Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura SAML e SCIM con Microsoft Entra ID IAM Identity Center
AWS IAM Identity Center supporta l'integrazione con [Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md) e il [provisioning automatico](provision-automatically.md) (sincronizzazione) di informazioni su utenti e gruppi da Microsoft Entra ID (precedentemente noto come Azure Active Directory or) in IAM Identity Center utilizzando il protocollo [System](scim-profile-saml.md#scim-profile) for Cross-domain Identity Management (SCIMAzure AD) 2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
**Obiettivo**
In questo tutorial, configurerai un laboratorio di test e configurerai una connessione SAML e il provisioning SCIM tra Microsoft Entra ID e IAM Identity Center. Durante le fasi iniziali di preparazione, creerai un utente di prova (Nikki Wolf) sia Microsoft Entra ID in IAM Identity Center che utilizzerai per testare la connessione SAML in entrambe le direzioni. Successivamente, come parte dei passaggi SCIM, creerai un utente di test diverso (Richard Roe) per verificare che i nuovi attributi Microsoft Entra ID si sincronizzino con IAM Identity Center come previsto.
## Prerequisiti
Prima di iniziare con questo tutorial, devi prima configurare quanto segue:
+ Un Microsoft Entra ID inquilino. Per ulteriori informazioni, consulta [Avvio rapido: configurazione di un tenant](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) nella documentazione. Microsoft
+ Un account AWS IAM Identity Center abilitato. Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) nella *Guida per l'AWS IAM Identity Center utente*.
## Considerazioni
Di seguito sono riportate importanti considerazioni in merito Microsoft Entra ID che possono influire sul modo in cui si prevede di implementare il [provisioning automatico](provision-automatically.md) con IAM Identity Center nell'ambiente di produzione utilizzando il protocollo SCIM v2.
**Provisioning automatico**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminarlo. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations)
**Attributi per il controllo degli accessi**
Gli attributi per il controllo degli accessi vengono utilizzati nelle politiche di autorizzazione che determinano chi nell'identità dell'utente può accedere alle AWS risorse. Se un attributo viene rimosso da un utente inMicrosoft Entra ID, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Questa è una limitazione nota inMicrosoft Entra ID. Se un attributo viene modificato in un valore diverso (non vuoto) su un utente, tale modifica verrà sincronizzata con IAM Identity Center.
**Gruppi annidati**
Il servizio di provisioning Microsoft Entra ID degli utenti non è in grado di leggere o effettuare il provisioning degli utenti in gruppi nidificati. Solo gli utenti che sono membri immediati di un gruppo assegnato in modo esplicito possono essere letti e assegnati. Microsoft Entra IDnon decomprime in modo ricorsivo le appartenenze ai gruppi di utenti o gruppi assegnati indirettamente (utenti o gruppi membri di un gruppo assegnato direttamente). Per ulteriori informazioni, consulta l'ambito basato sulle [assegnazioni](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) nella documentazione. Microsoft In alternativa, puoi utilizzare la [sincronizzazione AD configurabile di IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) per integrare i Active Directory gruppi con IAM Identity Center.
**Gruppi dinamici**
Il servizio di provisioning Microsoft Entra ID degli utenti può leggere ed effettuare il provisioning degli utenti in [gruppi dinamici](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Di seguito è riportato un esempio che mostra la struttura di utenti e gruppi durante l'utilizzo di gruppi dinamici e come vengono visualizzati in IAM Identity Center. Il provisioning di questi utenti e gruppi è stato effettuato da Microsoft Entra ID IAM Identity Center tramite SCIM
Ad esempio, se Microsoft Entra ID la struttura per i gruppi dinamici è la seguente:
1. Gruppo A con membri ua1, ua2
1. Gruppo B con membri ub1
1. Gruppo C con membri uc1
1. Gruppo K con una regola per includere i membri del Gruppo A, B, C
1. Gruppo L con una regola per includere i membri dei gruppi B e C
Dopo aver fornito le informazioni su utenti e Microsoft Entra ID gruppi da IAM Identity Center tramite SCIM, la struttura sarà la seguente:
1. Gruppo A con membri ua1, ua2
1. Gruppo B con membri ub1
1. Gruppo C con membri uc1
1. Gruppo K con membri ua1, ua2, ub1, uc1
1. Gruppo L con membri ub1, uc1
Quando configuri il provisioning automatico utilizzando gruppi dinamici, tieni presenti le seguenti considerazioni.
+ Un gruppo dinamico può includere un gruppo annidato. Tuttavia, il servizio di Microsoft Entra ID provisioning non appiattisce il gruppo nidificato. Ad esempio, se si dispone della seguente Microsoft Entra ID struttura per i gruppi dinamici:
+ Il gruppo A è un genitore del gruppo B.
+ Il gruppo A ha ua1 come membro.
+ Il gruppo B ha ub1 come membro.
Il gruppo dinamico che include il gruppo A includerà solo i membri diretti del gruppo A (ovvero ua1). Non includerà ricorsivamente i membri del gruppo B.
+ I gruppi dinamici non possono contenere altri gruppi dinamici. Per ulteriori informazioni, consulta [Limitazioni dell'anteprima](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) nella Microsoft documentazione.
