Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Administración de su fuente de identidad Su origen de identidad en IAM Identity Center define dónde se administran sus usuarios y grupos. Después de configurar la fuente de identidad, puede buscar usuarios o grupos para concederles acceso de inicio de sesión único a Cuentas de AWS las aplicaciones o a ambos. Solo puede tener una fuente de identidad por organización en AWS Organizations. Puede elegir una de las siguientes opciones como origen de identidad: + **[Proveedor de identidad externo](manage-your-identity-source-idp.md)**: elija esta opción si desea administrar los usuarios en un proveedor de identidades (IdP) externo, como Okta o Microsoft Entra ID. + **[Su Active Directory local o AWS administrado](manage-your-identity-source-ad.md):** elija esta opción si desea conectar su. Active Directory (AD) + **[Directorio de Identity Center](manage-your-identity-source-sso.md): **cuando se activa IAM Identity Center por primera vez, se configura de manera automática con un directorio de Identity Center como origen de identidad predeterminada. Con el directorio de Identity Center, puede crear sus usuarios y grupos y asignar su nivel de acceso a sus aplicaciones Cuentas de AWS y a las suyas. **nota** El Centro de Identidad de IAM no SAMBA4 admite Simple AD como fuente de identidad. **Topics** + [ # Consideraciones para cambiar la fuente de identidad ](manage-your-identity-source-considerations.md) + [ # Cambiar su fuente de identidad ](manage-your-identity-source-change.md) + [ # Atributos de usuario y grupo compatibles en IAM Identity Center ](manage-your-identity-source-attribute-use.md) + [ # Proveedores de identidades externos ](manage-your-identity-source-idp.md) + [ # Directorio Microsoft AD ](manage-your-identity-source-ad.md) # Consideraciones para cambiar la fuente de identidad Aunque puede cambiar su fuente de identidad en cualquier momento, le recomendamos que considere cómo este cambio podría afectar a su implementación actual. Si ya administra usuarios y grupos en un origen de identidad, cambiar a un origen de identidad diferente podría eliminar todas las asignaciones de usuarios y grupos que configuró en IAM Identity Center. Si esto ocurre, todos los usuarios, incluido el usuario administrativo del Centro de identidades de IAM, perderán el acceso de inicio de sesión único a sus Cuentas de AWS aplicaciones. No cambie la fuente de identidad de IAM Identity Center sin revisar las siguientes consideraciones antes de proceder. Si desea continuar con el cambio de la fuente de identidad, consulte [Cambiar su fuente de identidad](manage-your-identity-source-change.md) para obtener más información. ## Cambiar entre el directorio IAM Identity Center y Active Directory Si ya administra usuarios y grupos en Active Directory, le recomendamos que considere la posibilidad de conectar su directorio al habilitar IAM Identity Center y elegir su origen de identidad. Esto debe hacerse antes de crear usuarios y grupos en el directorio predeterminado de Identity Center y de realizar cualquier asignación. **importante** Al cambiar el tipo de origen de identidad en IAM Identity Center a Active Directory o desde Active Directory, tenga en cuenta que el ID del almacén de identidades cambiará. Esto puede tener las siguientes implicaciones: La URL del portal de AWS acceso predeterminado cambiará. Deberá comunicar la nueva URL a sus empleados y actualizar los marcadores, las listas de direcciones permitidas de puertas de enlace o firewall y las configuraciones en las que se hace referencia a esta URL. Le recomendamos que realice este cambio en un período de mantenimiento programado para minimizar las interrupciones para los usuarios. Si utiliza una clave de KMS gestionada por el cliente para el cifrado en reposo en IAM Identity Center y ha configurado la política de claves de KMS con el contexto de cifrado, tenga en cuenta que el contexto de cifrado del almacén de identidades cambiará. Por ejemplo, en el ARN del almacén de identidades "arn:aws:identitystore::123456789012:identitystore/d-922763e9b3", "d-922763e9b3" es el ID del almacén de identidades. Para evitar la interrupción del servicio durante esta transición, modifique temporalmente su política de claves de KMS para utilizar un patrón comodín: "arn:aws:identitystore::123456789012:identitystore/\$1". Si ya administra usuarios y grupos en el directorio predeterminado de Identity Center, tenga en cuenta lo siguiente: + **Asignaciones, usuarios y grupos eliminados**: al cambiar la fuente de identidad a Active Directory, se eliminan los usuarios y grupos del directorio de Identity Center. Este cambio también elimina las asignaciones. En este caso, después de cambiar a Active Directory, debe sincronizar los usuarios y grupos de Active Directory con el directorio de Identity Center y, a continuación, volver a aplicar sus asignaciones. Si decide no usar Active Directory, debe crear los usuarios y grupos en el directorio de Identity Center y, a continuación, realizar las asignaciones. + **Las asignaciones no se eliminan cuando se eliminan las identidades**: cuando se eliminan las identidades del directorio de Identity Center, las asignaciones correspondientes también se eliminan en IAM Identity Center. Sin embargo, cuando se eliminan las identidades (ya sea en Active Directory o en las identidades sincronizadas) en Active Directory, las asignaciones correspondientes no se eliminan. + **Sin sincronización saliente para APIs**: si utiliza Active Directory como fuente de identidad, le recomendamos que utilice las opciones [Crear, Actualizar y Eliminar](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) APIs con precaución. El Centro de identidades de IAM no admite la sincronización saliente, por lo que su fuente de identidad no se actualiza automáticamente con los cambios que realiza en los usuarios o grupos que la utilizan. APIs + La **URL del portal de acceso cambiará**: al cambiar la fuente de identidad entre el IAM Identity Center y Active Directory, también se cambiará la URL del portal de acceso. AWS + Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center mediante Identity Store APIs, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones y cuentas integradas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte [Descripción de las sesiones de autenticación en IAM Identity Center](authconcept.md). Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte [Directorio Microsoft AD](manage-your-identity-source-ad.md). ## Cómo cambiar de IAM Identity Center a un IdP externo Si cambia la fuente de identidad de IAM Identity Center a un proveedor de identidades (IdP) externo, tenga en cuenta lo siguiente: + **Las asignaciones y las membresías funcionan con las aserciones correctas: las** asignaciones de usuario, las asignaciones grupales y las pertenencias a grupos seguirán funcionando siempre y cuando el nuevo IdP envíe las aserciones correctas (por ejemplo, el nombre SAML). IDs Estas confirmaciones deben coincidir con los nombres de usuario y grupos de IAM Identity Center. + **No hay sincronización saliente**: IAM Identity Center no admite la sincronización saliente, por lo que su IdP externo no se actualizará automáticamente con los cambios que realice en los usuarios y grupos en IAM Identity Center. + **Aprovisionamiento de SCIM**: si está usando el aprovisionamiento de SCIM, los cambios en los usuarios y grupos de su proveedor de identidades solo se reflejan en IAM Identity Center después de que su proveedor de identidades los envíe a IAM Identity Center. Consulte [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). + **Retroceso**: puede volver a utilizar su fuente de identidad para que utilice el IAM Identity Center en cualquier momento. Consulte [Cambiar de un IdP externo a IAM Identity Center](#changing-from-idp-and-idc). + **Las sesiones de usuario existentes se revocan al expirar la duración de la sesión**: una vez que cambia su fuente de identidad a un proveedor de identidad externo, las sesiones de usuario activas se conservan durante el resto de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de AWS acceso está establecida en ocho horas y cambiaste la fuente de identidad en la cuarta hora, las sesiones de usuario activas se mantendrán durante cuatro horas más. Para revocar las sesiones de usuario, consulte [Visión y finalización de las sesiones activas de los usuarios de su personal](end-active-sessions.md). Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center mediante Identity Store APIs, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones y cuentas integradas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte [Descripción de las sesiones de autenticación en IAM Identity Center](authconcept.md). **nota** No podrá revocar las sesiones de los usuarios desde la consola de IAM Identity Center después de eliminar el usuario. Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte [Proveedores de identidades externos](manage-your-identity-source-idp.md). ## Cambiar de un IdP externo a IAM Identity Center Si cambia la fuente de identidad de un proveedor de identidades (IdP) externo a IAM Identity Center, tenga en cuenta lo siguiente: + IAM Identity Center conserva todas sus asignaciones. + **Forzar el restablecimiento de la contraseña**: los usuarios que tenían contraseñas en IAM Identity Center pueden seguir iniciando sesión con sus contraseñas anteriores. Para los usuarios que estaban en el IdP externo y no en IAM Identity Center, el administrador debe forzar el restablecimiento de la contraseña. + **Las sesiones de usuario existentes se revocan al expirar la duración de la sesión**: una vez que cambie su fuente de identidad al IAM Identity Center, las sesiones de usuario activas se conservan durante el resto de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de AWS acceso es de ocho horas y ha cambiado la fuente de identidad a la cuarta hora, las sesiones de usuario activas seguirán ejecutándose durante cuatro horas más. Para revocar las sesiones de usuario, consulte [Visión y finalización de las sesiones activas de los usuarios de su personal](end-active-sessions.md). Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center mediante Identity Store APIs, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones y cuentas integradas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte [Descripción de las sesiones de autenticación en IAM Identity Center](authconcept.md). **nota** No podrá revocar las sesiones de los usuarios desde la consola de IAM Identity Center después de eliminar el usuario. + **Soporte multirregional**: si ha replicado el Centro de identidades de IAM en otras regiones o planea hacerlo, debe utilizar un proveedor de identidad externo como fuente de identidad. Para obtener más información, incluidos otros requisitos previos, consulte. [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md) Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte [Administración de usuarios en el directorio de Identity Center](manage-your-identity-source-sso.md). ## Cambiar de un IdP externo a otro IdP externo Si ya utiliza un IdP externo como origen de identidad para IAM Identity Center y cambia a un IdP externo diferente, tenga en cuenta lo siguiente: + **Las asignaciones y las membresías funcionan con las confirmaciones correctas**: IAM Identity Center conserva todas sus tareas. Las asignaciones de usuarios, las asignaciones de grupos y la pertenencia a grupos seguirán funcionando siempre que el nuevo IdP envíe las afirmaciones correctas (por ejemplo, el nombre SAML). IDs Estas confirmaciones deben coincidir con los nombres de usuario de IAM Identity Center cuando los usuarios se autentiquen a través del nuevo IdP externo. + **Aprovisionamiento de SCIM**: si utiliza SCIM para el aprovisionamiento en IAM Identity Center, le recomendamos que revise la información específica del IdP en esta guía y la documentación proporcionada por el IdP para asegurarse de que el nuevo proveedor haga coincidir correctamente los usuarios y los grupos cuando SCIM esté habilitado. + **Las sesiones de usuario existentes se revocan al expirar la duración de la sesión**: una vez que cambie su fuente de identidad a otro proveedor de identidad externo, las sesiones de usuario activas se conservan durante el tiempo restante de la duración máxima de sesión configurada en la consola. Por ejemplo, si la duración de la sesión del portal de AWS acceso es de ocho horas y cambiaste la fuente de identidad a la cuarta hora, las sesiones de usuario activas se mantendrán durante cuatro horas más. Para revocar las sesiones de usuario, consulte [Visión y finalización de las sesiones activas de los usuarios de su personal](end-active-sessions.md). Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center mediante Identity Store APIs, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones y cuentas integradas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte [Descripción de las sesiones de autenticación en IAM Identity Center](authconcept.md). **nota** No podrá revocar las sesiones de los usuarios desde la consola de IAM Identity Center después de eliminar el usuario. Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte [Proveedores de identidades externos](manage-your-identity-source-idp.md). ## Cambiar de Active Directory a un IdP externo Si cambia la fuente de identidad de un IdP externo a Active Directory o de Active Directory a un IdP externo, tenga en cuenta lo siguiente: + **Se eliminan los usuarios, los grupos y las asignaciones**: todos los usuarios, grupos y asignaciones se eliminan de IAM Identity Center. Ninguna información de usuario o grupo se ve afectada ni en el IdP externo ni en Active Directory. + **Aprovisionamiento de usuarios**: si cambia a un IdP externo, debe configurar IAM Identity Center para aprovisionar a los usuarios. Como alternativa, debe aprovisionar manualmente los usuarios y grupos para el IdP externo antes de poder configurar las asignaciones. + **Creación de asignaciones y grupos**: si cambia a Active Directory, debe crear asignaciones con los usuarios y grupos que se encuentran en el directorio de Active Directory. + Si los usuarios se eliminan o deshabilitan en la consola del IAM Identity Center mediante Identity Store APIs, los usuarios con sesiones activas pueden seguir accediendo a las aplicaciones y cuentas integradas. Para obtener información sobre la duración de la sesión de autenticación y el comportamiento de los usuarios, consulte [Descripción de las sesiones de autenticación en IAM Identity Center](authconcept.md). + **Soporte multirregional**: si ha replicado el Centro de identidades de IAM en otras regiones o planea hacerlo, debe utilizar un proveedor de identidad externo como fuente de identidad. Para obtener más información, incluidos otros requisitos previos, consulte. [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md) Para obtener información sobre cómo IAM Identity Center aprovisiona usuarios y grupos, consulte [Directorio Microsoft AD](manage-your-identity-source-ad.md). # Cambiar su fuente de identidad El siguiente procedimiento describe cómo cambiar de un directorio que proporciona IAM Identity Center (el directorio predeterminado de Identity Center) a Active Directory o a un proveedor de identidad externo, o viceversa. Antes de continuar, revise la información incluida en [Consideraciones para cambiar la fuente de identidad](manage-your-identity-source-considerations.md). Para completar este procedimiento, necesitará una instancia de organización de IAM Identity Center. Para obtener más información, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md). **aviso** En función de su implementación actual, este cambio elimina cualquier asignación de usuarios y grupos que haya configurado en IAM Identity Center. Este cambio también eliminará sus Cuentas de AWS funciones de IAM del conjunto de permisos. En consecuencia, es posible que deba actualizar sus políticas de recursos y asegurarse de que esto no interrumpa su acceso a AWS KMS las claves y a los clústeres de Amazon EKS. Para obtener más información, consulte [Hacer referencia a conjuntos de permisos en las políticas de recursos, los mapas de configuración de Amazon EKS Cluster y las políticas AWS KMS clave](referencingpermissionsets.md). Cuando esto ocurra, todos los usuarios y grupos, incluido el usuario administrativo del Centro de Identidad de IAM, perderán el acceso de inicio de sesión único a sus aplicaciones y a sus Cuentas de AWS aplicaciones. **Cómo cambiar la fuente de identidad:** 1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuración**. 1. En la página de **Configuración**, seleccione la pestaña **Origen de la identidad**. Elija **Acciones** y, a continuación, elija **Cambiar fuente de identidad**. 1. En **Elegir fuente de identidad**, seleccione la fuente a la que desee cambiar y, a continuación, seleccione **Siguiente**. Si va a cambiar a Active Directory, elija el directorio disponible en el menú de la página siguiente. **importante** Al cambiar la fuente de identidad a o desde Active Directory, se eliminan los usuarios y grupos del directorio de Identity Center. Este cambio también elimina cualquier asignación que haya configurado en IAM Identity Center. **nota** Si ha replicado el Centro de identidades de IAM en otras regiones, no podrá cambiar el tipo de fuente de identidad. Solo puede reemplazar el IdP externo actual por otro. Para cambiar el tipo de fuente de identidad, primero tendrás que eliminar todas las regiones adicionales. Para obtener más información, consulte [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md) Si va a cambiar a un proveedor de identidad externo, recomendamos que siga los pasos descritos en [Cómo conectarse a un proveedor de identidades externo](how-to-connect-idp.md). 1. Cuando haya leído el aviso legal y esté listo para continuar, introduzca **Aceptar**. 1. Elija **Cambiar fuente de identidad**. Si va a cambiar su fuente de identidad a Active Directory, vaya al siguiente paso. 1. Si cambia la fuente de identidad a Active Directory, accederá a la página de **Configuración**. Utilice la página de **configuración** para realizar cualquiera de las siguientes operaciones: + Seleccione **Iniciar la configuración guiada**. Para obtener información sobre cómo completar el proceso de configuración guiada, consulte [Configuración guiada](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync). + En la sección **Fuente de identidad**, elija **Acciones** y, a continuación, elija **Administrar la sincronización** para configurar el *Alcance de la sincronización*, la lista de usuarios y grupos que se van a sincronizar. # Atributos de usuario y grupo compatibles en IAM Identity Center Atributos de usuario y grupo en IAM Identity Center Esta guía proporciona una referencia para la compatibilidad con los atributos de SCIM en IAM Identity Center. Enumera los atributos del usuario y del grupo de la especificación SCIM que son compatibles con el almacén de identidades de IAM Identity Center e identifica atributos y subatributos específicos que no son compatibles. Los atributos son fragmentos de información que le ayudan a definir e identificar a usuarios individuales o a agrupar objetos, como `name`, `email` o `members`. IAM Identity Center es compatible con los atributos más utilizados mediante la entrada manual y el aprovisionamiento automático de SCIM. + [Para obtener información sobre la especificación del Sistema para la gestión de identidades entre dominios (SCIM), consulte https://tools.ietf.org/html /rfc7642.](https://tools.ietf.org/html/rfc7642) + Para obtener información sobre el aprovisionamiento manual y automático, consulte [Aprovisionamiento cuando los usuarios provienen de un IdP externo](manage-your-identity-source-idp.md#provisioning-when-external-idp). + Para obtener información acerca de la asignación de atributos, consulte [Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos](attributemappingsconcept.md). Dado que IAM Identity Center admite el SCIM para los casos de uso del aprovisionamiento automático, el directorio de Identity Center admite todos los mismos atributos de usuario y grupo que figuran en la especificación del SCIM, con algunas excepciones. En las siguientes secciones, se describen los atributos que IAM Identity Center no admite. ## Objetos de usuario no admitidos El almacén de identidades del IAM Identity Center admite todos los atributos del esquema de usuario del SCIM ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)), excepto los siguientes: + `password` + `ims` + `photos` + `entitlements` + `x509Certificates` Se admiten todos los subatributos de los usuarios, excepto los siguientes: + Subatributo `'display'` de cualquier atributo con valores múltiples (por ejemplo, `emails` o`phoneNumbers`) + Subatributo `'version'` del atributo `'meta'` ## Objetos de grupo no admitidos [Se admiten todos los atributos del esquema de grupo SCIM (/rfc7643 \$1section -8.4). https://tools.ietf.org/html](https://tools.ietf.org/html/rfc7643#section-8.4) Se admiten todos los subatributos de los grupos, excepto los siguientes: + Subatributo `'display'` de cualquier atributo con valores múltiples (por ejemplo, miembros). # Proveedores de identidades externos Con IAM Identity Center, puede conectar las identidades de sus empleados existentes de proveedores de identidad externos (IdPs) mediante el lenguaje de marcado de aserciones de seguridad (SAML) 2.0 y los protocolos del Sistema de gestión de identidades entre dominios (SCIM). Esto permite a los usuarios iniciar sesión en el portal de acceso AWS con sus credenciales corporativas. A continuación, pueden acceder a sus cuentas, funciones y aplicaciones asignadas alojadas en un servidor externo. IdPs Por ejemplo, puede conectar un IdP externo, como Okta o Microsoft Entra ID, a IAM Identity Center. A continuación, sus usuarios pueden iniciar sesión en el portal de AWS acceso con sus Microsoft Entra ID credenciales Okta o credenciales existentes. Para controlar lo que pueden hacer sus usuarios una vez que han iniciado sesión, puede asignarles permisos de acceso de forma centralizada en todas las cuentas y aplicaciones de su AWS organización. Además, los desarrolladores pueden simplemente iniciar sesión en AWS Command Line Interface (AWS CLI) con sus credenciales actuales y beneficiarse de la generación y rotación automáticas de credenciales a corto plazo. Si utiliza un directorio autogestionado en Active Directory o un directorio AWS Managed Microsoft AD, consulte. [Directorio Microsoft AD](manage-your-identity-source-ad.md) **nota** El protocolo SAML no proporciona una forma de consultar al IdP para obtener información sobre los usuarios y los grupos. Por lo tanto, debe hacer que IAM Identity Center conozca a esos usuarios y grupos aprovisionándolos en IAM Identity Center. ## Aprovisionamiento cuando los usuarios provienen de un IdP externo Al utilizar un IdP externo, debe aprovisionar todos los usuarios y grupos aplicables en el Centro de Identidad de IAM antes de poder realizar cualquier asignación o aplicación. Cuentas de AWS Para ello, puede configurar el [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md) para sus usuarios y grupos o bien utilizar el [Aprovisionamiento manual](provision-automatically.md#provision-manually). Independientemente de cómo aprovisione a los usuarios, IAM Identity Center redirige la Consola de administración de AWS interfaz de línea de comandos y la autenticación de la aplicación a su IdP externo. A continuación, IAM Identity Center concede el acceso a esos recursos en función de las políticas que cree en IAM Identity Center. Para obtener más información sobre la capacidad aprovisionada, consulte [Aprovisionamiento de usuarios y grupos](users-groups-provisioning.md#user-group-provision). **Topics** + [ ## Aprovisionamiento cuando los usuarios provienen de un IdP externo ](#provisioning-when-external-idp) + [ # Cómo conectarse a un proveedor de identidades externo ](how-to-connect-idp.md) + [ # Cómo cambiar los metadatos de un proveedor de identidades externo en IAM·Identity·Center ](how-to-change-idp-metadata.md) + [ # Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos ](other-idps.md) + [ # Perfil SCIM e implementación de SAML 2.0 ](scim-profile-saml.md) # Cómo conectarse a un proveedor de identidades externo Conexión a un proveedor de identidades externo Existen diferentes requisitos previos, consideraciones y procedimientos de aprovisionamiento para el dispositivo externo compatible. IdPs Hay step-by-step tutoriales disponibles para varios: IdPs + [CyberArk](cyberark-idp.md) + [Google Workspace](gs-gwp.md) + [JumpCloud](jumpcloud-idp.md) + [Microsoft Entra ID](idp-microsoft-entra.md) + [Okta](gs-okta.md) + [OneLogin](onelogin-idp.md) + [Ping Identity](pingidentity.md) Para obtener más información sobre las consideraciones externas IdPs que admite IAM Identity Center, consulte[Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md). En el siguiente procedimiento se proporciona una descripción general del procedimiento que se utiliza con todos los proveedores de identidades externos. **Cómo conectarse a un proveedor de identidades externo** 1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuración**. