As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar SAML e SCIM com o Microsoft Entra ID e o IAM Identity Center
Centro de Identidade do AWS IAM oferece suporte à integração com a [Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md), bem como ao [provisionamento automático](provision-automatically.md) (sincronização) de informações de usuários e grupos Microsoft Entra ID (anteriormente conhecido como Azure Active Directory ouAzure AD) para o IAM Identity Center usando o protocolo [System for Cross-domain](scim-profile-saml.md#scim-profile) Identity Management (SCIM) 2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
**Objetivo**
Neste tutorial, você configurará um laboratório de teste e uma conexão SAML e um provisionamento SCIM entre o Microsoft Entra ID e o IAM Identity Center. Durante as etapas iniciais de preparação, você criará um usuário de teste (Nikki Wolf) no Microsoft Entra ID e no IAM Identity Center que será usado para testar a conexão SAML nas duas direções. Posteriormente, como parte das etapas do SCIM, você criará um usuário de teste diferente (Richard Roe) para verificar se os novos atributos do Microsoft Entra ID estão sendo sincronizados com o IAM Identity Center como esperado.
## Pré-requisitos
Antes de começar este tutorial, você precisará definir o seguinte:
+ Um locatário do Microsoft Entra ID. Para obter mais informações, consulte [Guia de início rápido: configurar um locatário](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) na documentação da Microsoft.
+ Uma conta Centro de Identidade do AWS IAM ativada. Para obter mais informações, consulte [O que é o Centro de Identidade do IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
## Considerações
Estas são considerações importantes sobre o Microsoft Entra ID que podem afetar a forma como você planeja implementar o [provisionamento automático](provision-automatically.md) com o IAM Identity Center em seu ambiente de produção usando o protocolo SCIM v2.
**Provisionamento automático**
Antes de começar a implantar o SCIM, é recomendável que você revise as [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations).
**Atributos para controle de acesso**
Os atributos para controle de acesso são usados em políticas de permissão que determinam quem em sua fonte de identidade pode acessar seus AWS recursos. Se um atributo for removido de um usuário em Microsoft Entra ID, esse atributo não será removido do usuário correspondente no IAM Identity Center. Esta é uma limitação conhecida do Microsoft Entra ID. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.
**Grupos aninhados**
O serviço de provisionamento de usuários do Microsoft Entra ID não pode ler nem provisionar usuários em grupos aninhados. Somente usuários que são membros imediatos de um grupo atribuído explicitamente podem ser lidos e provisionados. O Microsoft Entra ID não descompacta recursivamente as associações de grupos ou usuários atribuídos indiretamente (usuários ou grupos que são membros de um grupo atribuído diretamente). Para obter mais informações, consulte [Assignment-based scoping](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) na documentação do Microsoft. Ou então, você pode usar a [Sincronização do AD configurável do IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) para integrar grupos do Active Directory com o IAM Identity Center.
**Grupos dinâmicos**
O serviço de provisionamento de usuários do Microsoft Entra ID não pode ler nem provisionar usuários em [grupos dinâmicos](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Veja abaixo um exemplo que mostra a estrutura de usuários e grupos ao usar grupos dinâmicos e como eles são exibidos no IAM Identity Center. Esses usuários e grupos foram provisionados do IAM Identity Center do Microsoft Entra ID via SCIM.
Por exemplo, se a estrutura do Microsoft Entra ID para grupos dinâmicos for a seguinte:
1. Grupo A com membros ua1, ua2
1. Grupo B com membros ub1
1. Grupo C com membros uc1
1. Grupo K com uma regra para incluir membros dos Grupos A, B, C
1. Grupo L com uma regra para incluir membros do Grupos B e C
Depois que as informações do usuário e do grupo forem provisionadas do Microsoft Entra ID para o IAM Identity Center por meio do SCIM, a estrutura será a seguinte:
1. Grupo A com membros ua1, ua2
1. Grupo B com membros ub1
1. Grupo C com membros uc1
1. Grupo K com membros ua1, ua2, ub1, uc1
1. Grupo L com membros ub1, uc1
Ao configurar o provisionamento automático usando grupos dinâmicos, mantenha as seguintes considerações em mente.
+ Um grupo dinâmico pode incluir um grupo aninhado. No entanto, o serviço de provisionamento do Microsoft Entra ID não nivela o grupo aninhado. Por exemplo, se a seguinte estrutura do Microsoft Entra ID para grupos dinâmicos:
+ O grupo A é pai do grupo B.
+ O Grupo A tem ua1 como membro.
+ O grupo B tem ub1 como membro.
O grupo dinâmico que inclui o Grupo A incluirá apenas os membros diretos do grupo A (ou seja, ua1). Não incluirá recursivamente membros do grupo B.
