As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Introdução a uma fonte de Centro de Identidade do AWS IAM identidade (console)
<a name="getting-started-aws-sso"></a>

Uma fonte de Centro de Identidade do AWS IAM identidade contém informações sobre seus usuários e grupos. Isso é útil para configurar a filtragem de contexto do usuário, que Amazon Kendra filtra os resultados da pesquisa para diferentes usuários com base no acesso do usuário ou do grupo aos documentos.

Para criar uma fonte de identidade do IAM Identity Center, ative o IAM Identity Center e crie uma organização no AWS Organizations. Ao ativar o IAM Identity Center e criar uma organização pela primeira vez, ele automaticamente usa como padrão o diretório do Identity Center como fonte de identidade. Você pode mudar para o Active Directory (gerenciado ou autogerenciado pela Amazon) ou um provedor de identidade externo como sua fonte de identidade. Você deve seguir a orientação correta para isso, consulte [Alteração da fonte de identidade do IAM Identity Center](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html). Você pode ter somente uma fonte de identidade por organização.

Para que usuários e grupos tenham diferentes níveis de acesso aos documentos, inclua os usuários e os grupos na sua lista de controle de acesso ao ingerir documentos no índice. Isso permite que os usuários e os grupos pesquisem documentos no Amazon Kendra de acordo com o nível de acesso. Ao emitir uma consulta, o ID do usuário precisa corresponder exatamente ao nome do usuário no IAM Identity Center.

Você também deve conceder as permissões necessárias para usar o IAM Identity Center com Amazon Kendra. Para obter mais informações, consulte [Funções para o IAM Identity Center do IAM](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso).

**Para configurar uma fonte de identidade do IAM Identity Center**

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Ativar o IAM Identity Center** e, em seguida, escolha **Criar AWS organização**.

   O diretório do Identity Center é criado por padrão e um e-mail é enviado a você para verificar o endereço de e-mail associado à organização.

1. Para adicionar um grupo à sua AWS organização, no painel de navegação, escolha **Grupos**.

1. Na **página Grupos**, escolha **Criar grupo** e insira um nome e uma descrição para o grupo na caixa de diálogo.. Escolha **Criar**.

1. Para adicionar um usuário à sua organização, no painel de navegação, escolha **Usuários**.

1. Na página **Usuários**, selecione **Adicionar usuário**. Em **Detalhes do usuário**, especifique todos os campos obrigatórios. Em **Senha**, escolha **Enviar um e-mail para o usuário**. Escolha **Próximo**.

1. Para adicionar um usuário a um grupo, escolha **Grupos** e selecione um grupo.

1. Na página **Detalhes** do grupo, em **Membros do grupo**, escolha **Adicionar usuários**.

1. Na página **Adicionar usuários ao grupo**, localize os usuários que você deseja adicionar como membros do grupo. É possível selecionar vários usuários para adicionar ao grupo.

1. Para sincronizar sua lista de usuários e grupos com o IAM Identity Center, altere a fonte de identidade para Active Directory ou provedor de identidade externo.

   O diretório do Identity Center é a fonte de identidade padrão e exige adicionar manualmente os usuários e os grupos usando essa fonte se você não tiver sua lista gerenciada por um provedor. Você deve seguir a orientação correta para isso, consulte [Alteração da fonte de identidade do IAM Identity Center](https://docs.aws.amazon.com/kendra/latest/dg/changing-aws-sso-source.html).

**nota**  
Se estiver usando o Active Directory ou um provedor de identidade externo como fonte de identidade, mapeie os endereços de e-mail dos usuários para os nomes de usuário do IAM Identity Center ao especificar o protocolo System for Cross-domain Identity Management (SCIM) . Para obter mais informações, consulte o [Guia do IAM Identity Center no SCIM para ativar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html).

Depois de configurar a fonte de identidade do IAM Identity Center, você pode ativá-la no console ao criar ou editar o índice. Acesse **Controle de acesso do usuário** nas configurações do índice e edite as configurações para permitir a busca de informações do grupo de usuários no IAM Identity Center.

