Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM
IAM Identity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi dal tuo provider di identità (IdP) a IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente del tuo provider di identità (IdP) agli attributi denominati in IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e il tuo IdP. Puoi configurare questa connessione nel tuo IdP utilizzando il tuo endpoint SCIM per IAM Identity Center e un token bearer che crei in IAM Identity Center.
**Topics**
+ [Considerazioni sull'utilizzo del provisioning automatico](#auto-provisioning-considerations)
+ [Come monitorare la scadenza dei token di accesso](#access-token-expiry)
+ [Genera un token di accesso](generate-token.md)
+ [Abilita il provisioning automatico](how-to-with-scim.md)
+ [Eliminare un token di accesso](delete-token.md)
+ [Disabilita il provisioning automatico](disable-provisioning.md)
+ [Ruota un token di accesso](rotate-token.md)
+ [Verifica e riconcilia le risorse con provisioning automatico](reconcile-auto-provisioning.md)
+ [Fornitura manuale](#provision-manually)
## Considerazioni sull'utilizzo del provisioning automatico
Prima di iniziare a implementare SCIM, ti consigliamo di esaminare innanzitutto le seguenti importanti considerazioni su come funziona con IAM Identity Center. Per ulteriori considerazioni sul provisioning, consulta la sezione [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) applicabile al tuo IdP.
+ Se stai fornendo un indirizzo email principale, il valore di questo attributo deve essere unico per ogni utente. In alcuni casi IdPs, l'indirizzo e-mail principale potrebbe non essere un indirizzo e-mail reale. Ad esempio, potrebbe essere un Universal Principal Name (UPN) che assomiglia solo a un'e-mail. Questi IdPs possono avere un indirizzo e-mail secondario o «altro» che contiene l'indirizzo e-mail reale dell'utente. Devi configurare SCIM nel tuo IdP per mappare l'indirizzo email univoco non NULL all'attributo dell'indirizzo email primario di IAM Identity Center. Inoltre, devi mappare l'identificatore di accesso univoco non NULL degli utenti all'attributo del nome utente di IAM Identity Center. Verifica se il tuo IdP ha un unico valore che è sia l'identificatore di accesso che il nome e-mail dell'utente. In tal caso, puoi mappare il campo IdP sia all'e-mail principale di IAM Identity Center che al nome utente IAM Identity Center.
+ Affinché la sincronizzazione SCIM funzioni, ogni utente deve avere un valore **specificato per nome**, **cognome, nome** **utente** e **nome visualizzato**. Se uno di questi valori non è presente in un utente, a quell'utente non verrà assegnato alcun ruolo.
+ Se devi utilizzare applicazioni di terze parti, dovrai prima mappare l'attributo del soggetto SAML in uscita all'attributo del nome utente. Se l'applicazione di terze parti richiede un indirizzo e-mail instradabile, devi fornire l'attributo email al tuo IdP.
+ Gli intervalli di provisioning e aggiornamento di SCIM sono controllati dal tuo provider di identità. Le modifiche agli utenti e ai gruppi nel tuo provider di identità si riflettono in IAM Identity Center solo dopo che il provider di identità ha inviato tali modifiche a IAM Identity Center. Rivolgiti al tuo provider di identità per i dettagli sulla frequenza degli aggiornamenti di utenti e gruppi.
+ Attualmente, SCIM non fornisce attributi multivalore (come email o numeri di telefono multipli per un determinato utente). I tentativi di sincronizzare gli attributi multivalore in IAM Identity Center con SCIM falliranno. Per evitare errori, assicurati che venga passato un solo valore per ogni attributo. Se hai utenti con attributi multivalore, rimuovi o modifica le mappature degli attributi duplicati in SCIM presso il tuo IdP per la connessione a IAM Identity Center.
+ Verifica che la mappatura `externalId` SCIM del tuo IdP corrisponda a un valore unico, sempre presente e con meno probabilità di modifica per i tuoi utenti. Ad esempio, il tuo IdP potrebbe fornire un identificatore garantito `objectId` o di altro tipo che non è influenzato dalle modifiche agli attributi utente come nome ed email. In tal caso, puoi mappare quel valore nel campo `externalId` SCIM. In questo modo i tuoi utenti non perderanno AWS diritti, assegnazioni o autorizzazioni se devi cambiare il loro nome o indirizzo email.
+ Utenti che non sono ancora stati assegnati a un'applicazione o che non Account AWS possono essere inseriti in IAM Identity Center. Per sincronizzare utenti e gruppi, assicurati che siano assegnati all'applicazione o a un'altra configurazione che rappresenti la connessione del tuo IdP a IAM Identity Center.