+ Os grupos dinâmicos não podem conter outros grupos dinâmicos. Para obter mais informações, consulte [ Preview limitations](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) na documentação do Microsoft.
## Etapa 1: preparar o locatário da Microsoft
Nesta etapa, você explicará como instalar e configurar seu aplicativo Centro de Identidade do AWS IAM corporativo e atribuir acesso a um usuário de Microsoft Entra ID teste recém-criado.
------
#### [ Step 1.1 > ]
**Etapa 1.1: Configurar o aplicativo Centro de Identidade do AWS IAM corporativo no Microsoft Entra ID**
Neste procedimento, você instala o aplicativo Centro de Identidade do AWS IAM corporativo emMicrosoft Entra ID. Posteriormente, você precisará desse aplicativo para configurar sua conexão SAML com AWS.
1. Faça login no [Centro de administração do Microsoft Entra](https://entra.microsoft.com/) como, no mínimo, administrador de aplicações de nuvem.
1. Navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Nova aplicação**.
1. Na página **Procurar na galeria do Microsoft Entra**, insira ****Centro de Identidade do AWS IAM**** na caixa de pesquisa.
1. Selecione **Centro de Identidade do AWS IAM** nos resultados.
1. Escolha **Criar**.
------
#### [ Step 1.2 > ]
**Etapa 1.2: criar um usuário de teste do Microsoft Entra ID**
Nikki Wolf é o nome do usuário de teste do Microsoft Entra ID que você criará neste procedimento.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Usuários > Todos os usuários**.
1. Selecione **Novo usuário** e escolha **Criar novo usuário** na parte superior da tela.
1. Em **Nome da entidade principal do usuário**, insira ** **NikkiWolf**** e selecione o domínio e a extensão de sua preferência. Por exemplo, *NikkiWolf*@*example.org*.
1. Em **Nome de exibição**, insira ****NikkiWolf****.
1. Em **Senha**, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.
1. Escolha **Propriedades**, em **Nome**, insira ****Nikki****. Em **Sobrenome**, insira ****Wolf****.
1. Selecione **Revisar \$1 criar** e depois **Criar**.
------
#### [ Step 1.3 ]
**Etapa 1.3: Teste a experiência de Nikki antes de atribuir suas permissões a Centro de Identidade do AWS IAM**
Neste procedimento, você verificará se Nikki consegue fazer login no [portal Minha conta](https://myaccount.microsoft.com/) da Microsoft.
1. No mesmo navegador, abra uma nova guia, vá até a página de login do [portal Minha conta](https://myaccount.microsoft.com/) e insira o endereço de e-mail completo de Nikki. Por exemplo, *NikkiWolf*@*example.org*.
1. Quando solicitado, insira a senha de Nikki e escolha **Fazer login**. Se essa for uma senha gerada automaticamente, será solicitado que você a altere.
1. Na página **Ação necessária**, escolha **Perguntar mais tarde** para ignorar o prompt de métodos de segurança adicionais.
1. Na página **Minha conta**, no painel de navegação esquerdo, escolha **Minhas aplicações**. Observe que, além dos **Complementos**, nenhuma aplicação é exibida no momento. Você adicionará uma aplicação do **Centro de Identidade do AWS IAM** que aparecerá aqui em uma etapa posterior.
------
#### [ Step 1.4 ]
**Etapa 1.4: atribuir permissões a Nikki no Microsoft Entra ID**
Agora que você verificou que Nikki pode acessar com sucesso o **portal Minha conta**, use este procedimento para atribuir o usuário dela à aplicação **Centro de Identidade do AWS IAM**.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM** na lista.
1. No lado esquerdo, escolha **Usuários e grupos**.
1. Escolha **Add user/group** (Adicionar usuário/grupo). Você pode ignorar a mensagem informando que os grupos não estão disponíveis para atribuição. Este tutorial não usa grupos para atribuição.
1. Na página **Adicionar atribuição**, em **Usuários**, escolha **Nenhum selecionado**.
1. Selecione e **NikkiWolf**, em seguida, escolha **Selecionar**.
1. Na página **Adicionar tarefa**, escolha **Atribuir**. NikkiWolf agora aparece na lista de usuários atribuídos ao **Centro de Identidade do AWS IAM**aplicativo.
------
## Etapa 2: Prepare sua AWS conta
Nesta etapa, você aprenderá a usar o **IAM Identity Center** para configurar permissões de acesso (via conjunto de permissões), criar manualmente um usuário Nikki Wolf correspondente e atribuir a ela as permissões necessárias para administrar recursos na AWS.