Você também pode ativar o IAM Identity Center usando o [UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)objeto. Você fornece `UserGroupResolutionMode` o anúncio `AWS_SSO` e cria uma IAM função que dá permissão para chamar`sso:ListDirectoryAssociations`,`sso-directory:SearchUsers`,`sso-directory:ListGroupsForUser`,`sso-directory:DescribeGroups`.

**Atenção**  
Amazon Kendra atualmente não suporta o uso `UserGroupResolutionConfiguration` com uma conta de membro da AWS organização para sua fonte de identidade do IAM Identity Center. É necessário criar o índice na conta de gerenciamento da organização para usar o `UserGroupResolutionConfiguration`.

Veja a seguir uma visão geral de como configurar uma fonte de dados com `UserGroupResolutionConfiguration` e controle de acesso do usuário para filtrar os resultados da pesquisa no contexto do usuário. Isso pressupõe que você já tenha criado um índice e uma IAM função para índices. Você cria um índice e fornece a IAM função usando a [CreateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateIndex.html)API.

**Configurando uma fonte de dados com `UserGroupResolutionConfiguration` e filtragem de contexto de usuário**

1. Crie uma [função do IAM](https://docs.aws.amazon.com/kendra/latest/dg/iam-roles.html#iam-roles-aws-sso) que dê permissão para acessar sua fonte de identidade do IAM Identity Center.

1. Configure [https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html)definindo o modo `AWS_SSO` e ligue [UpdateIndex](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html)para atualizar seu índice para usar o IAM Identity Center.

1. Se você quiser usar o controle de acesso do usuário baseado em tokens para filtrar os resultados da pesquisa no contexto do usuário, [UserContextPolicy](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UpdateIndex.html#Kendra-UpdateIndex-request-UserContextPolicy)defina como `USER_TOKEN` quando você ligar. `UpdateIndex` Caso contrário, Amazon Kendra rastreia a lista de controle de acesso de cada um dos seus documentos para a maioria dos conectores de fonte de dados. Você também pode filtrar os resultados da pesquisa no contexto do usuário na API [Consulta](https://docs.aws.amazon.com/kendra/latest/APIReference/API_Query.html) fornecendo informações do usuário e do grupo no `UserContext`. Você também pode mapear usuários para seus grupos usando [PutPrincipalMapping](https://docs.aws.amazon.com/kendra/latest/APIReference/API_PutPrincipalMapping.html)para que você só precise fornecer o ID do usuário ao emitir a consulta.

1. Crie uma [função do IAM](https://docs.aws.amazon.com//kendra/latest/dg/iam-roles.html#iam-roles-ds) que conceda permissão para acessar a fonte de dados.

1. [Configurar](https://docs.aws.amazon.com/kendra/latest/APIReference/API_DataSourceConfiguration.html) a fonte de dados Fornece as informações de conexão necessárias para se conectar a fonte de dados.

1. Crie uma fonte de dados usando a [CreateDataSource](https://docs.aws.amazon.com/kendra/latest/APIReference/API_CreateDataSource.html)API. Forneça o objeto do `DataSourceConfiguration`, que inclui `TemplateConfiguration`, a ID do seu índice, a função do IAM da fonte de dados, o tipo da fonte de dados e dê um nome à fonte de dados. Você também pode atualizar a fonte de dados.

# Para alterar uma fonte de identidade do IAM Identity Center
<a name="changing-aws-sso-source"></a>

**Atenção**  
Alterar sua fonte de identidade nas **Configurações** do IAM Identity Center pode afetar a preservação das informações do usuário e do grupo. Para fazer isso com segurança, é recomendável que você revise as [Considerações para alterar a fonte de identidade](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-considerations.html). Quando você altera a fonte de identidade, uma nova ID da fonte de identidade é gerada. Verifique se você está usando a ID correta antes de ativar o `AWS_SSO` modo [UserGroupResolutionConfiguration](https://docs.aws.amazon.com/kendra/latest/APIReference/API_UserGroupResolutionConfiguration.html).

**Para alterar uma fonte de identidade do IAM Identity Center**

1. Abra o [console do Centro de Identidade do IAM](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações**.

1. Na página **Configurações**, em **Fonte de identidade**, escolha **Alterar**.

1. Na página **Alterar fonte de identidade**, selecione sua fonte de identidade preferida e escolha **Próximo**.