Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Abilita IAM Identity Center
Quando abiliti IAM Identity Center, scegli un tipo di AWS IAM Identity Center istanza da abilitare. Un'istanza di un servizio è una singola implementazione di un servizio all'interno del tuo AWS ambiente. Esistono due tipi di istanze disponibili per IAM Identity Center: istanze organizzative e istanze di account. I tipi di istanze disponibili da abilitare dipendono dal tipo di account a cui hai effettuato l'accesso.
L'elenco seguente identifica il tipo di istanze IAM Identity Center che puoi abilitare per ogni tipo di: Account AWS
+ **Il tuo account di AWS Organizations gestione (consigliato)**: necessario per creare un'[istanza organizzativa](organization-instances-identity-center.md) di IAM Identity Center. Utilizza un'istanza organizzativa per le autorizzazioni multi-account e l'assegnazione di applicazioni in tutta l'organizzazione. È possibile replicare questo tipo di istanza in regioni aggiuntive per una maggiore resilienza dell'accesso all'account e flessibilità nella scelta delle regioni di distribuzione delle applicazioni. AWS
+ **Il tuo account AWS Organizations membro**: consente di creare un'[istanza di account](account-instances-identity-center.md) di IAM Identity Center per abilitare le assegnazioni delle applicazioni all'interno di quell'account membro. In un'organizzazione possono esistere uno o più account con un'istanza a livello di membro.
+ **Un'istanza autonoma Account AWS: da** utilizzare per creare un'[istanza organizzativa o un'istanza](organization-instances-identity-center.md) [di account](account-instances-identity-center.md) di IAM Identity Center. La versione standalone Account AWS non è gestita da. AWS OrganizationsÈ possibile associare solo un'istanza di IAM Identity Center a un'istanza standalone Account AWS e utilizzare tale istanza per le assegnazioni di applicazioni all'interno di tale istanza. Account AWS
**Importante**
L'account di gestione dell'organizzazione può controllare se gli [account dei membri dell'organizzazione possono creare istanze di account di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html) utilizzando una Service Control Policy.
Se utilizzi un account di livello gratuito, la creazione di un' AWS organizzazione aggiorna automaticamente l'account a un piano a pagamento con pay-as-you-go prezzi. I crediti del livello gratuito scadono immediatamente. Per ulteriori informazioni, consulta [Piano gratuito AWS FAQs](https://aws.amazon.com/free/free-tier-faqs/).
Per un confronto delle diverse funzionalità fornite dai diversi tipi di istanze, consulta[Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
Prima di abilitare IAM Identity Center, ti consigliamo di consultare il[Prerequisiti e considerazioni di IAM Identity Center](identity-center-prerequisites.md).
## Per abilitare un'istanza di IAM Identity Center
Scegli la scheda relativa al tipo di istanza IAM Identity Center che desideri abilitare, un'organizzazione o un'istanza di account:
------
#### [ Organization (recommended) ]
1. Effettua una delle seguenti operazioni per accedere a Console di gestione AWS.
+ **Nuovo utente AWS (utente root)**: accedi come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
+ **Già in uso AWS con una versione autonoma Account AWS (credenziali IAM)**: accedi utilizzando le tue credenziali IAM con autorizzazioni amministrative.
+ **Già in uso AWS Organizations (credenziali IAM): accedi utilizzando le credenziali** del tuo account di gestione.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. (Facoltativo) Se desideri utilizzare una chiave KMS gestita dal cliente per la crittografia a riposo anziché la chiave AWS gestita predefinita, configura la chiave gestita dal cliente nella sezione Chiave **per la crittografia dei dati di IAM Identity Center** a riposo. Per ulteriori informazioni, vedi [Implementazione di chiavi KMS gestite dal cliente in AWS IAM Identity Center](identity-center-customer-managed-keys.md).
**Importante**
Esegui questo passaggio solo se hai configurato le autorizzazioni necessarie per l'uso della chiave gestita dal cliente KMS. Senza le autorizzazioni appropriate, questo passaggio potrebbe fallire o interrompere l'amministrazione di IAM Identity Center e le applicazioni gestite. AWS
1. In **Abilita il Centro identità IAM**, scegli **Abilita**.
1. Nella AWS Organizations pagina **Abilita IAM Identity Center con**, esamina le informazioni e quindi seleziona **Abilita** per completare il processo.
**Nota**
AWS Organizations può avere IAM Identity Center abilitato solo in una singola AWS regione. Dopo aver abilitato IAM Identity Center, se è necessario modificare la regione in cui è abilitato IAM Identity Center, è necessario [eliminare](delete-config.md) l'istanza corrente e creare un'istanza nell'altra regione.
Dopo aver abilitato l'istanza dell'organizzazione, ti consigliamo di eseguire i seguenti passaggi per completare la configurazione dell'ambiente:
+ Conferma di utilizzare la fonte di identità di tua scelta. Se hai già un'origine di identità assegnata, puoi continuare a usarla. Per ulteriori informazioni, consulta [Conferma delle origini di identità nel Centro identità IAM](confirm-identity-source.md).