------
#### [ Step 2.1 > ]
**Etapa 2.1: Criar um conjunto de RegionalAdmin permissões no IAM Identity Center**
Esse conjunto de permissões será usado para conceder à Nikki as permissões de AWS conta necessárias para gerenciar regiões na página **Conta** no Console de gerenciamento da AWS. Todas as outras permissões para visualizar ou gerenciar qualquer outra informação da conta de Nikki são negadas por padrão.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha **Create permission set (Criar conjunto de permissões)**.
1. Em **Selecionar tipo de conjunto de permissões**, selecione **Conjunto de permissões personalizado** e escolha **Avançar**.
1. Selecione **Política em linha** para expandi-la e crie uma política para o conjunto de permissões usando as seguintes etapas:
1. Escolha **Adicionar nova instrução** para criar uma instrução de política.
1. Em **Editar instrução**, selecione **Conta** na lista e escolha as caixas de seleção a seguir.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Ao lado de **Add a resource (Adicionar um recurso)**, escolha **Add (Adicionar)**.
1. Na página **Adicionar recurso**, em **Tipo de recurso**, selecione **Todos os recursos** e escolha **Adicionar recurso**. Confirme se a política é semelhante à seguinte:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Escolha **Próximo**.
1. Na página **Especificar detalhes do conjunto de permissões**, em **Nome do conjunto de permissões**, insira ****RegionalAdmin**** e escolha **Avançar**.
1. Na página **Review and create** (Revisar e criar), escolha **Create** (Criar). Você deve ser **RegionalAdmin**exibido na lista de conjuntos de permissões.
------
#### [ Step 2.2 > ]
**Etapa 2.2: Criar um NikkiWolf usuário correspondente no IAM Identity Center**
Como o protocolo SAML não fornece um mecanismo para consultar o IdP (Microsoft Entra ID) e criar usuários automaticamente aqui no IAM Identity Center, use o procedimento a seguir para criar manualmente um usuário no IAM Identity Center que espelhe os principais atributos do usuário Nikki Wolfs no Microsoft Entra ID.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Usuários**, depois **Adicionar usuário** e forneça as seguintes informações:
1. Para **nome de usuário** e **endereço de e-mail** — insira o mesmo ****NikkiWolf**@ *yourcompanydomain.extension*** que você usou ao criar seu Microsoft Entra ID usuário. Por exemplo, *NikkiWolf*@*example.org*.
1. **Confirmar o endereço de e-mail**: insira novamente o endereço de e-mail da etapa anterior
1. **Primeiro nome**: insira ****Nikki****
1. **Sobrenome**: insira ****Wolf****
1. **Nome de exibição**: insira ****Nikki Wolf****
1. Escolha **Avançar** e depois **Adicionar usuário**.
1. Selecione **Fechar**.
------
#### [ Step 2.3 ]
**Etapa 2.3: Atribuir Nikki ao conjunto de RegionalAdmin permissões em IAM Identity Center**
Aqui você localiza a região Conta da AWS na qual Nikki administrará as regiões e, em seguida, atribuirá as permissões necessárias para que ela acesse com sucesso o portal de AWS acesso.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Marque a caixa de seleção ao lado do nome da conta (por exemplo,*Sandbox*) na qual você deseja conceder à Nikki acesso para gerenciar regiões e, em seguida, escolha **Atribuir usuários e grupos**.
1. Na página **Atribuir usuários e grupos**, escolha a guia **Usuários**, localize e marque a caixa ao lado de Nikki e escolha **Avançar**.
1.
**Example**
1. Na página **Revisar e enviar**, revise as seleções e escolha **Enviar**.
------
## Etapa 3: configurar e testar a conexão SAML
Nesta etapa, você configura sua conexão SAML usando o aplicativo Centro de Identidade do AWS IAM corporativo Microsoft Entra ID junto com as configurações de IdP externo no IAM Identity Center.
------
#### [ Step 3.1 > ]
**Etapa 3.1: coletar os metadados necessários do provedor de serviços do IAM Identity Center**
Nesta etapa, você iniciará o assistente de **alteração da fonte de identidade** no console do IAM Identity Center e recuperará o arquivo de metadados e o URL de login AWS específico que você precisará inserir ao configurar a conexão na próxima etapa. Microsoft Entra ID
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e, em seguida, escolha **Ações > Alterar origem da identidade**.
1. Em **Escolher fonte de identidades**, selecione **Provedor de identidades externo** e escolha **Avançar**.
1. Na página **Configurar provedor de identidade externo**, em **Metadados do provedor de serviços**, escolha **Padrão IPv4** ou **Dual-stack**. Você pode baixar o arquivo de metadados do provedor de serviços depois de concluir a alteração da fonte de identidade.