+ Il comportamento di deprovisioning degli utenti è gestito dal provider di identità e può variare in base all'implementazione. Rivolgiti al tuo provider di identità per i dettagli sul deprovisioning degli utenti.
+ Dopo aver configurato il provisioning automatico con SCIM per il tuo IdP, non puoi più aggiungere o modificare utenti nella console IAM Identity Center. Se devi aggiungere o modificare un utente, devi farlo dalla tua fonte di identità o IdP esterna.
Per ulteriori informazioni sull'implementazione SCIM di IAM Identity Center, consulta la [IAM Identity Center SCIM Implementation](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Developer Guide.
## Come monitorare la scadenza dei token di accesso
I token di accesso SCIM vengono generati con una validità di un anno. Quando il token di accesso SCIM è impostato per scadere tra 90 giorni o meno, ti AWS invia promemoria nella console IAM Identity Center e tramite la AWS Health Dashboard per aiutarti a ruotare il token. Ruotando il token di accesso SCIM prima della scadenza, garantisci continuamente la fornitura automatica delle informazioni su utenti e gruppi. Se il token di accesso SCIM scade, la sincronizzazione delle informazioni su utenti e gruppi dal provider di identità in IAM Identity Center si interrompe, quindi il provisioning automatico non può più effettuare aggiornamenti o creare ed eliminare informazioni. L'interruzione del provisioning automatico può comportare maggiori rischi per la sicurezza e influire sull'accesso ai servizi.
I promemoria della console di Identity Center persistono finché non si ruota il token di accesso SCIM e si eliminano i token di accesso non utilizzati o scaduti. Gli eventi del AWS Health Dashboard vengono rinnovati settimanalmente da 90 a 60 giorni, due volte a settimana da 60 a 30 giorni, tre volte alla settimana da 30 a 15 giorni e ogni giorno da 15 giorni fino alla scadenza dei token di accesso SCIM.
# Genera un token di accesso
Utilizza la seguente procedura per generare un nuovo token di accesso nella console IAM Identity Center.
**Nota**
Questa procedura richiede che il provisioning automatico sia stato precedentemente abilitato. Per ulteriori informazioni, consulta [Abilita il provisioning automatico](how-to-with-scim.md).
**Per generare un nuovo token di accesso**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. **Nella pagina **Provisioning automatico**, in Token di **accesso, scegli Genera token**.**
1. Nella finestra di dialogo **Genera nuovo token di accesso**, copia il nuovo token di accesso e salvalo in un posto sicuro.
1. Scegli **Chiudi**.
# Abilita il provisioning automatico
Utilizza la seguente procedura per abilitare il provisioning automatico di utenti e gruppi dal tuo IdP a IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare questa procedura, ti consigliamo di esaminare innanzitutto le considerazioni sul provisioning applicabili al tuo IdP. Per ulteriori informazioni, consulta la pagina [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) dedicata al tuo IdP.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli più tardi quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Dopo aver completato questa procedura, è necessario configurare il provisioning automatico nel proprio IdP. Per ulteriori informazioni, consulta la pagina [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) dedicata al tuo IdP.
# Eliminare un token di accesso
Utilizza la seguente procedura per eliminare un token di accesso esistente nella console IAM Identity Center.
**Per eliminare un token di accesso esistente**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. **Nella pagina **Provisioning automatico**, in **Token di accesso**, seleziona il token di accesso che desideri eliminare, quindi scegli Elimina.**
1. Nella finestra di dialogo **Elimina token di accesso**, esaminate le informazioni, digitate **DELETE**, quindi scegliete **Elimina token di accesso**.
# Disabilita il provisioning automatico
Utilizza la seguente procedura per disabilitare il provisioning automatico nella console IAM Identity Center.
**Importante**
È necessario eliminare il token di accesso prima di iniziare questa procedura. Per ulteriori informazioni, consulta [Eliminare un token di accesso](delete-token.md).
**Per disabilitare il provisioning automatico nella console IAM Identity Center**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. **Nella pagina **Provisioning automatico**, scegli Disabilita.**
1. Nella finestra di dialogo **Disabilita il provisioning automatico**, esaminate le informazioni, digitate **DISABLE, quindi scegliete Disabilita** **il provisioning automatico**.
# Ruota un token di accesso
Una directory IAM Identity Center supporta fino a due token di accesso alla volta. Per generare un token di accesso aggiuntivo prima di qualsiasi rotazione, elimina tutti i token di accesso scaduti o non utilizzati.
Se il token di accesso SCIM sta per scadere, puoi utilizzare la seguente procedura per ruotare un token di accesso esistente nella console IAM Identity Center.
**Per ruotare un token di accesso**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. Nella pagina **Provisioning automatico**, in **Token di accesso**, prendi nota dell'ID del token che desideri ruotare.