+ Registra un account membro come amministratore delegato. Per ulteriori informazioni, consulta [Amministrazione delegata](delegated-admin.md).
+ IAM Identity Center ti fornisce un portale di accesso alle AWS risorse. Se filtri l'accesso a AWS domini o endpoint URL specifici utilizzando una soluzione di filtraggio dei contenuti Web come firewall di nuova generazione (NGFW) o Secure Web Gateways (SWG), vedi. [Aggiorna firewall e gateway per consentire l'accesso a Portale di accesso AWS](enable-identity-center-portal-access.md)
------
#### [ Account ]
1. Effettua una delle seguenti operazioni per accedere a. Console di gestione AWS
+ **Nuovo utente AWS (utente root)**: accedi come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
+ **Già in uso AWS (credenziali IAM)**: accedi utilizzando le tue credenziali IAM con autorizzazioni amministrative.
+ **Già in uso AWS Organizations (credenziali IAM)**: accedi utilizzando le credenziali amministrative del tuo account membro.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. **Se sei nuovo AWS o ne hai uno standalone Account AWS, in **Abilita IAM Identity Center, scegli Abilita**.**
Vedi la AWS Organizations pagina **Abilita IAM Identity Center con**. Consigliamo questa opzione, ma non è obbligatoria.
Seleziona il link **abilita un'istanza di account di IAM Identity Center**.
1. Se sei un amministratore di un account AWS Organizations membro, in **Abilita un'istanza di account di IAM Identity Center**, seleziona **Abilita un'istanza di account**.
1. Nella pagina **Abilita un'istanza di account di IAM Identity Center**, esamina le informazioni e, *facoltativamente*, aggiungi i tag che desideri associare a questa istanza di account. Quindi seleziona **Abilita** per completare il processo.
**Nota**
Se il tuo AWS account è membro di un'organizzazione, potrebbero esserci delle restrizioni alla tua capacità di abilitare un'istanza di account di IAM Identity Center.
Se la tua organizzazione ha abilitato IAM Identity Center prima del 15 novembre 2023, la possibilità per gli account membro di creare istanze di account è disabilitata per impostazione predefinita e deve essere abilitata dall'account di gestione dell'organizzazione.
Se la tua organizzazione ha abilitato IAM Identity Center dopo il 15 novembre 2023, la possibilità per gli account membro di creare istanze di account è abilitata per impostazione predefinita. Tuttavia, le policy di controllo del servizio possono essere utilizzate per impedire la creazione di istanze di account di IAM Identity Center all'interno di un'organizzazione.
Per ulteriori informazioni, consultare [Consenti la creazione di istanze di account negli account dei membri](enable-account-instance-console.md) e [Utilizza le politiche di controllo dei servizi per controllare la creazione delle istanze dell'account](control-account-instance.md).
------
# Conferma delle origini di identità nel Centro identità IAM
La tua fonte di identità in IAM Identity Center definisce dove vengono gestiti gli utenti e i gruppi. Dopo aver abilitato IAM Identity Center, conferma che stai utilizzando la fonte di identità di tua scelta. Se hai già una fonte di identità assegnata, puoi continuare a usarla.
Se gestisci già utenti e gruppi in Active Directory un IdP esterno, ti consigliamo di prendere in considerazione la possibilità di collegare questa fonte di identità quando abiliti IAM Identity Center e scegli la tua fonte di identità. Questa operazione deve essere eseguita prima di creare utenti e gruppi nella directory predefinita di Identity Center e di effettuare qualsiasi assegnazione.
Se gestisci già utenti e gruppi in un'unica fonte di identità in IAM Identity Center, il passaggio a una fonte di identità diversa potrebbe rimuovere tutte le assegnazioni di utenti e gruppi che hai configurato in IAM Identity Center. In tal caso, tutti gli utenti, incluso l'utente amministrativo di IAM Identity Center, perderanno l'accesso Single Sign-On alle proprie Account AWS applicazioni. Per ulteriori informazioni, consulta [Considerazioni sulla modifica dell'origine dell'identità](manage-your-identity-source-considerations.md).
**Per confermare la fonte della tua identità**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nella pagina **Dashboard**, sotto la sezione **Passaggi di configurazione consigliati**, scegli **Conferma l'origine dell'identità**. Puoi accedere a questa pagina anche scegliendo **Impostazioni** e selezionando la scheda **Origine dell'identità**.
1. Se desideri mantenere la fonte di identità assegnata, non è necessaria alcuna azione. Se preferisci modificarla, scegli **Azioni**, quindi scegli **Cambia fonte di identità**.