1. Na mesma seção, localize e copie o valor da **URL de login do Portal de acesso do AWS **. Você precisará inserir esse valor quando solicitado na próxima etapa.
1. Deixe essa página aberta e vá para a próxima etapa (**`Step 3.2`**) para configurar a aplicação Centro de Identidade do AWS IAM corporativa emMicrosoft Entra ID. Posteriormente, você retornará a essa página para concluir o processo.
------
#### [ Step 3.2 > ]
**Etapa 3.2: Configurar o aplicativo Centro de Identidade do AWS IAM corporativo no Microsoft Entra ID**
Esse procedimento estabelece metade da conexão SAML do lado da Microsoft usando os valores do arquivo de metadados e o URL de logon único que você obteve na última etapa.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. No painel esquerdo, selecione **2. Configurar autorização única**.
1. **Na página **Configurar autenticação única com SAML**, escolha SAML**. Na página **Carregar arquivo de metadados**, escolha o ícone de pasta, selecione o arquivo de metadados do provedor de serviços que você baixou na etapa anterior e escolha **Adicionar**.
1. Na página **Configuração básica do SAML**, verifique se os valores do **Identificador** e do URL de **Resposta (URL do Assertion Consumer Service)** agora apontam para os endpoints em. AWS
+ **Identificador** - Esse é o **URL do emissor** do IAM Identity Center. O mesmo valor se aplica independentemente de você usar endpoints IPv4 -only ou dual-stack.
+ **URL de resposta (URL do Assertion Consumer Service)** - Os valores aqui incluem endpoints IPv4 somente e de pilha dupla de todas as regiões habilitadas do seu IAM Identity Center. Você pode usar o URL do ACS da região primária como padrão para que os usuários sejam redirecionados para a região primária ao iniciarem o aplicativo Amazon Web Services a partir de. Microsoft Entra ID Para obter mais informações sobre o ACS URLs, consulte[Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints).
+ (Opcional) Se você replicou o IAM Identity Center para regiões adicionais, você também pode criar um aplicativo de favoritos Microsoft Entra ID para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deMicrosoft Entra ID. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emMicrosoft Entra ID. Consulte a [Microsoft Entra IDdocumentação](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) para obter mais detalhes. Se você planeja replicar o IAM Identity Center para outras regiões posteriormente, visite [Microsoft Entra IDconfiguração para acesso a regiões adicionais](#gs-microsoft-entra-multi-region) para obter orientação sobre como habilitar o acesso às regiões adicionais após essa configuração inicial.
1. Em **URL de login (opcional)**, cole o valor do **URL de login do Portal de acesso do AWS ** que você copiou na etapa anterior (**`Step 3.1`**), escolha **Salvar** e depois **X** para fechar a janela.
1. Se for solicitado que você teste o login único com Centro de Identidade do AWS IAM, escolha **Não, vou** testar mais tarde. Você fará essa verificação em uma etapa posterior.
1. Na página **Configurar logon único com SAML**, na seção **Certificados SAML**, ao lado de **XML dos metadados da federação**, escolha **Baixar** para salvar o arquivo de metadados no sistema. Você precisará inserir esse arquivo quando solicitado na próxima etapa.
------
#### [ Step 3.3 > ]
**Etapa 3.3: configurar o IdP externo do Microsoft Entra ID no Centro de Identidade do AWS IAM**
Aqui, você retornará ao assistente **Alterar fonte de identidades** no console do IAM Identity Center para concluir a segunda metade da conexão SAML na AWS.
1. Retorne à sessão do navegador que você deixou aberta na **`Step 3.1`** no console do IAM Identity Center.
1. Na página **Configurar provedor de identidades externo**, na seção **Metadados do provedor de identidade** em **Metadados SAML do IdP**, escolha o botão **Escolher arquivo** e selecione o arquivo de metadados do provedor de identidades que você baixou do Microsoft Entra ID na etapa anterior e escolha **Abrir**.
1. Escolha **Próximo**.
1. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ****ACCEPT****.
1. Escolha **Alterar fonte de identidades** para aplicar as alterações.
------
#### [ Step 3.4 > ]
**Etapa 3.4: testar se Nikki é redirecionada para o Portal de acesso do AWS **
Neste procedimento, você testará a conexão SAML fazendo login no **portal Minha conta** da Microsoft com as credenciais de Nikki. Depois de autenticado, você selecionará o Centro de Identidade do AWS IAM aplicativo que redirecionará Nikki para o AWS portal de acesso.
1. Vá até página de login do [portal Minha conta](https://myaccount.microsoft.com/) e insira o endereço de e-mail completo de Nikki. Por exemplo, ***NikkiWolf**@**example.org*.