## Fase 1: Preparare il tenant Microsoft
In questo passaggio, spiegherai come installare e configurare l'applicazione AWS IAM Identity Center aziendale e assegnare l'accesso a un utente di Microsoft Entra ID prova appena creato.
------
#### [ Step 1.1 > ]
**Passaggio 1.1: Configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID**
In questa procedura, si installa l'applicazione AWS IAM Identity Center aziendale inMicrosoft Entra ID. Questa applicazione ti servirà in seguito per configurare la tua connessione SAML con AWS.
1. Accedi all'interfaccia di [amministrazione di Microsoft Entra](https://entra.microsoft.com/) come almeno amministratore di applicazioni cloud.
1. Passa a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **Nuova applicazione**.
1. Nella pagina **Browse Microsoft Entra Gallery**, inserisci ****AWS IAM Identity Center****nella casella di ricerca.
1. Seleziona **AWS IAM Identity Center**tra i risultati.
1. Scegli **Create** (Crea).
------
#### [ Step 1.2 > ]
**Passaggio 1.2: Creare un utente di prova in Microsoft Entra ID**
Nikki Wolf è il nome del tuo utente di Microsoft Entra ID test che creerai in questa procedura.
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), vai a **Identità > Utenti > Tutti gli utenti**.
1. Seleziona **Nuovo utente**, quindi scegli **Crea nuovo utente** nella parte superiore dello schermo.
1. In **Nome principale utente**, inserisci ****NikkiWolf****, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, *NikkiWolf*@*example.org*.
1. In **Nome visualizzato**, immettere ****NikkiWolf****.
1. In **Password**, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.
1. Scegli **Proprietà**, in **Nome**, inserisci ****Nikki****. In **Cognome**, immettete ****Wolf****.
1. Scegliete **Review \$1 create**, quindi scegliete **Crea**.
------
#### [ Step 1.3 ]
**Passaggio 1.3: Metti alla prova l'esperienza di Nikki prima di assegnarle le autorizzazioni a AWS IAM Identity Center**
In questa procedura, verificherai a cosa Nikki può accedere correttamente al suo [portale Microsoft My Account](https://myaccount.microsoft.com/).
1. Nello stesso browser, apri una nuova scheda, vai alla pagina di accesso al [portale My Account](https://myaccount.microsoft.com/) e inserisci l'indirizzo email completo di Nikki. Ad esempio, *NikkiWolf*@. *example.org*
1. Quando richiesto, inserisci la password di Nikki, quindi scegli **Accedi**. Se si tratta di una password generata automaticamente, ti verrà richiesto di cambiarla.
1. Nella pagina **Azione richiesta**, scegli **Chiedi più tardi** per ignorare la richiesta di metodi di sicurezza aggiuntivi.
1. Nella pagina Il **mio account**, nel riquadro di navigazione a sinistra, scegli Le **mie** app. Tieni presente che, oltre ai **componenti aggiuntivi**, al momento non viene visualizzata alcuna app. Aggiungerai un'**AWS IAM Identity Center**app che verrà visualizzata qui in un passaggio successivo.
------
#### [ Step 1.4 ]
**Passaggio 1.4: Assegna le autorizzazioni a Nikki in Microsoft Entra ID**
Ora che hai verificato che Nikki può accedere correttamente al **portale Il mio account**, usa questa procedura per assegnare il suo utente all'app. **AWS IAM Identity Center**
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**dall'elenco.
1. A sinistra, scegli **Utenti e gruppi**.
1. Scegli **Add user/group** (Aggiungi utente/gruppo). Puoi ignorare il messaggio che indica che i gruppi non sono disponibili per l'assegnazione. Questo tutorial non utilizza i gruppi per le assegnazioni.
1. Nella pagina **Aggiungi assegnazione**, in **Utenti**, scegli **Nessuno** selezionato.
1. Seleziona **NikkiWolf**, quindi scegli **Seleziona**.
1. Nella pagina **Aggiungi assegnazione**, scegli **Assegna**. NikkiWolf ora appare nell'elenco degli utenti assegnati all'**AWS IAM Identity Center**app.
------
## Passaggio 2: prepara il tuo AWS account
In questo passaggio, spiegherai come configurare le autorizzazioni di accesso (tramite set di autorizzazioni), creare manualmente un utente Nikki Wolf corrispondente e assegnargli le autorizzazioni necessarie per amministrare le risorse. **IAM Identity Center** AWS
------
#### [ Step 2.1 > ]
**Passaggio 2.1: Creare un set di autorizzazioni in RegionalAdmin IAM Identity Center**
Questo set di autorizzazioni verrà utilizzato per concedere a Nikki le autorizzazioni AWS dell'account necessarie per gestire le regioni dalla pagina **Account** all'interno di. Console di gestione AWS Tutte le altre autorizzazioni per visualizzare o gestire qualsiasi altra informazione relativa all'account di Nikki sono negate per impostazione predefinita.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. **In Autorizzazioni per **più account, scegli Set di autorizzazioni**.**
1. Scegli **Create permission set (Crea set di autorizzazioni)**.
1. **Nella pagina **Seleziona il tipo di set di autorizzazioni**, seleziona **Set di autorizzazioni personalizzato**, quindi scegli Avanti.**
1. Seleziona **Criterio in linea** per espanderlo, quindi crea un criterio per il set di autorizzazioni utilizzando i seguenti passaggi:
1. Scegli **Aggiungi nuova dichiarazione** per creare una dichiarazione politica.
1. In **Modifica rendiconto**, seleziona **Account** dall'elenco, quindi scegli le seguenti caselle di controllo.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Vicino a **Aggiungi una risorsa**, scegli **Aggiungi**.
