Consideraciones para cambiar la fuente de identidad - AWS IAM Identity Center
Cambiar entre el directorio IAM Identity Center y Active DirectoryCómo cambiar de IAM Identity Center a un IdP externoCambiar de un IdP externo a IAM Identity CenterCambiar de un IdP externo a otro IdP externoCambiar de Active Directory a un IdP externo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones para cambiar la fuente de identidad

Aunque puede cambiar su fuente de identidad en cualquier momento, le recomendamos que considere cómo este cambio podría afectar a su implementación actual.

Si ya administra usuarios y grupos en un origen de identidad, cambiar a un origen de identidad diferente podría eliminar todas las asignaciones de usuarios y grupos que configuró en IAM Identity Center. Si esto ocurre, todos los usuarios, incluido el usuario administrativo de IAM Identity Center, perderán el acceso con inicio de sesión único a sus Cuentas de AWS y aplicaciones.

No cambie la fuente de identidad de IAM Identity Center sin revisar las siguientes consideraciones antes de proceder. Si desea continuar con el cambio de la fuente de identidad, consulte Cambiar su fuente de identidad para obtener más información.

Cambiar entre el directorio IAM Identity Center y Active Directory

Si ya administra usuarios y grupos en Active Directory, le recomendamos que considere la posibilidad de conectar su directorio al habilitar IAM Identity Center y elegir su origen de identidad. Esto debe hacerse antes de crear usuarios y grupos en el directorio predeterminado de Identity Center y de realizar cualquier asignación.

importante

Al cambiar el tipo de origen de identidad en IAM Identity Center a Active Directory o desde Active Directory, tenga en cuenta que el ID del almacén de identidades cambiará. Esto puede tener las siguientes implicaciones:

  • La URL del portal de acceso predeterminado de AWS cambiará. Deberá comunicar la nueva URL a sus empleados y actualizar los marcadores, las listas de direcciones permitidas de puertas de enlace o firewall y las configuraciones en las que se hace referencia a esta URL. Le recomendamos que realice este cambio en un período de mantenimiento programado para minimizar las interrupciones para los usuarios.

  • Si utiliza una clave de KMS gestionada por el cliente para el cifrado en reposo en IAM Identity Center y ha configurado la política de claves de KMS con el contexto de cifrado, tenga en cuenta que el contexto de cifrado del almacén de identidades cambiará. Por ejemplo, en el ARN del almacén de identidades "arn:aws:identitystore::123456789012:identitystore/d-922763e9b3", "d-922763e9b3" es el ID del almacén de identidades. Para evitar la interrupción del servicio durante esta transición, modifique temporalmente su política de claves de KMS para utilizar un patrón comodín: "arn:aws:identitystore::123456789012:identitystore/*".

Si ya administra usuarios y grupos en el directorio predeterminado de Identity Center, tenga en cuenta lo siguiente:

  • Asignaciones, usuarios y grupos eliminados: al cambiar la fuente de identidad a Active Directory, se eliminan los usuarios y grupos del directorio de Identity Center. Este cambio también elimina las asignaciones. En este caso, después de cambiar a Active Directory, debe sincronizar los usuarios y grupos de Active Directory con el directorio de Identity Center y, a continuación, volver a aplicar sus asignaciones.

    Si decide no usar Active Directory, debe crear los usuarios y grupos en el directorio de Identity Center y, a continuación, realizar las asignaciones.

  • Las asignaciones no se eliminan cuando se eliminan las identidades: cuando se eliminan las identidades del directorio de Identity Center, las asignaciones correspondientes también se eliminan en IAM Identity Center. Sin embargo, cuando se eliminan las identidades (ya sea en Active Directory o en las identidades sincronizadas) en Active Directory, las asignaciones correspondientes no se eliminan.

  • No hay sincronización saliente para las API: si utiliza Active Directory como fuente de identidad, le recomendamos que utilice las API de creación, actualización y eliminación con precaución. IAM Identity Center no admite la sincronización saliente, por lo que su fuente de identidad no se actualiza automáticamente con los cambios que realiza en los usuarios o grupos que utilizan estas API.

  • La URL del portal de acceso cambiará: al cambiar la fuente de identidad entre IAM Identity Center y Active Directory, también se cambiará la URL del portal de acceso AWS.

  • Si los usuarios se eliminan o deshabilitan en la consola de IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones integradas y a las cuentas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte Descripción de las sesiones de autenticación en IAM Identity Center.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Microsoft ADDirectorio .

Cómo cambiar de IAM Identity Center a un IdP externo

Si cambia la fuente de identidad de IAM Identity Center a un proveedor de identidades (IdP) externo, tenga en cuenta lo siguiente:

  • Las asignaciones y membrecías funcionan con confirmaciones correctas: sus asignaciones de usuarios, las asignaciones grupales y las membrecías a grupos seguirán funcionando mientras el nuevo IdP envíe las confirmaciones correctas (por ejemplo, los nameID de SAML). Estas confirmaciones deben coincidir con los nombres de usuario y grupos de IAM Identity Center.

  • No hay sincronización saliente: IAM Identity Center no admite la sincronización saliente, por lo que su IdP externo no se actualizará automáticamente con los cambios que realice en los usuarios y grupos en IAM Identity Center.

  • Aprovisionamiento de SCIM: si está usando el aprovisionamiento de SCIM, los cambios en los usuarios y grupos de su proveedor de identidades solo se reflejan en IAM Identity Center después de que su proveedor de identidades los envíe a IAM Identity Center. Consulte Consideraciones para utilizar el aprovisionamiento automático.

  • Retroceso: puede volver a utilizar su fuente de identidad para que utilice el IAM Identity Center en cualquier momento. Consulte Cambiar de un IdP externo a IAM Identity Center.

  • Las sesiones de usuario existentes se revocan al expirar la duración de la sesión: una vez que cambia su fuente de identidad a un proveedor de identidad externo, las sesiones de usuario activas se conservan durante el resto de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de acceso AWS se establece en ocho horas y usted cambió la fuente de identidad en la cuarta hora, las sesiones de usuario activas se mantendrán durante cuatro horas más. Para revocar las sesiones de usuario, consulte Visión y finalización de las sesiones activas de los usuarios de su personal.

    Si los usuarios se eliminan o deshabilitan en la consola de IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones integradas y a las cuentas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte Descripción de las sesiones de autenticación en IAM Identity Center.

    nota

    No podrá revocar las sesiones de los usuarios desde la consola de IAM Identity Center después de eliminar el usuario.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Proveedores de identidades externos.

Cambiar de un IdP externo a IAM Identity Center

Si cambia la fuente de identidad de un proveedor de identidades (IdP) externo a IAM Identity Center, tenga en cuenta lo siguiente:

  • IAM Identity Center conserva todas sus asignaciones.

  • Forzar el restablecimiento de la contraseña: los usuarios que tenían contraseñas en IAM Identity Center pueden seguir iniciando sesión con sus contraseñas anteriores. Para los usuarios que estaban en el IdP externo y no en IAM Identity Center, el administrador debe forzar el restablecimiento de la contraseña.

  • Las sesiones de usuario existentes se revocan al expirar la duración de la sesión: una vez que cambie su fuente de identidad al IAM Identity Center, las sesiones de usuario activas se conservan durante el resto de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de acceso de AWS es de ocho horas y cambió el origen de identidad a las cuatro horas, las sesiones de usuario activas seguirán activas durante cuatro horas más. Para revocar las sesiones de usuario, consulte Visión y finalización de las sesiones activas de los usuarios de su personal.

    Si los usuarios se eliminan o deshabilitan en la consola de IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones integradas y a las cuentas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte Descripción de las sesiones de autenticación en IAM Identity Center.

    nota

    No podrá revocar las sesiones de los usuarios desde la consola de IAM Identity Center después de eliminar el usuario.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Administración de usuarios en el directorio de Identity Center.

Cambiar de un IdP externo a otro IdP externo

Si ya utiliza un IdP externo como origen de identidad para IAM Identity Center y cambia a un IdP externo diferente, tenga en cuenta lo siguiente:

  • Las asignaciones y las membresías funcionan con las confirmaciones correctas: IAM Identity Center conserva todas sus tareas. Las asignaciones de usuarios, las asignaciones grupales y las membrecías a grupos siguen funcionando mientras el nuevo IdP envíe las confirmaciones correctas (por ejemplo, los nameID de SAML).

    Estas confirmaciones deben coincidir con los nombres de usuario de IAM Identity Center cuando los usuarios se autentiquen a través del nuevo IdP externo.

  • Aprovisionamiento de SCIM: si utiliza SCIM para el aprovisionamiento en IAM Identity Center, le recomendamos que revise la información específica del IdP en esta guía y la documentación proporcionada por el IdP para asegurarse de que el nuevo proveedor haga coincidir correctamente los usuarios y los grupos cuando SCIM esté habilitado.

  • Las sesiones de usuario existentes se revocan al expirar la duración de la sesión: una vez que cambie su fuente de identidad a otro proveedor de identidad externo, las sesiones de usuario activas se conservan durante el tiempo restante de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de acceso de AWS es de ocho horas y cambió el origen de identidad a la cuarta hora, las sesiones de usuario activas se mantendrán durante cuatro horas más. Para revocar las sesiones de usuario, consulte Visión y finalización de las sesiones activas de los usuarios de su personal.

    Si los usuarios se eliminan o deshabilitan en la consola de IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones integradas y a las cuentas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte Descripción de las sesiones de autenticación en IAM Identity Center.

    nota

    No podrá revocar las sesiones de los usuarios desde la consola de IAM Identity Center después de eliminar el usuario.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Proveedores de identidades externos.

Cambiar de Active Directory a un IdP externo

Si cambia la fuente de identidad de un IdP externo a Active Directory o de Active Directory a un IdP externo, tenga en cuenta lo siguiente:

  • Se eliminan los usuarios, los grupos y las asignaciones: todos los usuarios, grupos y asignaciones se eliminan de IAM Identity Center. Ninguna información de usuario o grupo se ve afectada ni en el IdP externo ni en Active Directory.

  • Aprovisionamiento de usuarios: si cambia a un IdP externo, debe configurar IAM Identity Center para aprovisionar a los usuarios. Como alternativa, debe aprovisionar manualmente los usuarios y grupos para el IdP externo antes de poder configurar las asignaciones.

  • Creación de asignaciones y grupos: si cambia a Active Directory, debe crear asignaciones con los usuarios y grupos que se encuentran en el directorio de Active Directory.

  • Si los usuarios se eliminan o deshabilitan en la consola de IAM Identity Center, mediante las API de Identity Store o el aprovisionamiento de SCIM, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones integradas y a las cuentas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte Descripción de las sesiones de autenticación en IAM Identity Center.

Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte Microsoft ADDirectorio .