1. Quando solicitado, insira a senha de Nikki e escolha **Fazer login**.
1. Na página **Minha conta**, no painel de navegação esquerdo, escolha **Minhas aplicações**.
1. Na página **Minhas aplicações**, selecione a aplicação denominada **Centro de Identidade do AWS IAM**. Deve ser solicitado que você faça uma autenticação adicional.
1. Na página de login da Microsoft, escolha suas NikkiWolf credenciais. Se a autenticação for solicitada pela segunda vez, escolha suas NikkiWolf credenciais novamente. Isso deve redirecioná-lo automaticamente para o portal de AWS acesso.
**dica**
Se você não for redirecionado com sucesso, verifique se o valor do **URL de login do Portal de acesso do AWS ** inserido na **`Step 3.2`** corresponde ao valor que você copiou da **`Step 3.1`**.
1. Verifique se sua Contas da AWS tela.
**dica**
Se a página estiver vazia e sem Contas da AWS exibição, confirme se Nikki foi atribuída com sucesso ao conjunto de **RegionalAdmin**permissões (consulte **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Etapa 3.5: testar o nível de acesso de Nikki para gerenciar sua Conta da AWS**
Nesta etapa, você verificará o nível de acesso de Nikki para gerenciar as configurações de região para sua Conta da AWS. Nikki deve ter apenas privilégios de administrador suficientes para gerenciar regiões na página **Contas**.
1. No portal de AWS acesso, escolha a guia **Contas** para exibir a lista de contas. Os nomes das contas IDs, contas e endereços de e-mail associados a todas as contas nas quais você definiu conjuntos de permissões são exibidos.
1. Escolha o nome da conta (por exemplo,*Sandbox*) em que você aplicou o conjunto de permissões (consulte **`Step 2.3`**). Isso expandirá a lista de conjuntos de permissões que Nikki pode escolher para gerenciar sua conta.
1. Em seguida, **RegionalAdmin**escolha **Console de gerenciamento** para assumir a função que você definiu no conjunto de **RegionalAdmin**permissões. Isso redirecionará você para a página inicial do Console de gerenciamento da AWS .
1. No canto superior direito do console, escolha o nome da sua conta e depois **Conta**. Isso levará você para a página **Conta**. Observe que todas as outras seções desta página exibem uma mensagem informando que você não tem as permissões necessárias para visualizar ou modificar essas configurações.
1. Na página **Conta**, role para baixo até a seção **Regiões da AWS **. Marque uma caixa de seleção de qualquer região disponível na tabela. Observe que Nikki tem as permissões necessárias para **habilitar** ou **desabilitar** a lista de regiões de sua conta como pretendido.
**Muito bem\$1**
As etapas de 1 a 3 ajudaram você a implementar e testar com sucesso a conexão SAML. Agora, para concluir o tutorial, recomendamos que você passe para a etapa 4 para implementar o provisionamento automático.
------
## Etapa 4: configurar e testar a sincronização SCIM
Nesta etapa, você configurará o [provisionamento automático](provision-automatically.md) (sincronização) das informações de usuário do Microsoft Entra ID para o IAM Identity Center usando o protocolo SCIM v2.0. Você configura essa conexão no Microsoft Entra ID usando seu endpoint SCIM para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center.
Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário no Microsoft Entra ID para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e Microsoft Entra ID.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos que residem primariamente no Microsoft Entra ID para o IAM Identity Center usando a aplicação IAM Identity Center no Microsoft Entra ID.
------
#### [ Step 4.1 > ]
**Etapa 4.1: criar um segundo usuário de teste no Microsoft Entra ID**
Para fins de teste, você criará um novo usuário (Richard Roe) no Microsoft Entra ID. Posteriormente, depois de configurar a sincronização SCIM, você testará se esse usuário e todos os atributos relevantes foram sincronizados com sucesso com o IAM Identity Center.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Usuários > Todos os usuários**.
1. Selecione **Novo usuário** e escolha **Criar novo usuário** na parte superior da tela.
1. Em **Nome da entidade principal do usuário**, insira ** **RichRoe**** e selecione o domínio e a extensão de sua preferência. Por exemplo, *RichRoe*@*example.org*.