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad**, elija **Acciones y, a continuación, Cambiar fuente de identidad**. 1. En **Elegir la fuente de identidad**, seleccione **Proveedor de identidades externo** y, a continuación, **Siguiente**. 1. En **Configurar un proveedor de identidad externo**, haga lo siguiente: 1. En **Metadatos del proveedor de servicios**, seleccione **Descargar archivo de metadatos** para descargar el archivo de metadatos y guardarlo en el sistema. El proveedor de identidades externo necesita el archivo de metadatos SAML de IAM Identity Center. **nota** El archivo de metadatos de SAML que descargue contiene el servicio de consumo de aserciones IPv4 (ACS) de pila única y doble. URLs Además, si su centro de identidad de IAM está replicado en otras regiones, el archivo de metadatos contiene el ACS de cada región adicional. URLs Si su IdP externo tiene un límite en la cantidad de ACS URLs, tendrá que eliminar el ACS innecesario. URLs Por ejemplo, si su organización ha adoptado por completo los terminales de doble pila y ya no utiliza los terminales IP4v exclusivos, puede eliminar estos últimos. Un enfoque alternativo es no utilizar el archivo de metadatos, sino copiar y pegar el ACS URLs en el IdP externo. 1. En **Metadatos del proveedor de identidad**, elija **Elegir archivo** y busque el archivo de metadatos que descargó de su proveedor de identidades externo. A continuación, cargue el archivo. Este archivo de metadatos contiene el certificado x509 público necesario que se utiliza para confiar en los mensajes que se envían desde el IdP. 1. Elija **Siguiente**. **importante** Al cambiar la fuente a o desde Active Directory, se eliminan todas las asignaciones de usuarios y grupos existentes. Debe volver a aplicar las asignaciones manualmente una vez que haya cambiado correctamente la fuente. 1. Cuando haya leído el aviso legal, introduzca **ACCEPT** para continuar. 1. Elija **Cambiar fuente de identidad**. Un mensaje de estado le informa de que ha cambiado correctamente el origen de identidad. # Cómo cambiar los metadatos de un proveedor de identidades externo en IAM·Identity·Center Cómo cambiar los metadatos de un proveedor de identidades externo Puede cambiar los metadatos de su proveedor de identidades externo que proporcionó con anterioridad a IAM·Identity·Center. Estos cambios afectan a la capacidad de los usuarios para iniciar sesión y acceder a los AWS recursos a través del Centro de identidad de IAM. El siguiente procedimiento describe cómo actualizar los metadatos del IdP externo que están almacenados en IAM·Identity·Center. Para completar este procedimiento, necesitará una instancia de organización de IAM Identity Center. Para obtener más información, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md). **Cómo eliminar los metadatos de un proveedor de identidades externo** 1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuración**. 1. En la página de **Configuración**, seleccione la pestaña **Origen de la identidad**. Elija **Acciones** y luego **Administrar autenticación**. 1. En la sección **Metadatos del proveedor de identidad**, seleccione **Editar metadatos del IdP**. Puede realizar los cambios en la URL de inicio de sesión del IdP o en la URL del emisor del IdP para su IdP externo en esta página. Seleccione **Guardar cambios** cuando haya realizado todos los cambios necesarios. # Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos Uso de la federación de identidades SAML y SCIM IAM Identity Center implementa los siguientes protocolos basados en estándares para la federación de identidades: + SAML 2.0 para la autenticación de usuarios + SCIM para el aprovisionamiento Se espera que cualquier proveedor de identidades (IdP) que implemente estos protocolos estándar interactúe correctamente con IAM Identity Center, teniendo en cuenta las siguientes consideraciones especiales: + **SAML** + IAM Identity Center requiere un formato de identificador de nombre SAML para la dirección de correo electrónico (es decir, `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`). + [El valor del campo NameID en las aserciones debe ser una cadena (/rfc2822) que cumpla con las especificaciones addr-spec («») ([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1) + El archivo de metadatos no puede tener más de 75 000 caracteres. + Los metadatos deben contener un ID de entidad, un certificado X509 y formar parte de la URL de inicio de sesión. SingleSignOnService + No se admite el cifrado SSE-KMS. + El Centro de identidades de IAM no admite la firma de las solicitudes de autenticación SAML que envía a fuentes externas. IdPs + El IdP debe ser compatible con el servicio al consumidor de múltiples afirmaciones (ACS) URLs si planea replicar el centro de identidad de IAM en otras regiones y aprovechar al máximo las ventajas de un centro de identidad de IAM multirregional. Para obtener más información, consulte [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md). El uso de una única URL de ACS puede afectar a la experiencia del usuario en otras regiones. Su región principal seguirá funcionando con normalidad. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte [Uso de aplicaciones AWS gestionadas sin varios ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) y[Cuenta de AWS resiliencia de acceso sin varios ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url). + **SCIM** + [La implementación del SCIM del IAM Identity Center se basa en los SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) y 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)) y en los requisitos de interoperabilidad establecidos en el borrador de marzo de [https://tools.ietf.org/html2020 del Perfil SCIM básico 1.0 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Las diferencias entre estos documentos y la implementación actual en IAM Identity Center se describen en la sección [Operaciones de API compatibles](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) de la *Guía para desarrolladores de implementación del SCIM de IAM Identity Center.* IdPs no se admiten aquellos que no se ajusten a los estándares y consideraciones mencionados anteriormente. Póngase en contacto con su IdP si cualquier pregunta o necesita más información sobre la conformidad de sus productos con estas normas y consideraciones. Si tiene problemas para conectar su IdP al IAM Identity Center, compruebe lo siguiente: + AWS CloudTrail se registra filtrando por el nombre del evento **ExternalIdPDirectoryIniciar sesión** + Registros específicos de IdP: registros and/or de depuración + [Resolución de problemas de IAM Identity Center](troubleshooting.md) **nota** Algunos IdPs, como los del[Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md), ofrecen una experiencia de configuración simplificada para el IAM Identity Center en forma de «aplicación» o «conector» creado específicamente para el IAM Identity Center. Si su IdP ofrece esta opción, le recomendamos que la utilice, teniendo cuidado al elegir el elemento creado específicamente para IAM Identity Center. Otros elementos denominados «AWS», «AWS federación» o nombres genéricos similares de «»AWS pueden utilizar otros enfoques de federación y es posible and/or que no funcionen como se esperaba con el IAM Identity Center. # Perfil SCIM e implementación de SAML 2.0 Tanto SCIM como SAML son consideraciones importantes a la hora de configurar IAM Identity Center. ## Implementación de SAML 2.0 IAM Identity Center admite la federación de identidades con [lenguaje de marcado para confirmaciones de seguridad SAML](https://wiki.oasis-open.org/security) 2.0. Esto permite al Centro de Identidad de IAM autenticar las identidades de proveedores de identidad externos (). IdPs SAML 2.0 es un estándar abierto que se utiliza para intercambiar aserciones de SAML de forma segura. SAML 2.0 transfiere información sobre un usuario entre una autoridad de SAML (denominada proveedor de identidades o IdP) y un consumidor de SAML (denominado proveedor de servicios o SP). El servicio de IAM Identity Center utiliza esta información para proporcionar un inicio de sesión único federado. El inicio de sesión único permite a los usuarios acceder a las aplicaciones Cuentas de AWS y configurarlas en función de sus credenciales de proveedor de identidad existentes. El Centro de identidad de IAM añade las capacidades de IdP de SAML a su almacén del Centro de identidades de IAM o a un proveedor AWS Managed Microsoft AD de identidad externo. A continuación, los usuarios pueden iniciar sesión de forma única en los servicios compatibles con SAML, incluidas las aplicaciones Consola de administración de AWS y las de terceros, como, y. Microsoft 365 Concur Salesforce Sin embargo, el protocolo SAML no proporciona ninguna forma de consultar al IdP para obtener información sobre los usuarios y los grupos. Por lo tanto, debe hacer que IAM Identity Center conozca a esos usuarios y grupos aprovisionándolos en IAM Identity Center. ## Perfil SCIM IAM Identity Center es compatible con el estándar Sistema de la administración de identidades entre dominios (SCIM) v2.0. El SCIM mantiene las identidades de su IAM Identity Center sincronizadas con las identidades de su IdP. Esto incluye cualquier aprovisionamiento, actualización y desaprovisionamiento de usuarios entre su IdP y IAM Identity Center. Para obtener más información acerca de cómo implementar una capa personalizada, consulte [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md). Para obtener más información sobre la implementación del SCIM de IAM Identity Center, consulte la [Guía para desarrolladores de implementación de IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html). **Topics** + [ ## Implementación de SAML 2.0 ](#samlfederationconcept) + [ ## Perfil SCIM ](#scim-profile) + [ # Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM ](provision-automatically.md) + [ # Rotar certificados SAML 2.0 ](managesamlcerts.md) # Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM Proporcionar un proveedor de identidades externo IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos de su proveedor de identidades (IdP) a IAM Identity Center mediante el protocolo Sistema de administración de identidades entre dominios (SCIM) v2.0. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario del proveedor de identidades (IdP) con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y su IdP. Esta conexión se configura en el IdP mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center. **Topics** + [ ## Consideraciones para utilizar el aprovisionamiento automático ](#auto-provisioning-considerations) + [ ## Cómo monitorizar la caducidad del token de acceso ](#access-token-expiry) + [ # Generar un token de acceso ](generate-token.md) + [ # Habilitar el aprovisionamiento automático ](how-to-with-scim.md) + [ # Eliminar un token de acceso ](delete-token.md) + [ # Deshabilitar el aprovisionamiento automático ](disable-provisioning.md) + [ # Rotar un token de acceso ](rotate-token.md) + [ # Auditoría y conciliación de recursos aprovisionados automáticamente ](reconcile-auto-provisioning.md) + [ ## Aprovisionamiento manual ](#provision-manually) ## Consideraciones para utilizar el aprovisionamiento automático Antes de comenzar a implementar el SCIM, le recomendamos revisar primero las siguientes consideraciones importantes sobre su funcionamiento con IAM Identity Center. Para conocer otras consideraciones de aprovisionamiento, consulte los [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) aplicables a su IdP. + Si va a aprovisionar una dirección de correo electrónico principal, el valor de este atributo debe ser único para cada usuario. En algunos casos IdPs, es posible que la dirección de correo electrónico principal no sea una dirección de correo electrónico real. Por ejemplo, puede ser un nombre principal universal (UPN) que solo se parece a un correo electrónico. Es IdPs posible que tengan una dirección de correo electrónico secundaria o «otra» que contenga la dirección de correo electrónico real del usuario. Debe configurar SCIM en su IdP para asignar la dirección de correo electrónico única no nula al atributo de dirección de correo electrónico principal de IAM Identity Center. Además, debe asignar el identificador de inicio de sesión único no nulo del usuario al atributo de nombre de usuario de IAM Identity Center. Compruebe si su IdP tiene un valor único que sea tanto el identificador de inicio de sesión como el nombre de correo electrónico del usuario. Si es así, puede asignar ese campo de IdP al correo electrónico principal de IAM Identity Center y al nombre de usuario de IAM Identity Center. + Para que la sincronización de SCIM funcione, cada usuario debe tener un valor especificado para **Nombre**, **Apellidos**, **Nombre de usuario** y **Nombre de visualización**. Si falta alguno de estos valores en un usuario, este no se aprovisionará. + Si necesita utilizar aplicaciones de terceros, primero tendrá que asignar el atributo de asunto de SAML saliente al atributo de nombre de usuario. Si la aplicación de terceros necesita una dirección de correo electrónico enrutable, debe proporcionar el atributo de correo electrónico a su IdP. + El proveedor de identidades controla los intervalos de aprovisionamiento y actualización de SCIM. Los cambios en los usuarios y grupos de su proveedor de identidades solo se reflejan en IAM Identity Center después de que su proveedor de identidades los envíe a IAM Identity Center. Consulte con su proveedor de identidades para obtener más información sobre la frecuencia de las actualizaciones de usuarios y grupos. + Actualmente, SCIM no proporciona atributos con varios valores (como varios correos electrónicos o números de teléfono para un usuario determinado). Los intentos de sincronizar atributos con varios valores en IAM Identity Center con SCIM fallarán. Para evitar errores, asegúrese de que solo se pase un valor único para cada atributo. Si tiene usuarios con atributos de varios valores, elimine o modifique las asignaciones de atributos duplicadas en SCIM en su IdP para la conexión con IAM Identity Center. + Compruebe que el mapeo SCIM de `externalId` en su IdP corresponde a un valor que sea único, que esté siempre presente y que tenga menos probabilidades de cambiar para sus usuarios. Por ejemplo, su IdP puede proporcionar un `objectId` garantizado u otro tipo de identificador que no se vea afectado por los cambios en los atributos del usuario, como el nombre y el correo electrónico. Si es así, puede asignar ese valor al campo `externalId` de SCIM. Esto garantiza que tus usuarios no pierdan sus AWS derechos, asignaciones o permisos si necesitas cambiarles el nombre o el correo electrónico. + Usuarios que aún no se han asignado a una aplicación o que no se Cuenta de AWS pueden aprovisionar en el Centro de identidades de IAM. Para sincronizar usuarios y grupos, asegúrese de que estén asignados a la aplicación u otra configuración que represente la conexión de su IdP a IAM Identity Center. + El comportamiento de desaprovisionamiento de los usuarios lo administra el proveedor de identidades y puede variar según su implementación. Consulte con su proveedor de identidades para obtener más información sobre el desaprovisionamiento de usuarios. + Tras configurar el aprovisionamiento automático con SCIM para su IdP, ya no podrá añadir ni editar usuarios en la consola de IAM Identity Center. Si necesita agregar o modificar un usuario, debe hacerlo desde su IdP externo u origen de identidad. Para obtener más información sobre la implementación de SCIM de IAM Identity Center, consulte la [guía para desarrolladores de implementación de IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html). ## Cómo monitorizar la caducidad del token de acceso Los tokens de acceso SCIM se generan con una validez de un año. Cuando tu token de acceso SCIM caduque en 90 días o menos, te AWS envía recordatorios a la consola del IAM Identity Center y al AWS Health panel de control para ayudarte a cambiar el token. Al rotar el token de acceso de SCIM antes de que caduque, asegura de forma continua el aprovisionamiento automático de la información de usuarios y grupos. Si el token de acceso SCIM caduca, se interrumpe la sincronización de la información de usuarios y grupos de su proveedor de identidades con IAM Identity Center, por lo que el aprovisionamiento automático ya no puede realizar actualizaciones ni crear y eliminar información. La interrupción del aprovisionamiento automático puede aumentar los riesgos de seguridad y afectar al acceso a sus servicios. Los recordatorios de la consola de Identity Center persisten hasta que rote el token de acceso SCIM y elimine los tokens de acceso no utilizados o vencidos. Los eventos del AWS Health panel de control se renuevan semanalmente entre 90 y 60 días, dos veces por semana entre 60 y 30 días, tres veces por semana entre 30 y 15 días y todos los días desde 15 días hasta que caduquen los tokens de acceso del SCIM. # Generar un token de acceso Siga el siguiente procedimiento para generar un nuevo token de acceso en la consola de IAM Identity Center. **nota** Este procedimiento requiere que haya habilitado previamente el aprovisionamiento automático. Para obtener más información, consulte [Habilitar el aprovisionamiento automático](how-to-with-scim.md). **Cómo generar un nuevo token de acceso** 1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**. 1. En la página de **aprovisionamiento automático**, en **Tokens de acceso**, seleccione **Generar token**. 1. En el cuadro de diálogo **Generar un nuevo token de acceso**, copie el nuevo token de acceso y guárdelo en un lugar seguro. 1. Seleccione **Cerrar**. # Habilitar el aprovisionamiento automático Siga el siguiente procedimiento para habilitar el aprovisionamiento automático de usuarios y grupos desde su IdP a IAM Identity Center mediante el protocolo SCIM. **nota** Antes de comenzar con este procedimiento, le recomendamos que revise primero las consideraciones de aprovisionamiento aplicables a su IdP. Para obtener más información, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) de su IdP. **Cómo habilitar el aprovisionamiento automático en IAM Identity Center** 1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon). 1. En el panel de navegación izquierdo, elija **Configuración**. 1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso. 1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP. 1. **Punto final de SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555* 1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor. **aviso** Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial. 1. Seleccione **Cerrar**. Después de completar este procedimiento, debe configurar el aprovisionamiento automático en su IdP. Para obtener más información, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) de su IdP. # Eliminar un token de acceso Siga el procedimiento que se detalla a continuación para eliminar un token de acceso actual de la consola de IAM Identity Center. **Cómo eliminar una clave de acceso** 1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**. 1. En la página de **aprovisionamiento automático**, en **Tokens de acceso**, seleccione el token de acceso que desee eliminar y, a continuación, **Eliminar.** 1. En el cuadro de diálogo **Eliminar el token de acceso**, revise la información, escriba **ELIMINAR** y, a continuación, elija **Eliminar el token de acceso**. # Deshabilitar el aprovisionamiento automático Siga el siguiente procedimiento para desactivar el aprovisionamiento automático en la consola de IAM Identity Center. **importante** Debe eliminar el token de acceso antes de iniciar este procedimiento. Para obtener más información, consulte [Eliminar un token de acceso](delete-token.md). **Siga el siguiente procedimiento para desactivar el aprovisionamiento automático en la consola de IAM Identity Center.** 1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar el aprovisionamiento**. 1. En la página de **aprovisionamiento automático**, seleccione **Deshabilitar.** 1. En el cuadro de diálogo **Desactivar el aprovisionamiento automático**, revise la información, escriba **DISABLE** y, a continuación, elija **Deshabilitar el aprovisionamiento automático**. # Rotar un token de acceso Un directorio de IAM Identity Center admite hasta 2 tokens de acceso a la vez. Para generar un token de acceso adicional antes de cualquier rotación, elimine los tokens de acceso caducados o no utilizados. Si su token de acceso SCIM está a punto de caducar, puede seguir el procedimiento que se describe a continuación para rotar un token de acceso existente en la consola de IAM Identity Center. **Cómo eliminar un token de acceso** 1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**. 1. En la página de **aprovisionamiento automático**, en **Tokens de acceso**, anote el ID del token que desee rotar. 1. Siga los pasos que encontrará en [Generar un token de acceso](generate-token.md) para crear un nuevo token. Si ya ha creado el número máximo de tokens de acceso a SCIM, primero tendrá que eliminar uno de los tokens actuales. 1. Vaya al sitio web de su proveedor de identidades y configure el nuevo token de acceso para el aprovisionamiento de SCIM y, a continuación, pruebe la conectividad con IAM Identity Center con el nuevo token de acceso de SCIM. Una vez que haya confirmado que el aprovisionamiento funciona correctamente con el nuevo token, continúe con el siguiente paso de este procedimiento. 1. Siga los pasos que se indican en [Eliminar un token de acceso](delete-token.md) para eliminar el token de acceso que anotó anteriormente. También puede usar la fecha de creación del token como una pista sobre qué token eliminar. # Auditoría y conciliación de recursos aprovisionados automáticamente SCIM le permite aprovisionar usuarios, grupos y membresías grupales de forma automática desde su origen de identidad a IAM Identity Center. Esta guía le ayuda a verificar y conciliar estos recursos para mantener una sincronización precisa. ## ¿Por qué auditar sus recursos? Las auditorías periódicas ayudan a garantizar que sus controles de acceso sigan siendo precisos y que su proveedor de identidades (IdP) permanezca correctamente sincronizado con IAM Identity Center. Esto es particularmente importante para el cumplimiento de las normas de seguridad y la administración de los accesos. Recursos que se pueden auditar: + Users + Groups + Membresías grupales Puede usar [comandos CLI [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)o AWS Identity Store para realizar la auditoría y la reconciliación. En los ejemplos siguientes se utilizan comandos de AWS CLI . Para obtener información sobre las alternativas de API, consulte [las operaciones correspondientes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) en la *referencia de Identity Store API*. ## ¿Cómo auditar los recursos? A continuación, se muestran ejemplos de cómo auditar estos recursos mediante AWS CLI comandos. Antes de comenzar, asegúrese de que dispone de lo siguiente: + Acceso de administrador a IAM Identity Center. + AWS CLI instalado y configurado. Para obtener más información, consulte la [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html). + Permisos de IAM necesarios para los comandos del almacén de identidades. ### Paso 1: enumeración de los recursos actuales Puede ver sus recursos actuales mediante AWS CLI. **nota** Al utilizar el AWS CLI, la paginación se gestiona automáticamente a menos que lo especifique`--no-paginate`. Si llama a la API directamente (por ejemplo, con un SDK o un script personalizado), gestione `NextToken` en la respuesta. Esto garantiza que recupere todos los resultados en varias páginas. **Example para usuarios** ``` aws identitystore list-users \ --region REGION \ --identity-store-id IDENTITY_STORE_ID ``` **Example para grupos** ``` aws identitystore list-groups \ --region REGION \ --identity-store-id IDENTITY_STORE_ID ``` **Example para membresías grupales** ``` aws identitystore list-group-memberships \ --region REGION \ --identity-store-id IDENTITY_STORE_ID --group-id GROUP_ID ``` ### Paso 2: comparar con su origen de identidad Compare los recursos de la lista con su origen de identidad para identificar cualquier discrepancia, como las siguientes: + Falta de recursos que deberían aprovisionarse en IAM Identity Center. + Recursos adicionales que deberían eliminarse de IAM Identity Center. **Example para usuarios** ``` # Create missing users aws identitystore create-user \ --identity-store-id IDENTITY_STORE_ID \ --user-name USERNAME \ --display-name DISPLAY_NAME \ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \ --emails Value=EMAIL,Primary=true # Delete extra users aws identitystore delete-user \ --identity-store-id IDENTITY_STORE_ID \ --user-id USER_ID ``` **Example para grupos** ``` # Create missing groups aws identitystore create-group \ --identity-store-id IDENTITY_STORE_ID \ [group attributes] # Delete extra groups aws identitystore delete-group \ --identity-store-id IDENTITY_STORE_ID \ --group-id GROUP_ID ``` **Example para membresías grupales** ``` # Add missing members aws identitystore create-group-membership \ --identity-store-id IDENTITY_STORE_ID \ --group-id GROUP_ID \ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-id IDENTITY_STORE_ID \ --membership-id MEMBERSHIP_ID ``` ## Consideraciones + Los comandos están sujetos a las [cuotas de servicio y a la limitación de las API](limits.md#ssothrottlelimits). + Si encuentra muchas diferencias durante la reconciliación, realice cambios pequeños y graduales en AWS Identity Store. Esto le ayuda a evitar errores que afecten a varios usuarios. + La sincronización con SCIM puede anular los cambios manuales. Compruebe la configuración de su IdP para comprender este comportamiento. ## Aprovisionamiento manual Algunos IdPs no son compatibles con el Sistema de Gestión de Identidad entre Dominios (SCIM) o tienen una implementación de SCIM incompatible. En esos casos, puede aprovisionar usuarios manualmente a través de la consola de IAM Identity Center. Cuando añada usuarios a IAM Identity Center, asegúrese de configurar el nombre de usuario para que sea idéntico al nombre de usuario que tiene en su IdP. Como mínimo, debe tener una dirección de correo electrónico y un nombre de usuario únicos. Para obtener más información, consulte [Exclusividad del nombre de usuario y de la dirección de correo electrónico](users-groups-provisioning.md#username-email-unique). También debe gestionar todos los grupos manualmente en IAM Identity Center. Para ello, debe crear los grupos y añadirlos mediante la consola de IAM Identity Center. No es necesario que estos grupos coincidan con los que existen en su IdP. Para obtener más información, consulte [Groups](users-groups-provisioning.md#groups-concept). # Rotar certificados SAML 2.0 IAM Identity Center utiliza certificados para establecer una relación de confianza de SAML entre IAM Identity Center y su proveedor de identidades (IdP) externo. Al añadir un IdP externo a IAM Identity Center, también debe obtener al menos un certificado SAML 2.0 X.509 público del IdP externo. Por lo general, ese certificado se instala automáticamente durante el intercambio de metadatos SAML del IdP durante la creación de relaciones de confianza. Como administrador de IAM Identity Center, en ocasiones tendrá que sustituir los certificados de IdP antiguos por otros más nuevos. Por ejemplo, debe sustituir un certificado cuando se aproxime la fecha de vencimiento del certificado. El proceso de sustituir un certificado antiguo por uno más nuevo se denomina rotación de certificados. **Topics** + [ # Rotar un certificado SAML 2.0 ](rotatesamlcert.md) + [ # Indicadores de estado de caducidad de certificados ](samlcertexpirationindicators.md) # Rotar un certificado SAML 2.0 Es posible que tenga que importar certificados periódicamente para rotar los certificados no válidos o vencidos emitidos por su proveedor de identidades. Esto ayuda a evitar la interrupción de la autenticación o el tiempo de inactividad. Todos los certificados importados se activan automáticamente. Los certificados solo se deben eliminar después de asegurarse de que ya no se utilizan con el proveedor de identidades asociado. También debe tener en cuenta que es IdPs posible que algunos no admitan varios certificados. En este caso, el hecho de rotar los certificados con ellos IdPs podría suponer una interrupción temporal del servicio para los usuarios. El servicio se restablece cuando la confianza con ese IdP se ha restablecido correctamente. Si es posible, planifique esta operación cuidadosamente durante las horas de menor actividad. **nota** Como práctica recomendada de seguridad, ante cualquier indicio de que un certificado SAML existente está en peligro o se está usando de forma incorrecta, debe retirarlo inmediatamente y cambiarlo. La rotación de un certificado de IAM Identity Center es un proceso de varios pasos que incluye lo siguiente: + Obtención de un nuevo certificado del IdP + Importación del nuevo certificado a IAM Identity Center + Activación del nuevo certificado en el IdP + Eliminación del certificado anterior Siga todos los procedimientos que se detallan a continuación para completar el proceso de rotación del certificado y, al mismo tiempo, evitar cualquier tiempo de inactividad de la autenticación. **Paso 1: obtención de un nuevo certificado del IdP** Vaya al sitio web del IdP y descargue su certificado SAML 2.0. Asegúrese de que el archivo del certificado se descargue en formato codificado PEM. La mayoría de los proveedores le permiten crear varios certificados SAML 2.0 en el IdP. Es probable que se marquen como deshabilitados o inactivos. **Paso 2: importación del nuevo certificado a IAM Identity Center** Siga el procedimiento que se detalla a continuación para importar el nuevo certificado mediante la consola de IAM Identity Center. 1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración**. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**. 1. En la página **Administrar certificados SAML 2.0**, seleccione **Importar certificado**. 1. En el cuadro de diálogo **Importar certificado SAML 2.0**, seleccione **Elegir archivo**, navegue hasta el archivo de certificado, selecciónelo y, a continuación, elija **Importar certificado**. En este punto, IAM Identity Center confiará en todos los mensajes SAML entrantes firmados desde los 2 certificados que haya importado. **Paso 3: activación del nuevo certificado en el IdP** Regrese al sitio web del IdP y marque el nuevo certificado que creó anteriormente como principal o activo. En este punto, todos los mensajes SAML firmados por el IdP deberían usar el nuevo certificado. **Paso 4: eliminación del certificado anterior** Siga el procedimiento que se detalla para completar el proceso de rotación de certificados para su IdP. Siempre debe haber al menos un certificado válido en la lista y no se puede eliminar. **nota** Asegúrese de que su proveedor de identidades ya no firme las respuestas de SAML con este certificado antes de eliminarlo. 1. En la página **Administrar certificados SAML 2.0**, seleccione el certificado que desea eliminar. Elija **Eliminar**. 1. En el cuadro de diálogo **Eliminar el certificado SAML 2.0**, escriba **DELETE** para confirmarlo y, a continuación, elija **Eliminar**. 1. Regrese al sitio web del IdP y lleve a cabo los pasos necesarios para eliminar el certificado inactivo anterior. # Indicadores de estado de caducidad de certificados La página **Administrar certificados SAML 2.0** muestra iconos indicadores de estado en colores en la columna **Fecha de caducidad** situada junto a cada certificado de la lista. A continuación, se describen los criterios que IAM Identity Center utiliza para determinar qué icono se muestra en cada certificado. + **Rojo**: indica que un certificado está caducado. + **Amarillo**: indica que un certificado caducará en 90 días o menos. + **Verde**: indica que un certificado es válido y seguirá siendo válido durante al menos 90 días más. **Cómo comprobar el estado de la renovación de un certificado**: 1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración**. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**. 1. En la página **Administrar la autenticación de SAML 2.0**, en **Administrar certificados de SAML 2.0**, consulte el estado de los certificados de la lista tal y como se indica en la columna **Caduca el**. # Directorio Microsoft AD Con AWS IAM Identity Center, puede conectar un directorio autoadministrado en Active Directory (AD) o un directorio AWS Managed Microsoft AD mediante. AWS Directory Service Este directorio de Microsoft AD define el grupo de identidades que los administradores pueden extraer al utilizar la consola de Centro de identidades de IAM para asignar el acceso de inicio de sesión único. Tras conectar el directorio corporativo al Centro de identidades de IAM, puede conceder a sus usuarios o grupos de AD acceso a las aplicaciones o a Cuentas de AWS ambas opciones. AWS Directory Service le ayuda a configurar y ejecutar un AWS Managed Microsoft AD directorio independiente alojado en. Nube de AWS También puede utilizarlo Directory Service para conectar sus AWS recursos con un AD autogestionado existente. Para configurarlo AWS Directory Service para que funcione con su AD autogestionado, primero debe configurar relaciones de confianza para extender la autenticación a la nube. El centro de identidad de IAM utiliza la conexión proporcionada por Directory Service para realizar la autenticación de transferencia a la instancia de AD de origen. Si la utilizas AWS Managed Microsoft AD como fuente de identidad, el Centro de Identidad de IAM puede funcionar con usuarios de AWS Managed Microsoft AD cualquier dominio conectado a través de un fideicomiso de AD. Si desea ubicar a sus usuarios en 4 o más dominios, los usuarios deben usar la sintaxis de `DOMAIN\user` como nombre de usuario al iniciar sesión en Centro de identidades de IAM. **Notas** Como paso previo, asegúrese de que su AD Connector o directorio en AWS Managed Microsoft AD in Directory Service reside en su cuenta AWS Organizations de administración. Centro de identidades de IAM no admite Simple AD basado en SAMBA 4 como directorio conectado. El centro de identidad de IAM no puede sincronizar los principios de seguridad extranjeros (). FSPs Si un grupo AWS Managed Microsoft AD contiene miembros de un dominio de confianza FSPs, esos miembros no se sincronizarán. Para ver una demostración del proceso de uso de Active Directory como origen de identidad para IAM Identity Center, consulte el siguiente vídeo de YouTube: [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n) ## Consideraciones sobre el uso de Active Directory Si quiere utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos: + Si lo está utilizando AWS Managed Microsoft AD, debe habilitar el Centro de Identidad de IAM en el mismo Región de AWS lugar donde está configurado su AWS Managed Microsoft AD directorio. Centro de identidades de IAM almacena los datos de asignación en la misma región que el directorio. Para administrar Centro de identidades de IAM, es posible que deba cambiarse a la región en la que está configurado Centro de identidades de IAM. Además, tenga en cuenta que el portal de AWS acceso utiliza la misma URL de acceso que su directorio. + Utilice un Active Directory que resida en la cuenta de administración: Debe tener un AD Connector o AWS Managed Microsoft AD directorio existente configurado y debe residir en AWS Directory Service su cuenta AWS Organizations de administración. Solo puede conectar un directorio AD Connector o un directorio AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte lo siguiente: + [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md) + [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md) + Utilice un Active Directory que resida en la cuenta de administrador delegada: Si planea habilitar la administración delegada del IAM Identity Center y usar Active Directory como fuente de identidad del IAM Identity Center, puede usar un AD Connector existente o un AWS Managed Microsoft AD directorio configurado en el AWS Directorio que resida en la cuenta de administrador delegado. Si decide cambiar la fuente de identidad de Centro de identidades de IAM de cualquier otra fuente a Active Directory o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta de miembro administrador delegado de Centro de identidades de IAM si existe; de lo contrario, debe estar en la cuenta de administración. # Conexión de Active Directory y especificación de un usuario Conexión de Active Directory y especificación de un usuario Si ya utiliza Active Directory, los siguientes temas lo ayudarán a prepararse para conectar su directorio a IAM Identity Center. Puede conectar un AWS Managed Microsoft AD directorio o un directorio autogestionado en Active Directory con IAM Identity Center. **nota** El Centro de Identidad de IAM no SAMBA4 admite Simple AD como fuente de identidad. **AWS Managed Microsoft AD** 1. Revise la guía en [Directorio Microsoft AD](manage-your-identity-source-ad.md). 1. Siga los pasos de [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md). 1. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte [Sincronice un usuario administrativo en el Centro de identidades de IAM](#sync-admin-user-from-ad). **Directorio autogestionado en Active Directory** 1. Revise la guía en [Directorio Microsoft AD](manage-your-identity-source-ad.md). 1. Siga los pasos de [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md). 1. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte [Sincronice un usuario administrativo en el Centro de identidades de IAM](#sync-admin-user-from-ad). **IdP externo** 1. Revise la guía en [Proveedores de identidades externos](manage-your-identity-source-idp.md). 1. Siga los pasos de [Cómo conectarse a un proveedor de identidades externo](how-to-connect-idp.md). 1. Configure su IdP para aprovisionar usuarios al Centro de identidades de IAM. **nota** Antes de configurar el aprovisionamiento automático y basado en grupos de todas las identidades de sus empleados desde su IdP al Centro de identidades de IAM, le recomendamos que sincronice el único usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. ## Sincronice un usuario administrativo en el Centro de identidades de IAM Tras conectar el directorio a IAM Identity Center, puede especificar el usuario al que quiere conceder permisos administrativos y, a continuación, sincronizar ese usuario del directorio con IAM Identity Center. 1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. En la página de **Administrar sincronización**, elija la pestaña **Usuarios** y, continuación, seleccione **Añadir usuarios y grupos**. 1. En la pestaña **Usuarios**, en **Usuario**, introduzca el nombre de usuario exacto y seleccione **Añadir**. 1. En **Usuarios y grupos añadidos**, haga lo siguiente: 1. Confirme que se ha especificado el usuario a quien desea conceder permisos administrativos. 1. Seleccione la casilla de verificación que hay junto al nombre del archivo. 1. Elija **Enviar** 1. En la página **Administrar sincronización**, el usuario que especificó aparece en la lista de **Ámbito de usuarios sincronizados**. 1. En el panel de navegación, seleccione **Usuarios**. 1. En la página **Usuarios**, es posible que el usuario que especificó tarde algún tiempo en aparecer en la lista. Seleccione el icono de actualización para actualizar la lista de usuarios. En este momento, el usuario no tiene acceso a la cuenta de administración. Para configurar el acceso administrativo a esta cuenta, debe crear un conjunto de permisos administrativos y asignar el usuario a ese conjunto de permisos. Para obtener más información, consulte [Crea un conjunto de permisos.](howtocreatepermissionset.md). ## Aprovisionamiento cuando los usuarios provienen de Active Directory El Centro de identidades de IAM utiliza la conexión proporcionada por el Directory Service para sincronizar la información de usuarios, grupos y miembros del directorio de origen de Active Directory con el almacén de identidades del Centro de identidades de IAM. La información de la contraseña no se sincroniza con Centro de identidades de IAM, ya que la autenticación de los usuarios se realiza directamente desde el directorio de origen de Active Directory. Las aplicaciones utilizan estos datos de identidad para facilitar los escenarios de búsqueda, autorización y colaboración dentro de la aplicación sin devolver la actividad de LDAP al directorio de origen de Active Directory. Para obtener más información sobre aprovisionamiento, consulte [Aprovisionamiento de usuarios y grupos](users-groups-provisioning.md#user-group-provision). **Topics** + [ ## Consideraciones sobre el uso de Active Directory ](#considerations-ad-identitysource) + [ # Conexión de Active Directory y especificación de un usuario ](get-started-connect-id-source-ad-idp-specify-user.md) + [ ## Aprovisionamiento cuando los usuarios provienen de Active Directory ](#provision-users-from-ad) + [ # Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM ](connectawsad.md) + [ # Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM ](connectonpremad.md) + [ # Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos ](attributemappingsconcept.md) + [ # Centro de identidades de IAM y sincronización de AD configurable ](provision-users-from-ad-configurable-ADsync.md) # Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM Utilice el siguiente procedimiento para conectar un directorio gestionado por AWS Directory Service el AWS Managed Microsoft AD Centro de Identidad de IAM. **Para conectarse AWS Managed Microsoft AD al Centro de Identidad de IAM** 1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon). **nota** Antes de continuar con el paso siguiente, compruebe que la consola de Centro de identidades de IAM utiliza alguna de las regiones donde se encuentra su directorio de AWS Managed Microsoft AD . 1. Elija **Configuración**. 1. En la página de **configuración**, elija la pestaña **Fuente de identidad**, elija **Acciones y, a continuación, Cambiar fuente de identidad**. 1. En **Elegir origen de identidad**, seleccione **Active Directory** y, a continuación, seleccione **Siguiente**. 1. En **Conectar Active Directory**, elija un directorio AWS Managed Microsoft AD de la lista y, a continuación, **Siguiente**. 1. En **Confirmar el cambio**, revise la información; cuando esté todo listo, escriba **ACEPTAR** y, a continuación, elija **Cambiar fuente de identidad**. **importante** Para especificar un usuario de Active Directory como usuario administrativo en Centro de identidades de IAM, primero debe sincronizar el usuario al que desea conceder permisos administrativos desde Active Directory con Centro de identidades de IAM. Para ello, siga los pasos que se indican en [Sincronice un usuario administrativo en el Centro de identidades de IAM](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad). # Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM Los usuarios del directorio autogestionado de Active Directory (AD) también pueden tener acceso mediante un inicio de sesión único Cuentas de AWS y a las aplicaciones del portal de acceso. AWS Para configurar el acceso de inicio de sesión único para estos usuarios, puede realizar una de las siguientes acciones: + **Cree una relación de confianza bidireccional**: cuando se crean relaciones de confianza bidireccionales entre un directorio autogestionado de AD AWS Managed Microsoft AD y un directorio autogestionado de AD, los usuarios del directorio autogestionado de AD pueden iniciar sesión con sus credenciales corporativas en diversos servicios y aplicaciones empresariales. AWS Las relaciones de confianza unidireccionales no funcionan con Centro de identidades de IAM. AWS IAM Identity Center requiere una confianza bidireccional para tener permisos para leer la información de usuarios y grupos de tu dominio a fin de sincronizar los metadatos de usuarios y grupos. Centro de identidades de IAM utiliza estos metadatos al asignar el acceso a conjuntos de permisos o aplicaciones. Las aplicaciones también utilizan los metadatos de usuarios y grupos para colaborar como, por ejemplo, cuando se comparte un panel con otro usuario o grupo. La confianza Directory Service de Microsoft Active Directory en su dominio permite que IAM Identity Center confíe en su dominio para la autenticación. La confianza en la dirección opuesta otorga AWS permisos para leer los metadatos de los usuarios y grupos. Para obtener más información acerca de la configuración de una relación de confianza bidireccional, consulte [Cuándo crear una relación de confianza](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) en la *Guía de administración de AWS Directory Service *. **nota** Para poder utilizar AWS aplicaciones, como el IAM Identity Center, para leer los usuarios del Directory Service directorio de dominios de confianza, las Directory Service cuentas requieren permisos sobre el userAccountControl atributo de los usuarios de confianza. Sin permisos de lectura para este atributo, las aplicaciones de AWS no pueden determinar si la cuenta está habilitada o deshabilitada. El acceso de lectura a este atributo se proporciona de forma predeterminada cuando se crea una confianza. Si deniega el acceso a este atributo (no se recomienda), impedirá que aplicaciones como Identity Center puedan leer a los usuarios de confianza. La solución consiste en permitir específicamente el acceso de lectura al `userAccountControl` atributo de las cuentas de AWS servicio de la OU AWS reservada (con el prefijo AWS\$1). + **Crear un conector AD**: Un conector AD es una puerta de enlace de directorio que puede redirigir solicitudes del directorio al Active Directory autoadministrado sin almacenar en caché la información que hay en la nube. Para obtener más información, consulte [Conectarse a un directorio](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) en la *Guía de administración de AWS Directory Service *. A continuación, se presentan las consideraciones a tener en cuenta al usar el Conector AD: + Si va a conectar Centro de identidades de IAM a un directorio de un conector AD, cualquier restablecimiento de contraseñas de usuario en el futuro deberá realizarse desde AD. Esto significa que los usuarios no podrán restablecer sus contraseñas desde el portal de AWS acceso. + Si utiliza un conector AD para conectar el servicio de dominio de Active Directory al Centro de identidades de IAM, Centro de identidades de IAM solo tiene acceso a los usuarios y grupos del dominio único al que se conecta el conector AD. Si necesita admitir varios dominios o bosques, utilice Directory Service para Microsoft Active Directory. **nota** El Centro de identidades de IAM no funciona con directorios Simple AD SAMBA4 basados en. # Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos Asignaciones de atributos Las asignaciones de atributos se utilizan para asignar los tipos de atributos que existen en Centro de identidades de IAM con atributos similares en sus fuentes de identidad externas, como Google Workspace, Microsoft Active Directory (AD) yOkta. Centro de identidades de IAM recupera los atributos de usuario de la fuente de identidad y los asigna a los atributos de usuario de Centro de identidades de IAM. Si su IAM Identity Center está sincronizado para usar un **proveedor de identidades (IdP) externo**, por ejemplo, Google Workspace, Okta o Ping, como origen de identidad, tendrá que asignar sus atributos en su IdP. IAM Identity Center rellena previamente un conjunto de atributos en la pestaña **Asignaciones de atributos** de la página de configuración. Centro de identidades de IAM utiliza estos atributos de usuario para rellenar las aserciones de SAML (como atributos de SAML) que se envían a la aplicación. Estos atributos de usuario se recuperan, a su vez, de su fuente de identidad. Cada aplicación determina la lista de atributos de SAML 2.0 que necesita para un inicio de sesión único correcto. Para obtener más información, consulte [Asignación de atributos de su aplicación con atributos de IAM Identity Center](mapawsssoattributestoapp.md). IAM Identity Center también administra un conjunto de atributos en la sección **Asignaciones de atributos** de la **página de configuración de Active Directory** si utiliza AD como origen de identidad. Para obtener más información, consulte [Asignación de los atributos de usuario entre IAM Identity Center y el directorio Microsoft AD](mapssoattributestocdattributes.md). ## Atributos de proveedores de identidad externos compatibles En la siguiente tabla se enumeran todos los atributos del proveedor de identidades (IdP) externo que se admiten y se pueden asignar a los atributos que se pueden utilizar al configurar [Atributos para controlar el acceso](attributesforaccesscontrol.md) en IAM Identity Center. Al usar aserciones de SAML, puede