1. Segui i passaggi indicati [Genera un token di accesso](generate-token.md) per creare un nuovo token. Se hai già creato il numero massimo di token di accesso SCIM, dovrai prima eliminare uno dei token esistenti.
1. Vai al sito web del tuo provider di identità e configura il nuovo token di accesso per il provisioning SCIM, quindi verifica la connettività a IAM Identity Center utilizzando il nuovo token di accesso SCIM. Dopo aver confermato che il provisioning funziona correttamente utilizzando il nuovo token, continua con il passaggio successivo di questa procedura.
1. Segui i passaggi indicati [Eliminare un token di accesso](delete-token.md) per eliminare il vecchio token di accesso annotato in precedenza. Puoi anche utilizzare la data di creazione del token come suggerimento su quale token rimuovere.
# Verifica e riconcilia le risorse con provisioning automatico
SCIM ti consente di effettuare automaticamente il provisioning di utenti, gruppi e appartenenze ai gruppi dalla tua fonte di identità a IAM Identity Center. Questa guida ti aiuta a verificare e riconciliare queste risorse per mantenere una sincronizzazione accurata.
## Perché controllare le tue risorse?
Un controllo regolare aiuta a garantire che i controlli di accesso rimangano accurati e che il tuo provider di identità (IdP) rimanga correttamente sincronizzato con IAM Identity Center. Ciò è particolarmente importante per la conformità alla sicurezza e la gestione degli accessi.
Risorse che puoi controllare:
+ Utenti
+ Gruppi
+ Appartenenze ai gruppi
È possibile utilizzare i [comandi AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)o CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) per eseguire il controllo e la riconciliazione. Negli esempi seguenti vengono utilizzati AWS CLI i comandi. Per le alternative alle API, fai riferimento alle [operazioni corrispondenti](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) nel *riferimento all'API di Identity Store*.
## Come controllare le risorse
Ecco alcuni esempi su come controllare queste risorse utilizzando AWS CLI i comandi.
Prima di iniziare, assicurati di disporre dei seguenti elementi:
+ Accesso dell'amministratore a IAM Identity Center.
+ AWS CLI installato e configurato. Per informazioni, consulta la [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorizzazioni IAM richieste per i comandi Identity Store.
### Fase 1: Elenca le risorse correnti
È possibile visualizzare le risorse correnti utilizzando il AWS CLI.
**Nota**
Quando si utilizza AWS CLI, l'impaginazione viene gestita automaticamente a meno che non venga specificato. `--no-paginate` Se stai chiamando direttamente l'API (ad esempio, con un SDK o uno script personalizzato), gestiscila `NextToken` nella risposta. In questo modo puoi recuperare tutti i risultati su più pagine.
**Example per gli utenti**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example per gruppi**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example per appartenenze a gruppi**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Fase 2: confrontalo con la fonte della tua identità
Confronta le risorse elencate con la tua fonte di identità per identificare eventuali discrepanze, ad esempio:
+ Risorse mancanti che devono essere fornite in IAM Identity Center.
+ Risorse aggiuntive che devono essere rimosse da IAM Identity Center.
**Example per gli utenti**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example per gruppi**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example per appartenenze a gruppi**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considerazioni
+ I comandi sono soggetti alle [quote di servizio e alla limitazione delle API](limits.md#ssothrottlelimits).
+ Se riscontri molte differenze durante la riconciliazione, apporta piccole modifiche graduali a Identity Store. AWS Questo ti aiuta a evitare errori che riguardano più utenti.
+ La sincronizzazione SCIM può ignorare le modifiche manuali. Controlla le impostazioni del tuo IdP per comprendere questo comportamento.
## Fornitura manuale
Alcuni IdPs non dispongono del supporto System for Cross-domain Identity Management (SCIM) o hanno un'implementazione SCIM incompatibile. In questi casi, puoi effettuare manualmente il provisioning degli utenti tramite la console IAM Identity Center. Quando aggiungi utenti a IAM Identity Center, assicurati di impostare il nome utente in modo che sia identico al nome utente che hai nel tuo IdP. Come minimo, devi avere un indirizzo email e un nome utente univoci. Per ulteriori informazioni, consulta [Unicità del nome utente e dell'indirizzo e-mail](users-groups-provisioning.md#username-email-unique).
È inoltre necessario gestire tutti i gruppi manualmente in IAM Identity Center. Per fare ciò, crei i gruppi e li aggiungi utilizzando la console IAM Identity Center. Non è necessario che questi gruppi corrispondano a quelli esistenti nel tuo IdP. Per ulteriori informazioni, consulta [Gruppi](users-groups-provisioning.md#groups-concept).