1. Em **Nome de exibição**, insira ****RichRoe****.
1. Em **Senha**, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.
1. Selecione **Propriedades** e forneça os seguintes valores:
+ **Nome**: insira ****Richard****
+ **Sobrenome**: insira ****Roe****
+ **Cargo**: insira ****Marketing Lead****
+ **Departamento**: insira ****Sales****
+ **ID do funcionário**: insira ****12345****
1. Selecione **Revisar \$1 criar** e depois **Criar**.
------
#### [ Step 4.2 > ]
**Etapa 4.2: habilitar provisionamento no IAM Identity Center**
Neste procedimento, você usará o console do IAM Identity Center para habilitar o provisionamento automático de usuários e grupos originários do Microsoft Entra ID para o IAM Identity Center.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon) e escolha **Configurações** no painel de navegação esquerdo.
1. Na página **Configurações**, na guia **Fonte de identidades**, observe que **Método de aprovisionamento** está definido como **Manual**.
1. Localize a caixa de informações **Provisionamento automático** e escolha **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo **Provisionamento automático de entrada**, copie cada um dos valores para as opções a seguir. Você precisará colá-los na próxima etapa quando configurar o provisionamento no Microsoft Entra ID.
1. **Endpoint SCIM** - Por exemplo,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Pilha dupla: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir.
1. Escolha **Fechar**.
1. Na guia **Fonte de identidades**, observe que **Método de provisionamento** agora está definido como **SCIM**.
------
#### [ Step 4.3 > ]
**Etapa 4.3: configurar o provisionamento automático no Microsoft Entra ID**
Agora que você tem seu usuário de RichRoe teste instalado e habilitou o SCIM no IAM Identity Center, você pode continuar com a configuração das configurações de sincronização do SCIM em. Microsoft Entra ID
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. Escolha **Provisionamento** em **Gerenciar** e depois escolha **Provisionamento** novamente.
1. Em **Modo de aprovisionamento**, selecione **Automático**.
1. Em **Credenciais do administrador**, em **URL do locatário**, cole o valor da URL do **endpoint SCIM** que você copiou anteriormente na **`Step 4.2`**. Em **Token secreto**, cole o valor do **token de acesso**.
1. Escolha **Test Connection (Testar conexão)**. Você deve ver uma mensagem indicando que as credenciais testadas foram autorizadas com sucesso a habilitar o provisionamento.
1. Escolha **Salvar**.
1. Em **Gerenciar**, escolha **Usuários e grupos** e depois escolha **Adicionar usuário/grupo**.
1. Na página **Adicionar atribuição**, em **Usuários**, escolha **Nenhum selecionado**.
1. Selecione e **RichRoe**, em seguida, escolha **Selecionar**.
1. Na página **Add Assignment** (Adicionar atribuição), escolha **Assign** (Atribuir).
1. Escolha **Visão geral** e depois **Iniciar provisionamento**.
------
#### [ Step 4.4 ]
**Etapa 4.4: verificar se a sincronização ocorreu**
Nesta seção, você verificará se o usuário Richard foi provisionado com sucesso e se todos os atributos são exibidos no IAM Identity Center.
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Usuários**.
1. Na página **Usuários**, você deve ver seu **RichRoe**usuário exibido. Observe que na coluna **Criado por**, o valor está definido como **SCIM**.
1. Escolha **RichRoe**, em **Perfil**, verificar se os atributos a seguir foram copiados deMicrosoft Entra ID.
+ **Nome**: ****Richard****
+ **Sobrenome**: ****Roe****
+ **Departamento**: ****Sales****
+ **Cargo**: ****Marketing Lead****
+ **Número do funcionário**: ****12345****
Agora que o usuário de Richard foi criado no IAM Identity Center, você pode atribuí-lo a qualquer conjunto de permissões para poder controlar o nível de acesso que ele tem aos recursos da AWS . Por exemplo, você pode atribuir **RichRoe**ao conjunto de **RegionalAdmin** permissões usado anteriormente para conceder a Nikki as permissões para gerenciar regiões (consulte **`Step 2.3`**) e depois testar seu nível de acesso usando **`Step 3.5`**.
**Parabéns\$1**
Você configurou com êxito uma conexão SAML entre a Microsoft AWS e verificou que o provisionamento automático está funcionando para manter tudo sincronizado. Agora você pode aplicar o que aprendeu para configurar seu ambiente de produção com mais facilidade.
------
## *Etapa 5: configurar ABAC: opcional*
Agora que você configurou o SAML e o SCIM com sucesso, pode optar por configurar o controle de acesso por atributo (ABAC). ABAC é uma estratégia de autorização que define permissões com base em atributos.
Com o Microsoft Entra ID, você pode usar qualquer dos dois métodos a seguir para configurar o ABAC para uso com o IAM Identity Center.
