Depois de concluir este procedimento, você deve configurar o provisionamento automático em seu IdP. Para obter mais informações, consulte o Tutoriais de introdução para seu IdP.

Como desabilitar provisionamento automático

Use o procedimento a seguir para desativar o provisionamento automático no console do IAM Identity Center.

Importante

Você deve excluir o token de acesso antes de iniciar esse procedimento. Para obter mais informações, consulte Como excluir um token de acesso.

Para desativar o provisionamento automático no console do IAM Identity Center

  1. No console do IAM Identity Center, escolha Configurações no painel de navegação esquerdo.

  2. Na página Configurações, escolha a guia Origem da identidade e escolha Ações > Gerenciar provisionamento.

  3. Na página Provisionamento automático, escolha Desabilitar.

  4. Na caixa de diálogo Desativar aprovisionamento automático, revise as informações DISABLE, digite e escolha Desativar aprovisionamento automático.

Como gerar um novo token de acesso

Use o procedimento a seguir para gerar um novo token de acesso no console do IAM Identity Center.

nota

Esse procedimento exige que você tenha habilitado antes o provisionamento automático. Para obter mais informações, consulte Como habilitar provisionamento automático.

Para gerar um novo token de acesso

  1. No console do IAM Identity Center, escolha Configurações no painel de navegação esquerdo.

  2. Na página Configurações, escolha a guia Origem da identidade e escolha Ações > Gerenciar provisionamento.

  3. Na página Provisionamento automático, em Tokens de acesso, escolha Gerar token.

  4. Na caixa de diálogo Gerar novo token de acesso, copie o novo token de acesso e salve-o em um local seguro.

  5. Escolha Fechar.

Como excluir um token de acesso

Use o procedimento a seguir para excluir um token de acesso existente no console do IAM Identity Center.

Para excluir um token de acesso

  1. No console do IAM Identity Center, escolha Configurações no painel de navegação esquerdo.

  2. Na página Configurações, escolha a guia Origem da identidade e escolha Ações > Gerenciar provisionamento.

  3. Na página Provisionamento automático, em Tokens de acesso, exclua e selecione Excluir.

  4. Na caixa de diálogo Excluir token de acesso, revise as informações DELETE, digite e escolha Excluir token de acesso.

Como fazer rodízio de um token de acesso

Um diretório do IAM Identity Center suporta até dois tokens de acesso por vez. Para gerar um token de acesso adicional antes de qualquer rodízio, exclua todos os tokens de acesso expirados ou não utilizados.

Se seu token de SCIM acesso estiver prestes a expirar, você poderá usar o procedimento a seguir para alternar um token de acesso existente no console do IAM Identity Center.

Para fazer rodízio de um token de acesso

  1. No console do IAM Identity Center, escolha Configurações no painel de navegação esquerdo.

  2. Na página Configurações, escolha a guia Origem da identidade e escolha Ações > Gerenciar provisionamento.

  3. Na página Provisionamento automático, em Tokens de acesso, anote o ID do token que você deseja alternar.

  4. Siga as etapas em Como gerar um novo token de acesso para criar um novo token. Se você já criou o número máximo de tokens de SCIM acesso, primeiro precisará excluir um dos tokens existentes.

  5. Acesse o site do seu provedor de identidade e configure o novo token de acesso para SCIM provisionamento e, em seguida, teste a conectividade com o IAM Identity Center usando o novo token de SCIM acesso. Depois de confirmar que o provisionamento está funcionando com êxito usando o novo token, continue com a próxima etapa desse procedimento.

  6. Siga as etapas em Como excluir um token de acesso para excluir o token de acesso antigo que você anotou anteriormente. Você também pode usar a data de criação do token como uma dica de qual token remover.

Provisionamento manual

Alguns IdPs não têm suporte para System for Cross-domain Identity Management (SCIM) ou têm uma implementação incompatívelSCIM. Nesses casos, você pode provisionar usuários manualmente por meio do console do IAM Identity Center. Ao adicionar usuários ao IAM Identity Center, certifique-se de definir o nome de usuário para ser idêntico ao nome de usuário que você tem em seu IdP. No mínimo, você deve ter um endereço de e-mail e nome de usuário exclusivos. Para obter mais informações, consulte Exclusividade do nome de usuário e endereço de e-mail.

Você também deve gerenciar todos os grupos manualmente no IAM Identity Center. Para fazer isso, você cria os grupos e os adiciona usando o console do IAM Identity Center. Esses grupos não precisam corresponder ao que existe em seu IdP. Para obter mais informações, consulte Grupos.