usar cualquier atributo que admita su IdP. **** | Atributos compatibles en su IdP | | --- | | \$1\$1path:userName\$1 | | \$1\$1path:name.familyName\$1 | | \$1\$1path:name.givenName\$1 | | \$1\$1path:displayName\$1 | | \$1\$1path:nickName\$1 | | \$1\$1path:emails[primary eq true].value\$1 | | \$1\$1path:addresses[type eq "work"].streetAddress\$1 | | \$1\$1path:addresses[type eq "work"].locality\$1 | | \$1\$1path:addresses[type eq "work"].region\$1 | | \$1\$1path:addresses[type eq "work"].postalCode\$1 | | \$1\$1path:addresses[type eq "work"].country\$1 | | \$1\$1path:addresses[type eq "work"].formatted\$1 | | \$1\$1path:phoneNumbers[type eq "work"].value\$1 | | \$1\$1path:userType\$1 | | \$1\$1path:title\$1 | | \$1\$1path:locale\$1 | | \$1\$1path:timezone\$1 | | \$1\$1path:enterprise.employeeNumber\$1 | | \$1\$1path:enterprise.costCenter\$1 | | \$1\$1path:enterprise.organization\$1 | | \$1\$1path:enterprise.division\$1 | | \$1\$1path:enterprise.department\$1 | | \$1\$1path:enterprise.manager.value\$1 | ## Asignaciones predeterminadas entre IAM Identity Center y Microsoft AD Asignaciones predeterminadas En la tabla siguiente se muestran las asignaciones predeterminadas de los atributos de usuario de Centro de identidades de IAM a los atributos de usuario del directorio Microsoft AD. Centro de identidades de IAM solo admite la lista de atributos de la columna **Atributo de usuario en Centro de identidades de IAM**. **** | Atributo de usuario en Centro de identidades de IAM | Asignaciones a este atributo en su Active Directory | | --- | --- | | displayname | \$1\$1displayname\$1 | | emails[?primary].value \$1 | \$1\$1mail\$1 | | externalid | \$1\$1objectguid\$1 | | name.givenname | \$1\$1givenname\$1 | | name.familyname | \$1\$1sn\$1 | | name.middlename | \$1\$1initials\$1 | | sid | \$1\$1objectsid\$1 | | username | \$1\$1userprincipalname\$1 | \$1 El atributo de correo electrónico de Centro de identidades de IAM debe ser único en el directorio. **** | Atributo de usuario en IAM Identity Center | Asignaciones a este atributo en su Active Directory | | --- | --- | | externalid | \$1\$1objectguid\$1 | | description | \$1\$1description\$1 | | displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | **Consideraciones** + Si no tiene ninguna asignación para sus usuarios y grupos en IAM Identity Center cuando habilite la sincronización de AD configurable, se utilizan las asignaciones predeterminadas en las tablas anteriores. Para obtener información acerca de cómo personalizar estas asignaciones, consulte [Configuración de las asignaciones de atributos para su sincronización](manage-sync-configure-attribute-mapping-configurable-ADsync.md). + Algunos atributos de IAM Identity Center no se pueden modificar porque son inmutables y se asignan de forma predeterminada a atributos de directorio específicos de Microsoft AD. Por ejemplo, el “nombre de usuario” es un atributo obligatorio en el IAM Identity Center. Si asigna “nombre de usuario” a un atributo del directorio de AD con un valor vacío, el IAM Identity Center considerará el valor `windowsUpn` como el valor predeterminado de “nombre de usuario”. Si desea cambiar la asignación de atributos de “nombre de usuario” de la asignación actual, confirme que los flujos del IAM Identity Center que dependen del “nombre de usuario” sigan funcionando según lo previsto antes de realizar el cambio. ## Atributos de Microsoft AD compatibles con IAM Identity Center Atributos de Microsoft AD admitidos En la siguiente tabla se proporciona la lista completa de los atributos del directorio Microsoft AD admitidos y que se pueden asignar a atributos de usuario de Centro de identidades de IAM. **** | Atributos admitidos en el directorio de Microsoft AD | | --- | | \$1\$1samaccountname\$1 | | \$1\$1description\$1 | | \$1\$1objectguid\$1 | | \$1\$1objectsid\$1 | | \$1\$1givenname\$1 | | \$1\$1sn\$1 | | \$1\$1initials\$1 | | \$1\$1mail\$1 | | \$1\$1userprincipalname\$1 | | \$1\$1displayname\$1 | | \$1\$1distinguishedname\$1 | | \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | | \$1\$1proxyaddresses[?type == "smtp"].value\$1 | | \$1\$1useraccountcontrol\$1 | | \$1\$1associateddomain\$1 | **Consideraciones** + Puede especificar cualquier combinación de atributos del directorio de Microsoft AD compatibles para asignarlos a un único atributo de IAM Identity Center. ## Atributos de IAM Identity Center compatibles para Microsoft AD Atributos de IAM Identity Center compatibles para Microsoft AD En la siguiente tabla se proporciona la lista completa de los atributos de Centro de identidades de IAM admitidos y que se pueden asignar a atributos de usuario del directorio Microsoft AD. Posteriormente, cuando configure las asignaciones de los atributos de la aplicación podrá usar estos mismos atributos de Centro de identidades de IAM para asignarlos con los atributos reales utilizados por dicha aplicación. **** | Atributos en IAM Identity Center compatibles para Active Directory | | --- | | \$1\$1user:AD\$1GUID\$1 | | \$1\$1user:AD\$1SID\$1 | | \$1\$1user:email\$1 | | \$1\$1user:familyName\$1 | | \$1\$1user:givenName\$1 | | \$1\$1user:middleName\$1 | | \$1\$1user:name\$1 | | \$1\$1user:preferredUsername\$1 | | \$1\$1user:subject\$1 | # Asignación de los atributos de usuario entre IAM Identity Center y el directorio Microsoft AD Puede utilizar el siguiente procedimiento para especificar cómo deben asignarse sus atributos de usuario de IAM Identity Center a los atributos correspondientes de su directorio de Microsoft AD. **Cómo asignar atributos de Centro de identidades de IAM a atributos de su directorio** 1. Abra la [consola de Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuración**. 1. En la página de **configuración**, seleccione la pestaña **Atributos para el control de acceso** y, a continuación, elija **Administrar atributos**. 1. En la página **Gestionar asignaciones de atributos para el control de acceso**, busque el atributo en Centro de identidades de IAM que desea asignar y, a continuación, escriba un valor en el cuadro de texto. Por ejemplo, es posible que desee asignar el atributo de usuario **`email`** de Centro de identidades de IAM al atributo del directorio de Microsoft AD **`${mail}`**. 1. Seleccione **Save changes (Guardar cambios)**. # Centro de identidades de IAM y sincronización de AD configurable La sincronización con Active Directory (AD) configurable de Centro de identidades de IAM le permite configurar de forma explícita las identidades de Microsoft Active Directory que se sincronizan automáticamente en Centro de identidades de IAM y controlar el proceso de sincronización. + Con este método de sincronización, haga lo siguiente: + Controle los límites de los datos definiendo explícitamente los usuarios y grupos de Microsoft Active Directory que se sincronizan automáticamente en Centro de identidades de IAM. Puede [añadir usuarios y grupos](manage-sync-add-users-groups-configurable-ADsync.md) o [eliminar usuarios y grupos](manage-sync-remove-users-groups-configurable-ADsync.md) para cambiar el alcance de la sincronización en cualquier momento. + Asigne a los usuarios y grupos sincronizados [acceso mediante inicio de sesión único a Cuentas de AWS](useraccess.md) o [acceso a las aplicaciones](assignuserstoapp.md). Las aplicaciones pueden ser aplicaciones AWS administradas o aplicaciones administradas por el cliente. + Controle el proceso de sincronización [pausando y reanudando la sincronización](manage-sync-pause-resume-sync-configurable-ADsync.md) según sea necesario. Esto le ayuda a regular la carga de los sistemas de producción. ## Requisitos y consideraciones previos Antes de utilizar la sincronización de AD configurable, tenga en cuenta los siguientes requisitos y consideraciones: + **Especificación de usuarios y grupos de Active Directory para la sincronización** Antes de poder utilizar el Centro de identidades de IAM para asignar a nuevos usuarios y grupos el acceso a Cuentas de AWS las aplicaciones AWS gestionadas o gestionadas por los clientes, debe especificar los usuarios y grupos de Active Directory que desee sincronizar y, a continuación, sincronizarlos con el Centro de identidades de IAM. + **Sincronización de AD configurable**: Centro de identidades de IAM no busca usuarios y grupos directamente en el controlador de dominio. En su lugar, primero debe especificar la lista de usuarios y grupos que desea sincronizar. Puede configurar esta lista, también conocida como *ámbito de sincronización*, de una de las siguientes maneras, en función de si tiene usuarios y grupos que ya están sincronizados en Centro de identidades de IAM o si tiene nuevos usuarios y grupos que vaya a sincronizar por primera vez mediante la sincronización configurable de AD. + Usuarios y grupos existentes: si tiene usuarios y grupos que ya están sincronizados en Centro de identidades de IAM, el ámbito de sincronización de la sincronización configurable de AD se rellena previamente con una lista de esos usuarios y grupos. Para asignar nuevos usuarios o grupos, debe añadirlos específicamente al ámbito de sincronización. Para obtener más información, consulte [Añadir usuarios y grupos a su ámbito de sincronización](manage-sync-add-users-groups-configurable-ADsync.md). + Nuevos usuarios y grupos: si quiere asignar a nuevos usuarios y grupos el acceso a las aplicaciones y Cuentas de AWS , debe especificar qué usuarios y grupos quiere añadir al ámbito de sincronización en la sincronización configurable de AD antes de poder utilizar Centro de identidades de IAM para realizar la asignación. Para obtener más información, consulte [Añadir usuarios y grupos a su ámbito de sincronización](manage-sync-add-users-groups-configurable-ADsync.md). + **Asignaciones a grupos anidados en Active Directory** Los grupos que son miembros de otros grupos se llaman *grupos anidados* (o grupos secundarios). + **Sincronización AD configurable**: el uso de la sincronización de AD configurable para realizar asignaciones a un grupo de Active Directory que contiene otros grupos anidados puede aumentar el número de usuarios que tienen acceso a Cuentas de AWS o las aplicaciones. En este caso, la asignación se aplica a todos los usuarios, incluidos los de los grupos anidados. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, los miembros del grupo B también consiguen el acceso. + **Actualización de los flujos de trabajo automatizados** Si tiene flujos de trabajo automatizados que utilizan las acciones de la API del almacén de identidades de Centro de identidades de IAM y las acciones de la API de asignación de Centro de identidades de IAM para asignar a los nuevos usuarios y grupos el acceso a las cuentas y a las aplicaciones y sincronizarlos en Centro de identidades de IAM, debe ajustar esos flujos de trabajo antes del 15 de abril de 2022 para que funcionen según lo previsto con la sincronización AD configurable. La sincronización de AD configurable cambia el orden en que se realizan la asignación y el aprovisionamiento de usuarios y grupos, así como la forma en que se realizan las consultas. + **Sincronización AD configurable**: el aprovisionamiento se produce primero y no se realiza automáticamente. En su lugar, primero debe añadir usuarios y grupos de forma explícita al almacén de identidades, agregándolos a su ámbito de sincronización. Para obtener información sobre los pasos recomendados para automatizar la configuración de sincronización para una sincronización AD configurable, consulte [Automatizar la configuración de sincronización para una sincronización AD configurable](automate-sync-configuration-configurable-ADsync.md). **Topics** + [ ## Requisitos y consideraciones previos ](#prerequisites-configurable-ADsync) + [ # Cómo funciona la sincronización de AD configurable ](how-it-works-configurable-ADsync.md) + [ # Configuración de las asignaciones de atributos para su sincronización ](manage-sync-configure-attribute-mapping-configurable-ADsync.md) + [ # Configuración de la primera sincronización de Active Directory a IAM Identity Center ](manage-sync-configurable-ADsync.md) + [ # Añadir usuarios y grupos a su ámbito de sincronización ](manage-sync-add-users-groups-configurable-ADsync.md) + [ # Eliminación de usuarios y grupos de su ámbito de sincronización ](manage-sync-remove-users-groups-configurable-ADsync.md) + [ # Pausa y reanudación de la sincronización ](manage-sync-pause-resume-sync-configurable-ADsync.md) + [ # Automatizar la configuración de sincronización para una sincronización AD configurable ](automate-sync-configuration-configurable-ADsync.md) # Cómo funciona la sincronización de AD configurable Centro de identidades de IAM actualiza los datos de identidad basados en anuncios en el almacén de identidades mediante el siguiente proceso. Para obtener más información acerca de los requisitos previos, consulte [Requisitos y consideraciones previos](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync). ## Creación Tras conectar el directorio autogestionado de Active Directory o el AWS Managed Microsoft AD directorio gestionado por Directory Service el Centro de identidades de IAM, puede configurar de forma explícita los usuarios y grupos de Active Directory que desee sincronizar en el almacén de identidades del Centro de identidades de IAM. Las identidades que elija se sincronizarán aproximadamente cada 3 horas en el almacén de identidades de Centro de identidades de IAM. Según el tamaño del directorio, el proceso de sincronización puede tardar más. Los grupos que son miembros de otros grupos (llamados *grupos anidados* o *grupos secundarios*) también se escriben en el almacén de identidades. Solo puede asignar el acceso a nuevos usuarios o grupos después de que estén sincronizados en el almacén de identidades de Centro de identidades de IAM. ## Actualización Los datos de identidad del almacén de identidades de Centro de identidades de IAM se mantienen actualizados al leer periódicamente los datos del directorio de origen de Active Directory. De forma predeterminada, IAM Identity Center sincroniza los datos de su Active Directory cada hora en un ciclo de sincronización. Los datos pueden tardar entre 30 minutos y 2 horas en sincronizarse con el IAM Identity Center, según el tamaño de su Active Directory. Los objetos de usuario y grupo que se encuentran en el ámbito de la sincronización y sus pertenencias se crean o actualizan en Centro de identidades de IAM para asignarlos a los objetos correspondientes del directorio de origen de Active Directory. En el caso de los atributos de usuario, solo el subconjunto de atributos que aparece en la sección **Atributos para controlar el acceso** de la consola de Centro de identidades de IAM se actualiza en Centro de identidades de IAM. Las actualizaciones de atributos que realice en Active Directory pueden tardar un ciclo de sincronización en reflejarse en el IAM Identity Center. También puede actualizar el subconjunto de usuarios y grupos que sincroniza en el almacén de identidades de Centro de identidades de IAM. Puede optar por añadir nuevos usuarios o grupos a este subconjunto o eliminarlos. Todas las identidades que añada se sincronizarán en la próxima sincronización programada. Las identidades que elimine del subconjunto dejarán de actualizarse en el almacén de identidades de Centro de identidades de IAM. Los usuarios que no estén sincronizados durante más de 28 días quedarán inhabilitados en el almacén de identidades de Centro de identidades de IAM. Los objetos de usuario correspondientes se deshabilitarán automáticamente en el almacén de identidades de Centro de identidades de IAM durante el siguiente ciclo de sincronización, a menos que formen parte de otro grupo que siga formando parte del ámbito de sincronización. ## Eliminación Los usuarios y grupos se eliminan del almacén de identidades de Centro de identidades de IAM cuando los objetos de usuario o grupo correspondientes se eliminan del directorio de origen de Active Directory. Como alternativa, puede eliminar de forma explícita los objetos de usuario del almacén de identidades de Centro de identidades de IAM mediante la consola de Centro de identidades de IAM. Si utiliza la consola de Centro de identidades de IAM, también debe eliminar los usuarios del ámbito de sincronización para garantizar que no se vuelvan a sincronizar con Centro de identidades de IAM durante el siguiente ciclo de sincronización. También puede pausar y reiniciar la sincronización en cualquier momento. Si pausa la sincronización durante más de 28 días, se deshabilitarán todos los usuarios. # Configuración de las asignaciones de atributos para su sincronización Cómo obtener más información acerca de los atributos disponibles, consulte [Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos](attributemappingsconcept.md). **Cómo configurar las asignaciones de atributos de Centro de identidades de IAM a su directorio:** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. En **Administrar sincronización**, seleccione **Ver asignaciones de atributos**. 1. En **Atributos de usuario de Active Directory**, configure los **atributos del almacén de identidades de Centro de identidades de IAM** y los **atributos de usuario de Active Directory**. Por ejemplo, puede que desee asignar el atributo `email` del almacén de identidades de Centro de identidades de IAM al atributo `${objectguid}` del directorio de usuarios de Active Directory. **nota** En **Atributos de grupo**, no se pueden cambiar los **atributos del almacén de identidades de IAM Identity Center** ni los **atributos de grupo de Active Directory**. 1. Seleccione **Save changes (Guardar cambios)**. Esto le llevará a la página de **Administrar sincronización**. # Configuración de la primera sincronización de Active Directory a IAM Identity Center Si va a sincronizar sus usuarios y grupos de Active Directory con IAM Identity Center por primera vez, siga estos pasos. También puede seguir los pasos que se describen en [Cambiar su fuente de identidad](manage-your-identity-source-change.md) para cambiar el origen de identidad de IAM Identity Center a Active Directory. ## Configuración guiada 1. Abra la [consola de Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). **nota** Asegúrese de que la consola del IAM Identity Center utilice una de las ubicaciones Regiones de AWS de su AWS Managed Microsoft AD directorio antes de continuar con el siguiente paso. 1. Seleccione **Configuración**. 1. En la parte superior de la página, en el mensaje de notificación, seleccione **Iniciar configuración guiada**. 1. En el **paso 1 (*opcional*): configurar las asignaciones de atributos**, revise las asignaciones de atributos de usuario y grupo predeterminadas. Si no es necesario realizar cambios, seleccione **Siguiente**. Si es necesario realizar cambios, realice los cambios y, a continuación, seleccione **Guardar cambios**. 1. En el **paso 2 (*opcional*): configurar el alcance de la sincronización**, seleccione la pestaña **Usuarios**. A continuación, introduzca el nombre de usuario exacto del usuario que quiere añadir a su ámbito de sincronización y seleccione **Añadir**. Seleccione la pestaña **Grupos**. A continuación, introduzca el nombre de grupo exacto del grupo que quiere añadir a su ámbito de sincronización y seleccione **Añadir**. A continuación, elija **Siguiente**. Si quiere añadir usuarios y grupos a su ámbito de sincronización más adelante, no realice ningún cambio y seleccione **Siguiente**. 1. En el **paso 3: revisar y guardar la configuración**, confirme las **asignaciones de atributos** en el **paso 1: asignaciones de atributos** y sus **usuarios y grupos** en el **paso 2: ámbito de sincronización**. Seleccione **Guardar configuración**. Esto le llevará a la página **Administrar sincronización**. # Añadir usuarios y grupos a su ámbito de sincronización **nota** Al añadir grupos al ámbito de sincronización, sincronice los grupos directamente desde el dominio local de confianza, en lugar de hacerlo desde los grupos del dominio. AWS Managed Microsoft AD Los grupos sincronizados directamente desde el dominio de confianza contienen objetos de usuario reales a los que el Centro de Identidad de IAM puede acceder y sincronizarlos correctamente. Agregue sus usuarios y grupos de Active Directory al IAM Identity Center siguiendo estos pasos. **Para agregar usuarios** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. En la página de **Administrar sincronización**, elija la pestaña **Usuarios** y, continuación, seleccione **Añadir usuarios y grupos**. 1. En la pestaña **Usuarios**, en **Usuario**, introduzca el nombre de usuario exacto y seleccione **Añadir**. 1. En **Usuarios y grupos agregados**, revise el usuario que desea agregar. 1. Seleccione **Enviar**. 1. En el panel de navegación, seleccione **Usuarios**. Si el usuario que ha especificado no se muestra en la lista, elija el icono de actualización para actualizar la lista de usuarios. **Cómo añadir grupos:** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. En la página de **administrar la sincronización**, elija la pestaña **Grupos** y, continuación, seleccione **Añadir usuarios y grupos**. 1. Seleccione la pestaña **Groups** (Grupos). En **Grupo**, introduzca el nombre exacto del grupo y seleccione **Añadir**. 1. En **Usuarios y grupos añadidos**, revise el grupo que desea agregar. 1. Seleccione **Enviar**. 1. En el panel de navegación, elija **Grupos**. Si el grupo que ha especificado no se muestra en la lista, seleccione el icono de actualización para actualizar la lista de grupos. # Eliminación de usuarios y grupos de su ámbito de sincronización Para obtener más información sobre lo que ocurre cuando elimina usuarios y grupos del ámbito de sincronización, consulte [Cómo funciona la sincronización de AD configurable](how-it-works-configurable-ADsync.md). **Cómo eliminar usuarios:** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. Elija la pestaña **Users**. 1. En **Usuarios en el ámbito de sincronización**, seleccione la casilla de verificación situada junto al usuario que desea eliminar. Para eliminar todos los usuarios, seleccione la casilla de verificación situada junto al **nombre de usuario**. 1. Elija **Eliminar **. **Cómo eliminar grupos:** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. Seleccione la pestaña **Groups** (Grupos). 1. En **Grupos en el ámbito de sincronización**, seleccione la casilla de verificación situada junto al usuario que desea eliminar. Para eliminar todos los grupos, seleccione la casilla de verificación situada junto al **nombre del grupo**. 1. Elija **Eliminar **. # Pausa y reanudación de la sincronización Al pausar la sincronización, se pausan todos los ciclos de sincronización futuros e impide que los cambios que realice en los usuarios y grupos de Active Directory se reflejen en Centro de identidades de IAM. Tras reanudar la sincronización, el ciclo de sincronización recoge los cambios de la siguiente sincronización programada. **Cómo pausar la sincronización:** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. En **Administrar la sincronización**, seleccione **Pausar la sincronización**. **Cómo reanudar la sincronización:** 1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon). 1. Elija **Configuraciones**. 1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**. 1. En **Administrar la sincronización**, seleccione **Reanudar la sincronización**. **nota** Si aparece **Pausar la sincronización** en lugar de **Reanudar la sincronización**, significa que la sincronización de Active Directory con Centro de identidades de IAM ya se ha reanudado. # Automatizar la configuración de sincronización para una sincronización AD configurable Automatizar una configuración de sincronización Para garantizar que su flujo de trabajo automatizado funcione según lo esperado con la sincronización de AD configurable, le recomendamos que realice los siguientes pasos para automatizar la configuración de la sincronización. **Cómo automatizar la configuración de sincronización para una sincronización AD configurable:** 1. En Active Directory, cree un *Grupo de sincronización principal* que contenga todos los usuarios y grupos que desee sincronizar en Centro de identidades de IAM. Por ejemplo, puede asignar un nombre al grupo. *IAMIdentityCenterAllUsersAndGroups* 1. En Centro de identidades de IAM, añada el grupo de sincronización principal a su lista de sincronización configurable. Centro de identidades de IAM sincronizará todos los usuarios, grupos, subgrupos y miembros de todos los grupos incluidos en el grupo de sincronización principal. 1. Use las acciones de la API de administración de usuarios y grupos de Active Directory proporcionadas por Microsoft para añadir o eliminar usuarios y grupos del grupo de sincronización principal.