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**Configurar atributos do usuário no Microsoft Entra ID para controle de acesso no IAM Identity Center**
No procedimento a seguir, você determinará quais atributos Microsoft Entra ID devem ser usados pelo IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Depois de definidos, Microsoft Entra ID envie esses atributos para o IAM Identity Center por meio de asserções SAML. Em seguida, você precisará acessar [Crie um conjunto de permissões](howtocreatepermissionset.md) no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do Microsoft Entra ID.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. Escolha **Logon único**.
1. Na seção **Atributos e declarações**, escolha **Editar**.
1. Na página **Atributos e declarações**, faça o seguinte:
1. Escolha **Adicionar nova reivindicação**
1. Em **Nome**, insira `AccessControl:AttributeName`. Substitua *AttributeName* pelo nome do atributo que você espera no IAM Identity Center. Por exemplo, .`AccessControl:Department`
1. Em **Namespace**, insira ****https://aws.amazon.com/SAML/Attributes****.
1. Em **Origem**, escolha **Atributo**.
1. Para **Atributo de fonte**, use a lista suspensa para escolher os atributos do Microsoft Entra ID usuário. Por exemplo, .`user.department`
1. Repita a etapa anterior para cada atributo que você precisa enviar para o IAM Identity Center na declaração SAML.
1. Escolha **Salvar**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Configurar ABAC usando o IAM Identity Center**
Com esse método, você usa o recurso [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Você pode usar esse elemento para passar atributos como tags de sessão na asserção SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par de valores-chave da tag `Department=billing`, use o seguinte atributo:
```
billing
```
Se você precisar adicionar vários atributos, inclua um elemento `Attribute` separado para cada tag.
------
## Atribuir acesso a Contas da AWS
As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.
**nota**
Para concluir essa etapa, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
### Etapa 1: IAM Identity Center: conceder aos usuários do Microsoft Entra ID acesso a contas
1. Volte para o console do **IAM Identity Center**. No painel de navegação do IAM Identity Center, em **Permissões multicontas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, a **Estrutura organizacional** exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione **Atribuir usuários ou grupos**.
1. O fluxo de trabalho **Atribuir usuários e grupos** é exibido. Ele consiste em três etapas:
1. Em **Etapa 1: selecionar usuários e grupos**, escolha o usuário que desempenhará a função de administrador. Escolha **Próximo**.
1. Em **Etapa 2: selecionar conjuntos de permissões**, escolha **Criar conjunto de permissões** para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.
1. Em **Etapa 1: selecionar o tipo de conjunto de permissões**, preencha o seguinte:
+ Em **Tipo de conjunto de permissões**, escolha **Conjunto de permissões predefinido**.
+ Em **Política para conjunto de permissões predefinido**, escolha **AdministratorAccess**.
Escolha **Próximo**.
1. Em **Etapa 2: especificar detalhes do conjunto de permissões**, mantenha as configurações padrão e escolha **Avançar**.
As configurações padrão criam um conjunto de permissões chamado *AdministratorAccess* com a duração da sessão definida em uma hora.
1. Para **a Etapa 3: revisar e criar**, verifique se o **tipo de conjunto de permissões** usa a política AWS gerenciada **AdministratorAccess**. Escolha **Criar**. Na página **Conjuntos de permissões**, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.
1. Na guia **Atribuir usuários e grupos** do navegador, você ainda está na **Etapa 2: selecionar conjuntos de permissões** na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.
1. Na área **Conjuntos de permissões**, escolha o botão **Atualizar**. O conjunto de *AdministratorAccess* permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha **Avançar**.
1. Em **Etapa 3: revisar e enviar**, revise o usuário e o conjunto de permissões selecionados e escolha **Enviar**.
A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.
Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a *AdministratorAccess* função.
### Etapa 2Microsoft Entra ID: confirmar o acesso Microsoft Entra ID dos usuários aos AWS recursos
1. Volte ao console **Microsoft Entra ID** e navegue até a aplicação de login baseada em SAML do IAM Identity Center.
1. Selecione **Usuários e grupos** e selecione **Adicionar usuários ou grupos**. Você adicionará o usuário que criou neste tutorial na Etapa 4 à aplicação Microsoft Entra ID. Ao adicionar o usuário, você permitirá que ele faça login na AWS. Procure o usuário que você criou na Etapa 4. Se você seguiu esta etapa, seria **RichardRoe**.
1. Para uma demonstração, consulte [Federar a instância existente do IAM Identity Center com o Microsoft Entra ID](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)
## Microsoft Entra IDconfiguração para acesso a regiões adicionais do IAM Identity Center - opcional
Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso aos aplicativos AWS gerenciados e Contas da AWS por meio das regiões adicionais. As etapas abaixo orientam você pelo procedimento. Para obter mais detalhes sobre esse tópico, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)
1. Recupere o ACS URLs para as regiões adicionais do console do IAM Identity Center, conforme descrito em. [Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints)
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. No painel esquerdo, selecione **2. Configurar autorização única**.