Puoi scegliere una delle seguenti opzioni come fonte di identità:
**Directory del Centro identità**
Quando abiliti IAM Identity Center per la prima volta, questo viene configurato automaticamente con una directory Identity Center come fonte di identità predefinita. Se non utilizzi già un altro provider di identità esterno, puoi iniziare a creare utenti e gruppi e assegnare il loro livello di accesso alle tue Account AWS e alle tue applicazioni. Per un tutorial sull'utilizzo di questa fonte di identità, consulta[Configura l'accesso degli utenti con la directory IAM Identity Center predefinita](quick-start-default-idc.md).
**Active Directory**
Se gestisci già utenti e gruppi nella tua AWS Managed Microsoft AD directory utilizzando Directory Service o utilizzando la directory autogestita inActive Directory (AD), ti consigliamo di connettere quella directory quando abiliti IAM Identity Center. Non creare utenti e gruppi nella directory predefinita di Identity Center. IAM Identity Center utilizza la connessione fornita da AWS Directory Service per sincronizzare le informazioni su utenti, gruppi e appartenenze dalla directory di origine in Active Directory all'archivio di identità IAM Identity Center. Per ulteriori informazioni, consulta [Microsoft ADelenco](manage-your-identity-source-ad.md).
IAM Identity Center non supporta Simple AD SAMBA4 basato su sistema Simple AD come fonte di identità.
**Provider di identità esterno**
Per i provider di identità esterni (IdPs) come Okta orMicrosoft Entra ID, puoi utilizzare IAM Identity Center per autenticare le identità dallo standard Security Assertion Markup Language (SAML) 2.0. IdPs Il protocollo SAML non fornisce un modo per interrogare l'IdP per conoscere utenti e gruppi. Fai in modo che IAM Identity Center conosca tali utenti e gruppi inserendoli in IAM Identity Center. Puoi eseguire il provisioning automatico (sincronizzazione) delle informazioni su utenti e gruppi dal tuo IdP a IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0 se il tuo IdP supporta SCIM. Altrimenti, puoi effettuare manualmente il provisioning di utenti e gruppi inserendo manualmente i nomi utente, l'indirizzo e-mail e i gruppi in IAM Identity Center.
Per istruzioni dettagliate sulla configurazione della fonte di identità, consulta[Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md).
Se prevedi di utilizzare un provider di identità esterno, tieni presente che l'IdP esterno, non IAM Identity Center, gestisce le impostazioni di autenticazione a più fattori (MFA). L'MFA in IAM Identity Center non è supportata per l'uso da parte di provider di identità esterni. Per ulteriori informazioni, consulta [Richiedi agli utenti l'MFA](mfa-getting-started.md).
**Nota**
Se prevedi di replicare IAM Identity Center in altre regioni, dovrai configurare un provider di identità esterno. Per ulteriori dettagli, inclusi i prerequisiti, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md)
# Aggiorna firewall e gateway per consentire l'accesso a Portale di accesso AWS
Il portale di AWS accesso offre agli utenti l'accesso Single Sign-On a tutte le tue applicazioni cloud Account AWS e a quelle più utilizzate come Office 365, Concur, Salesforce e molte altre. È possibile avviare rapidamente più applicazioni semplicemente scegliendo l'icona Account AWS o dell'applicazione nel portale.
**Nota**
AWS le applicazioni gestite si integrano con IAM Identity Center e lo utilizzano per l'autenticazione e i servizi di directory, ma potrebbero non utilizzare il portale di AWS accesso per l'accesso alle applicazioni.
Se filtri l'accesso a AWS domini o endpoint URL specifici utilizzando una soluzione di filtraggio dei contenuti Web come firewall di nuova generazione (NGFW) o Secure Web Gateways (SWG), devi consentire l'elenco dei domini e degli endpoint URL associati al portale di accesso. AWS
L'elenco seguente fornisce i domini dual-stack IPv4 e gli endpoint URL da aggiungere alle liste di autorizzazione della soluzione di filtraggio dei contenuti Web.
**IPv4 elenco di consentiti**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
**Elenco di autorizzazioni dual-stack**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`
**Elenco combinato degli elementi consentiti (IPv4 \$1 Dual-stack con compatibilità con le versioni precedenti)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`
## Considerazioni sulla possibilità di inserire nella lista domini ed endpoint URL
Oltre ai requisiti per la lista consentita per il portale di AWS accesso, gli altri servizi e applicazioni utilizzati potrebbero richiedere l'inserimento di domini nell'elenco consentito.
+ Per accedere Account AWS alla console IAM Identity Center e alla console IAM Identity Center dal tuo portale di AWS accesso, devi consentire l'elenco di domini aggiuntivi. Console di gestione AWS Per un elenco di domini, consulta la sezione [Risoluzione dei problemi](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html) nella *Guida Console di gestione AWS introduttiva*. Console di gestione AWS
+ Per accedere alle applicazioni AWS gestite dal portale di AWS accesso, è necessario consentire l'elenco dei rispettivi domini. Per ulteriori informazioni, consulta la documentazione relativa al servizio.
+ Se utilizzi software esterno, ad esempio esterno IdPs (ad esempio Okta eMicrosoft Entra ID), dovrai includere i relativi domini nelle tue liste di autorizzazione.