1. Nella pagina **Aggiungi risorsa**, in **Tipo di risorsa**, seleziona **Tutte le risorse**, quindi scegli **Aggiungi risorsa**. Verifica che la tua politica sia simile alla seguente:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Scegli **Next (Successivo)**.
1. Nella pagina **Specificare i dettagli del set** di **autorizzazioni, in Nome del set** di autorizzazioni ****RegionalAdmin****, immettere e quindi scegliere **Avanti**.
1. Nella pagina **Rivedi e crea**, scegli **Crea**. Dovresti essere **RegionalAdmin**visualizzato nell'elenco dei set di autorizzazioni.
------
#### [ Step 2.2 > ]
**Passaggio 2.2: Creare un NikkiWolf utente corrispondente in IAM Identity Center**
Poiché il protocollo SAML non fornisce un meccanismo per interrogare l'IdP Microsoft Entra ID () e creare automaticamente gli utenti qui in IAM Identity Center, utilizza la seguente procedura per creare manualmente un utente in IAM Identity Center che rispecchi gli attributi principali dell'utente Nikki Wolfs in. Microsoft Entra ID
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Scegli **Utenti**, scegli **Aggiungi utente**, quindi fornisci le seguenti informazioni:
1. Sia per il **nome utente** che per l'**indirizzo e-mail**: inserisci la stessa ****NikkiWolf**@ *yourcompanydomain.extension*** che hai usato durante la creazione Microsoft Entra ID dell'utente. Ad esempio, *NikkiWolf*@*example.org*.
1. **Conferma indirizzo e-mail**: inserisci nuovamente l'indirizzo e-mail del passaggio precedente
1. **Nome: immettere ****Nikki******
1. **Cognome**: immettere ****Wolf****
1. **Nome visualizzato**: immettere ****Nikki Wolf****
1. Scegli **Avanti** due volte, quindi scegli **Aggiungi utente**.
1. Seleziona **Close (Chiudi)**.
------
#### [ Step 2.3 ]
**Passaggio 2.3: Assegna Nikki all' RegionalAdmin autorizzazione impostata in IAM Identity Center**
Qui si individuano le regioni Account AWS in cui Nikki amministrerà le regioni e quindi si assegnano le autorizzazioni necessarie per accedere correttamente al portale di accesso. AWS
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. In Autorizzazioni per **più** account, scegli. **Account AWS**
1. Seleziona la casella di controllo accanto al nome dell'account (ad esempio*Sandbox*) a cui desideri concedere a Nikki l'accesso alla gestione delle regioni, quindi scegli **Assegna** utenti e gruppi.
1. **Nella pagina **Assegna utenti e gruppi**, scegli la scheda **Utenti**, trova e seleziona la casella accanto a Nikki, quindi scegli Avanti.**
1.
**Example**
1. Nella pagina **Rivedi e invia**, esamina le selezioni effettuate, quindi scegli **Invia**.
------
## Passaggio 3: configura e verifica la connessione SAML
In questo passaggio, configuri la connessione SAML utilizzando l'applicazione AWS IAM Identity Center aziendale Microsoft Entra ID insieme alle impostazioni IdP esterne in IAM Identity Center.
------
#### [ Step 3.1 > ]
**Fase 3.1: Raccolta dei metadati richiesti del fornitore di servizi da IAM Identity Center**
In questo passaggio, avvierai la procedura guidata **Change identity source** dalla console IAM Identity Center e recupererai il file di metadati e l'URL di accesso AWS specifico che dovrai inserire durante la configurazione della connessione nel passaggio successivo. Microsoft Entra ID
1. **Nella console [IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli Impostazioni.**
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, quindi scegli **Azioni > Modifica l'origine dell'identità**.
1. Nella pagina **Scegli l'origine dell'identità**, seleziona **Provider di identità esterno**, quindi scegli **Avanti**.
1. Nella pagina **Configura provider di identità esterno**, in **Metadati del fornitore di servizi**, scegli **Default IPv4** o **Dual-stack**. Puoi scaricare il file di metadati del fornitore di servizi dopo aver completato la modifica dell'origine dell'identità.
1. Nella stessa sezione, individua il valore dell'**URL di AWS accesso al portale di accesso** e copialo. Dovrai inserire questo valore quando richiesto nel passaggio successivo.
1. Lasciate aperta questa pagina e passate al passaggio successivo (**`Step 3.2`**) per configurare l'applicazione AWS IAM Identity Center aziendale inMicrosoft Entra ID. Successivamente, tornerai a questa pagina per completare il processo.
------
#### [ Step 3.2 > ]
**Passaggio 3.2: Configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID**
Questa procedura stabilisce metà della connessione SAML sul lato Microsoft utilizzando i valori del file di metadati e dell'URL di accesso ottenuti nell'ultimo passaggio.
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. A sinistra, scegli **2. Configura Single Sign-on**.
1. **Nella pagina **Configura Single Sign-On con SAML, scegli SAML.**** **Quindi scegli **Carica file di metadati**, scegli l'icona della cartella, seleziona il file di metadati del fornitore di servizi che hai scaricato nel passaggio precedente, quindi scegli Aggiungi.**
1. Nella pagina di **configurazione SAML di base**, verifica che entrambi i valori **Identifier** e **Reply URL (Assertion Consumer Service URL)** puntino ora agli endpoint in. AWS
+ **Identificatore**: si tratta dell'URL dell'**emittente di IAM Identity Center.** Lo stesso valore si applica indipendentemente dal fatto che si utilizzino endpoint IPv4 -only o dual-stack.
+ **URL di risposta (Assertion Consumer Service URL)** - I valori qui includono sia gli endpoint IPv4 -only che quelli dual-stack provenienti da tutte le regioni abilitate del tuo IAM Identity Center. Puoi utilizzare l'URL ACS della regione principale come URL predefinito in modo che gli utenti vengano reindirizzati alla regione principale quando avviano l'applicazione Amazon Web Services da. Microsoft Entra ID Per ulteriori informazioni su ACS URLs, consulta. [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
+ (Facoltativo) Se hai replicato IAM Identity Center in altre regioni, puoi anche creare un'app Microsoft Entra ID per aggiungere segnalibri al portale di AWS accesso in ogni regione aggiuntiva. Ciò consente agli utenti di accedere al portale di AWS accesso in altre regioni da. Microsoft Entra ID Assicurati di concedere ai tuoi utenti le autorizzazioni per accedere alle app per i segnalibri in. Microsoft Entra ID Consulta [Microsoft Entra IDla documentazione](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) per maggiori dettagli. Se prevedi di replicare IAM Identity Center in altre regioni in un secondo momento, consulta [Microsoft Entra IDconfigurazione per l'accesso a regioni aggiuntive](#gs-microsoft-entra-multi-region) la pagina dedicata alle indicazioni su come abilitare l'accesso alle regioni aggiuntive dopo questa configurazione iniziale.
1. **In URL di accesso (opzionale)**, incolla il valore dell'**URL di AWS accesso al portale** di accesso che hai copiato nel passaggio precedente (**`Step 3.1`**), scegli **Salva**, quindi scegli **X** per chiudere la finestra.
1. Se ti viene richiesto di testare il Single Sign-On con AWS IAM Identity Center, scegli **No**, proverò più tardi. Effettuerai questa verifica in un passaggio successivo.
1. Nella pagina **Configura Single Sign-On con SAML**, nella sezione **Certificati SAML**, accanto a **Federation Metadata XML**, scegli **Scarica** per salvare il file di metadati sul tuo sistema. Dovrai caricare questo file quando richiesto nel passaggio successivo.
------
#### [ Step 3.3 > ]
**Passaggio 3.3: Configurazione dell'IdP Microsoft Entra ID esterno in AWS IAM Identity Center**
Qui tornerai alla procedura guidata **Change identity source** nella console IAM Identity Center per completare la seconda metà della connessione SAML. AWS
1. Torna alla sessione del browser da cui hai lasciato aperta **`Step 3.1`**nella console IAM Identity Center.
1. **Nella pagina **Configura provider di identità esterno**, nella sezione **Metadati del provider di identità**, in Metadati **SAML IdP**, scegli **il pulsante Scegli** file e seleziona il file di metadati del provider di identità Microsoft Entra ID da cui hai scaricato nel passaggio precedente, quindi scegli Apri.**
1. Scegli **Next (Successivo)**.
1. Dopo aver letto la dichiarazione di non responsabilità e aver iniziato a procedere, inserisci. ****ACCEPT****
1. Scegli **Cambia origine identità** per applicare le modifiche.
------
#### [ Step 3.4 > ]
**Passaggio 3.4: Verifica che Nikki venga reindirizzata al portale di accesso AWS **
In questa procedura, testerai la connessione SAML accedendo al **portale My Account** di Microsoft con le credenziali di Nikki. Una volta autenticata, selezionerai l' AWS IAM Identity Center applicazione che reindirizzerà Nikki al portale di accesso. AWS
1. Vai alla pagina di accesso [al portale Il mio account](https://myaccount.microsoft.com/) e inserisci l'indirizzo email completo di Nikki. Ad esempio, ***NikkiWolf**@**example.org*.
1. Quando richiesto, inserisci la password di Nikki, quindi scegli **Accedi**.
1. Nella pagina Il **mio account**, nel riquadro di navigazione a sinistra, scegli Le **mie** app.
1. Nella pagina Le **mie app**, seleziona l'app denominata **AWS IAM Identity Center**. Questo dovrebbe richiedere un'autenticazione aggiuntiva.
1. Nella pagina di accesso di Microsoft, scegli NikkiWolf le tue credenziali. Se ti viene richiesta una seconda volta l'autenticazione, scegli nuovamente NikkiWolf le tue credenziali. Questo dovrebbe reindirizzarti automaticamente al portale di accesso. AWS
**Suggerimento**
Se non vieni reindirizzato correttamente, verifica che il valore dell'**URL di AWS accesso al portale di accesso** che hai inserito **`Step 3.2`**corrisponda al valore da cui hai copiato. **`Step 3.1`**
1. Verifica che il display sia visualizzato. Account AWS
**Suggerimento**
Se la pagina è vuota e non viene Account AWS visualizzata, conferma che Nikki è stata assegnata correttamente al set di **RegionalAdmin**autorizzazioni (vedi **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Passaggio 3.5: Verifica il livello di accesso di Nikki per gestirla Account AWS**
In questo passaggio, controllerai il livello di accesso di Nikki per gestire le impostazioni della regione per lei. Account AWS**Nikki dovrebbe avere solo i privilegi di amministratore sufficienti per gestire le regioni dalla pagina Account.**
1. Nel portale di AWS accesso, scegli la scheda **Account** per visualizzare l'elenco degli account. Vengono visualizzati i nomi degli account IDs, gli account e gli indirizzi e-mail associati a tutti gli account in cui sono stati definiti i set di autorizzazioni.
1. Scegli il nome dell'account (ad esempio,*Sandbox*) a cui hai applicato il set di autorizzazioni (vedi **`Step 2.3`**). Ciò amplierà l'elenco dei set di autorizzazioni tra cui Nikki può scegliere per gestire il suo account.
1. Quindi **RegionalAdmin**scegli **Console di gestione** per assumere il ruolo definito nel set di **RegionalAdmin**autorizzazioni. Questo ti reindirizzerà alla Console di gestione AWS home page.
1. **Nell'angolo in alto a destra della console, scegli il nome del tuo account, quindi scegli Account.** **Verrai reindirizzato alla pagina Account.** Nota che in tutte le altre sezioni di questa pagina viene visualizzato un messaggio che indica che non disponi delle autorizzazioni necessarie per visualizzare o modificare tali impostazioni.
1. Nella pagina **Account**, scorri verso il basso fino alla sezione **AWS Regioni**. Seleziona una casella di controllo per ogni regione disponibile nella tabella. Nota che Nikki dispone delle autorizzazioni necessarie per **abilitare** o **disabilitare** l'elenco delle regioni per il suo account, come previsto.
**Ben fatto\$1**
I passaggi da 1 a 3 ti hanno aiutato a implementare e testare con successo la tua connessione SAML. Ora, per completare il tutorial, ti invitiamo a passare alla Fase 4 per implementare il provisioning automatico.
------
## Fase 4: Configurare e testare la sincronizzazione SCIM
In questo passaggio, configurerai il [provisioning automatico](provision-automatically.md) (sincronizzazione) delle informazioni utente da Microsoft Entra ID IAM Identity Center utilizzando il protocollo SCIM v2.0. Questa connessione viene configurata Microsoft Entra ID utilizzando l'endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center.
Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM Microsoft Entra ID Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. Microsoft Entra ID
I seguenti passaggi illustrano come abilitare il provisioning automatico degli utenti che risiedono principalmente in Microsoft Entra ID IAM Identity Center utilizzando l'app IAM Identity Center in. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Passaggio 4.1: Creare un secondo utente di prova in Microsoft Entra ID**
A scopo di test, creerai un nuovo utente (Richard Roe) inMicrosoft Entra ID. Successivamente, dopo aver impostato la sincronizzazione SCIM, verificherai che questo utente e tutti gli attributi pertinenti siano stati sincronizzati correttamente con IAM Identity Center.
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), vai a **Identità > Utenti > Tutti gli utenti**.
1. Seleziona **Nuovo utente**, quindi scegli **Crea nuovo utente** nella parte superiore dello schermo.
1. In **Nome principale utente**, inserisci ****RichRoe****, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, *RichRoe*@*example.org*.
1. In **Nome visualizzato**, immettere ****RichRoe****.
1. In **Password**, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.
1. Scegliete **Proprietà**, quindi fornite i seguenti valori:
+ **Nome** - Invio ****Richard****
+ **Cognome** - Invio ****Roe****
+ **Job title** - Enter ****Marketing Lead****
+ **Dipartimento** - Entra ****Sales****
+ **ID dipendente**: inserisci ****12345****
1. Scegli **Review \$1 create**, quindi scegli **Crea**.
------
#### [ Step 4.2 > ]
**Fase 4.2: Abilita il provisioning automatico in IAM Identity Center**
In questa procedura, utilizzerai la console IAM Identity Center per abilitare il provisioning automatico di utenti e gruppi provenienti da Microsoft Entra ID IAM Identity Center.
1. Apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) e scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, nella scheda **Identity source**, nota che il **metodo di provisioning** è impostato su **Manuale**.
1. **Individua la casella Informazioni sul **provisioning automatico**, quindi scegli Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia ciascuno dei valori per le seguenti opzioni. Sarà necessario incollarli nel passaggio successivo quando si configura il provisioning in. Microsoft Entra ID
1. **Endpoint SCIM**: ad esempio,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Doppio stack: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token di accesso**: scegli **Mostra token** per copiare il valore.
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti.
1. Scegli **Chiudi**.
1. Nella scheda **Identity source**, notate che il **metodo Provisioning** è ora impostato su **SCIM**.
------
#### [ Step 4.3 > ]
**Passaggio 4.3: Configurare il provisioning automatico in Microsoft Entra ID**
Ora che hai installato l'utente di RichRoe prova e hai abilitato SCIM in IAM Identity Center, puoi procedere con la configurazione delle impostazioni di sincronizzazione SCIM in. Microsoft Entra ID
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. Scegli **Provisioning**, in **Gestisci**, scegli nuovamente **Provisioning**.
1. **In **Provisioning Mode**, seleziona Automatico.**
1. In **Admin Credentials**, in **Tenant URL incolla il valore dell'URL** dell'**endpoint SCIM** che hai copiato in precedenza. **`Step 4.2`** **In **Secret Token**, incolla il valore del token di accesso.**
1. Scegli **Test Connection** (Connessione di prova). Dovresti visualizzare un messaggio che indica che le credenziali testate sono state autorizzate correttamente per abilitare il provisioning.
1. Scegli **Save** (Salva).
1. In **Gestisci**, scegli **Utenti e gruppi**, quindi scegli **Aggiungi** utente/gruppo.
1. **Nella pagina **Aggiungi assegnazione**, in **Utenti**, scegli Nessuno selezionato.**
1. Seleziona **RichRoe**, quindi scegli **Seleziona**.
1. Nella pagina **Add Assignment** (Aggiungi assegnazione), scegli **Assign** (Assegna).
1. Scegli **Panoramica**, quindi scegli **Avvia provisioning**.
------
#### [ Step 4.4 ]
**Passaggio 4.4: Verifica che la sincronizzazione sia avvenuta**
In questa sezione, verificherai che il provisioning dell'utente di Richard sia stato eseguito correttamente e che tutti gli attributi siano visualizzati in IAM Identity Center.
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Utenti**.
1. Nella pagina **Utenti**, dovresti vedere il tuo **RichRoe**utente visualizzato. Notate che nella colonna **Creato da** il valore è impostato su **SCIM.**
1. Scegliete **RichRoe**, in **Profilo**, verificate che i seguenti attributi siano stati copiati da. Microsoft Entra ID
+ **Nome** - ****Richard****
+ **Cognome** - ****Roe****
+ **Dipartimento** - ****Sales****
+ **Titolo** - ****Marketing Lead****
+ **Numero del dipendente** - ****12345****
Ora che l'utente di Richard è stato creato in IAM Identity Center, puoi assegnarlo a qualsiasi set di autorizzazioni in modo da controllare il livello di accesso che ha alle tue AWS risorse. Ad esempio, puoi **RichRoe**assegnare al set di **RegionalAdmin** autorizzazioni che hai usato in precedenza per concedere a Nikki le autorizzazioni per gestire le regioni (vedi **`Step 2.3`**) e poi testare il suo livello di accesso utilizzando. **`Step 3.5`**
**Complimenti\$1**
Hai configurato correttamente una connessione SAML tra Microsoft e AWS e hai verificato che il provisioning automatico funzioni per mantenere tutto sincronizzato. Ora puoi applicare ciò che hai imparato per configurare più agevolmente il tuo ambiente di produzione.
------
## *Fase 5: Configurazione di ABAC - Opzionale*
Ora che hai configurato correttamente SAML e SCIM, puoi scegliere facoltativamente di configurare il controllo degli accessi basato sugli attributi (ABAC). ABAC è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi.
ConMicrosoft Entra ID, puoi utilizzare uno dei due metodi seguenti per configurare ABAC da utilizzare con IAM Identity Center.
------
#### [ Configure user attributes in ID Microsoft Entra for access control in IAM Identity Center ]
**Configura gli attributi utente Microsoft Entra ID per il controllo degli accessi in IAM Identity Center**
Nella procedura seguente, determinerai quali attributi Microsoft Entra ID devono essere utilizzati da IAM Identity Center per gestire l'accesso alle tue AWS risorse. Una volta definiti, Microsoft Entra ID invia questi attributi a IAM Identity Center tramite asserzioni SAML. Dovrai quindi accedere [Creare un set di autorizzazioni](howtocreatepermissionset.md) a IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. Microsoft Entra ID
Prima di iniziare questa procedura, devi prima abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. Scegli **Single Sign-On**.
1. Nella sezione **Attributi e reclami**, scegli **Modifica**.
1. Nella pagina **Attributi e rivendicazioni**, procedi come segue:
1. Scegli **Aggiungi nuovo reclamo**
1. In **Nome**, inserisci `AccessControl:AttributeName`. Sostituiscilo *AttributeName* con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, `AccessControl:Department`.
1. Per **Namespace** (Spazio dei nomi), immettere ****https://aws.amazon.com/SAML/Attributes****.
1. In **Source (Origine)**, scegliere **Attribute (Attributo)**.
1. Per l'**attributo Source**, utilizza l'elenco a discesa per scegliere gli Microsoft Entra ID attributi utente. Ad esempio, `user.department`.
1. Ripeti il passaggio precedente per ogni attributo da inviare a IAM Identity Center nell'asserzione SAML.
1. Scegli **Save** (Salva).
------
#### [ Configure ABAC using IAM Identity Center ]
**Configura ABAC utilizzando IAM Identity Center**
Con questo metodo, utilizzi la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Puoi utilizzare questo elemento per passare gli attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`Department=billing`, usa il seguente attributo:
```
billing
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
------
## Assegna l'accesso a Account AWS
I seguenti passaggi sono necessari solo per concedere l'accesso a Account AWS . Questi passaggi non sono necessari per concedere l'accesso alle AWS applicazioni.
**Nota**
Per completare questo passaggio, avrai bisogno di un'istanza organizzativa di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
### Fase 1: IAM Identity Center: concedere Microsoft Entra ID agli utenti l'accesso agli account
1. Torna alla console **IAM Identity Center**. Nel riquadro di navigazione di IAM Identity Center, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina, la **struttura organizzativa** mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona **Assegna** utenti o gruppi.
1. Viene visualizzato il **flusso di lavoro Assegna utenti e gruppi**. Consiste in tre fasi:
1. Per il **passaggio 1: Seleziona utenti e gruppi** scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli **Successivo**.
1. Per il **Passaggio 2: Seleziona i set di autorizzazioni****, scegli Crea set** di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.
1. Per la **Fase 1: Seleziona il tipo di set di autorizzazioni**, completa quanto segue:
+ In **Tipo di set di autorizzazioni**, scegli **Set di autorizzazioni predefinito**.
+ In **Politica per il set di autorizzazioni predefinito, scegli**. **AdministratorAccess**
Scegli **Next (Successivo)**.
1. Per la **Fase 2: Specificate i dettagli del set di autorizzazioni**, mantenete le impostazioni predefinite e scegliete **Avanti**.
Le impostazioni predefinite creano un set di autorizzazioni denominato *AdministratorAccess* con la durata della sessione impostata su un'ora.
1. Per il **passaggio 3: revisione e creazione**, verifica che il **tipo di set di autorizzazioni** utilizzi la politica AWS gestita **AdministratorAccess**. Scegli **Create** (Crea). Nella pagina **Set di autorizzazioni** viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.
1. Nella scheda **Assegna utenti e gruppi** del browser, sei ancora al **Passaggio 2: Seleziona i set di autorizzazioni** da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.
1. Nell'area dei **set di autorizzazioni**, scegli il pulsante **Aggiorna**. Il set di *AdministratorAccess* autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo relativa al set di autorizzazioni, quindi scegli **Avanti**.
1. Per il **passaggio 3: revisione e invio**, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli **Invia**.
La pagina si aggiorna con un messaggio che indica Account AWS che stai configurando. Attendi il completamento del processo.
Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Una volta effettuato l'accesso, l'utente avrà la possibilità di scegliere il ruolo. *AdministratorAccess*
### Fase 2Microsoft Entra ID: Conferma l'accesso Microsoft Entra ID degli utenti alle AWS risorse
1. Torna alla **Microsoft Entra ID**console e accedi all'applicazione Sign-on basata su SAML di IAM Identity Center.
1. Seleziona **Utenti e gruppi e** seleziona **Aggiungi** utenti o gruppi. Aggiungerai all'Microsoft Entra IDapplicazione l'utente creato in questo tutorial nel passaggio 4. Aggiungendo l'utente, gli consentirai di accedere a AWS. Cerca l'utente che hai creato allo Step 4. Se seguissi questo passaggio, lo sarebbe**RichardRoe**.
1. Per una demo, consulta [Federare l'istanza esistente di IAM Identity Center](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) con Microsoft Entra ID
## Microsoft Entra IDconfigurazione per l'accesso a regioni aggiuntive di IAM Identity Center - Opzionale
Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS tramite le regioni aggiuntive. I passaggi seguenti ti guidano attraverso la procedura. Per ulteriori dettagli su questo argomento, inclusi i prerequisiti, vedere[Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
1. Recupera ACS URLs per le regioni aggiuntive dalla console IAM Identity Center come descritto in. [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. A sinistra, scegli **2. Configura Single Sign-on**.
1. Nella pagina **Configurazione SAML di base**, nella sezione **URL di risposta (Assertion Consumer Service URL)**, scegli **Aggiungi URL di risposta per l'URL ACS** di ogni regione aggiuntiva. Puoi mantenere gli URL ACS della regione principale come quelli predefiniti in modo che gli utenti continuino a essere reindirizzati alla regione principale quando avviano l'applicazione. AWS IAM Identity Center Microsoft Entra ID
1. Al termine dell'aggiunta dell'ACS URLs, salvate l'applicazione. **AWS IAM Identity Center**
1. Puoi creare un'app di segnalibri Microsoft Entra ID per il portale di AWS accesso in ogni regione aggiuntiva. Ciò consente agli utenti di accedere al portale di AWS accesso in altre regioni daMicrosoft Entra ID. Assicurati di concedere ai tuoi utenti le autorizzazioni per accedere alle app per i segnalibri in. Microsoft Entra ID Consulta [Microsoft Entra IDla documentazione](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) per maggiori dettagli.
1. Verifica di poter accedere al portale di AWS accesso in ogni regione aggiuntiva. Vai al [portale di AWS accesso URLs](multi-region-workforce-access.md#portal-endpoints) o avvia le app per aggiungere segnalibri daMicrosoft Entra ID.
## Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conMicrosoft Entra ID, consulta le seguenti sezioni:
+ [Problemi di sincronizzazione con IAM Identity Microsoft Entra ID Center](#entra-scim-troubleshooting)
+ [Alcuni utenti non riescono a sincronizzarsi in IAM Identity Center da un provider SCIM esterno](troubleshooting.md#issue2)
+ [Problemi relativi al contenuto delle asserzioni SAML create da IAM Identity Center](troubleshooting.md#issue1)
+ [Errore duplicato di utenti o gruppi durante il provisioning di utenti o gruppi con un provider di identità esterno](troubleshooting.md#duplicate-user-group-idp)
+ [Risorse aggiuntive](#entra-scim-troubleshooting-resources)
### Problemi di sincronizzazione con IAM Identity Microsoft Entra ID Center
Se riscontri problemi con Microsoft Entra ID gli utenti che non si sincronizzano con IAM Identity Center, ciò potrebbe essere dovuto a un problema di sintassi che IAM Identity Center ha segnalato quando viene aggiunto un nuovo utente a IAM Identity Center. Puoi confermarlo controllando i registri di Microsoft Entra ID controllo per verificare la presenza di eventi non riusciti, ad esempio un. `'Export'` Il **motivo dello stato** di questo evento indicherà:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Puoi anche verificare la presenza AWS CloudTrail di un evento non riuscito. Questo può essere fatto effettuando una ricerca nella console **Event History** o CloudTrail utilizzando il seguente filtro:
```
"eventName":"CreateUser"
```
L'errore nell' CloudTrail evento indicherà quanto segue:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
In definitiva, questa eccezione significa che uno dei valori trasmessi Microsoft Entra ID conteneva più valori del previsto. La soluzione consiste nel rivedere gli attributi dell'utente inMicrosoft Entra ID, assicurandosi che nessuno contenga valori duplicati. **Un esempio comune di valori duplicati è la presenza di più valori per numeri di contatto come **cellulare**, **ufficio** e fax.** Sebbene siano valori separati, vengono tutti passati a IAM Identity Center con l'unico attributo principale **phoneNumbers**.
[Per suggerimenti generali sulla risoluzione dei problemi SCIM, consulta Risoluzione dei problemi.](troubleshooting.md#issue2)
### Microsoft Entra IDSincronizzazione dell'account ospite
Se desideri sincronizzare i tuoi utenti Microsoft Entra ID ospiti con IAM Identity Center, consulta la seguente procedura.
Microsoft Entra IDl'email degli utenti ospiti è diversa da quella Microsoft Entra ID degli utenti. Questa differenza causa problemi durante il tentativo di sincronizzare gli utenti Microsoft Entra ID guest con IAM Identity Center. Ad esempio, consulta il seguente indirizzo email per un utente ospite:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center non prevede che l'indirizzo e-mail contenga il *\$1EXT\$1@domain* formato.
1. Accedi all'interfaccia di [amministrazione di Microsoft Entra](https://entra.microsoft.com/) e vai a **Identità** > **Applicazioni** > **Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**
1. Vai alla scheda **Single Sign On** nel riquadro a sinistra.
1. Seleziona **Modifica** che appare accanto a **Attributi utente e reclami**.
1. Seleziona **Identificatore utente univoco (ID nome)** dopo i **reclami obbligatori**.
1. Creerai due condizioni di reclamo per i tuoi Microsoft Entra ID utenti e gli utenti ospiti:
1. Per Microsoft Entra ID gli utenti, crea un tipo di utente per i membri con l'attributo source impostato su` user.userprincipalname`.
1. Per gli utenti Microsoft Entra ID ospiti, crea un tipo di utente per ospiti esterni con l'attributo source impostato su`user.mail`.
1. Seleziona **Salva** e riprova ad accedere come utente Microsoft Entra ID ospite.
### Risorse aggiuntive
+ Per suggerimenti generali sulla risoluzione dei problemi SCIM, consulta. [Risoluzione dei problemi relativi a IAM Identity Center](troubleshooting.md)
+ Per la Microsoft Entra ID risoluzione dei problemi, consultate la [Microsoftdocumentazione](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Per ulteriori informazioni sulla federazione tra più utenti Account AWS, consulta [Proteggere Account AWS con Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
+ [AWS re:Post](https://repost.aws/)- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ [Supporto AWS](https://aws.amazon.com/premiumsupport/)- Richiedi supporto tecnico