1. Na página **Configuração básica do SAML**, na seção URL de **resposta (URL do Assertion Consumer Service), escolha Adicionar URL** **de resposta para cada URL** ACS adicional da região. Você pode manter o URL do ACS da região primária como padrão para que os usuários continuem sendo redirecionados para a região primária ao iniciarem o Centro de Identidade do AWS IAM aplicativo. Microsoft Entra ID
1. Quando terminar de adicionar o ACS URLs, salve o **Centro de Identidade do AWS IAM**aplicativo.
1. Você pode criar um aplicativo de favoritos Microsoft Entra ID para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deMicrosoft Entra ID. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emMicrosoft Entra ID. Consulte a [Microsoft Entra IDdocumentação](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) para obter mais detalhes.
1. Verifique se você pode entrar no portal de AWS acesso em cada região adicional. Navegue até o [portal de AWS acesso URLs](multi-region-workforce-access.md#portal-endpoints) ou inicie os aplicativos de Microsoft Entra ID favoritos em.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o Microsoft Entra ID, consulte as seguintes seções:
+ [Problemas de sincronização com o Microsoft Entra ID e o IAM Identity Center](#entra-scim-troubleshooting)
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ [Recursos adicionais do](#entra-scim-troubleshooting-resources)
### Problemas de sincronização com o Microsoft Entra ID e o IAM Identity Center
Se você estiver enfrentando problemas com usuários do Microsoft Entra ID que não estão sincronizando com o IAM Identity Center, talvez seja devido a um problema de sintaxe que o IAM Identity Center sinalizou que acontece quando um novo usuário está sendo adicionado ao IAM Identity Center. Você pode confirmar isso verificando os eventos com falha registrados nos logs de auditoria do Microsoft Entra ID, como uma `'Export'`. O **Motivo do status** para este evento indicará:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Você também pode verificar se AWS CloudTrail o evento falhou. Isso pode ser feito pesquisando no console do **Histórico de Eventos** ou CloudTrail usando o seguinte filtro:
```
"eventName":"CreateUser"
```
O erro no CloudTrail evento indicará o seguinte:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
Em última análise, essa exceção significa que um dos valores passados do Microsoft Entra ID continha mais valores do que previsto. A solução é revisar os atributos do usuário no Microsoft Entra ID, garantindo que nenhum deles contenha valores duplicados. Um exemplo comum de valores duplicados é ter vários valores presentes para números de contato, como **celular**, **trabalho** e **fax**. Embora sejam valores separados, todos eles são passados para o IAM Identity Center sob o atributo ascendente único **PhoneNumbers**.
Para obter dicas de solução de problemas em geral, consulte [Solução de problemas](troubleshooting.md#issue2).
### Sincronização da conta de convidado do Microsoft Entra ID
Se você quiser sincronizar os usuários convidados do Microsoft Entra ID com o IAM Identity Center, consulte o procedimento a seguir.
O e-mail dos usuários convidados do Microsoft Entra ID é diferente do de outros usuários do Microsoft Entra ID. Essa diferença causa problemas ao tentar sincronizar usuários convidados do Microsoft Entra ID com o IAM Identity Center. Por exemplo, veja o seguinte endereço de e-mail de um usuário convidado:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
O IAM Identity Center não espera que o endereço de e-mail contenha o *\$1EXT\$1@domain* formato.
1. Faça login no console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade** > **Aplicativos** > **Aplicativos empresariais** e escolha **Centro de Identidade do AWS IAM**
1. Navegue até a guia **Autenticação única** no painel esquerdo.
1. Selecione **Editar**, que aparece ao lado de **Atributos e declarações do usuário**.
1. Selecione **Identificador exclusivo do usuário (ID do nome)** após **Declarações obrigatórias**.
1. Você criará duas condições de declaração para usuários e usuários convidados do Microsoft Entra ID:
1. Para usuários do Microsoft Entra ID, crie um tipo de usuário para membros com o atributo de origem definido como ` user.userprincipalname`.
1. Para usuários convidados do Microsoft Entra ID, crie um tipo de usuário para convidados externos com o atributo de origem definido como `user.mail`.
1. Selecione **Salvar** e tente fazer login novamente como usuário convidado do Microsoft Entra ID.
### Recursos adicionais do
+ Para obter dicas de solução de problemas em geral, consulte [Solução de problemas do IAM Identity Center](troubleshooting.md).
+ Para solução de problemas do Microsoft Entra ID, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Para saber mais sobre a federação entre vários Contas da AWS, consulte [Protegendo Contas da AWS com Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico