As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerencie sua fonte de identidade
Sua fonte de identidade no IAM Identity Center define onde seus usuários e grupos são gerenciados. Depois de configurar sua fonte de identidade, você pode pesquisar usuários ou grupos para conceder a eles acesso de login único a Contas da AWS aplicativos ou ambos.
Você pode ter apenas uma fonte de identidade por organização no AWS Organizations. Você pode escolher uma das seguintes opções como fonte de identidade:
+ **[Provedor de identidades externo](manage-your-identity-source-idp.md):** escolha essa opção se quiser gerenciar usuários em um provedor de identidades (IdP) externo, como Okta ou Microsoft Entra ID.
+ **[Seu Active Directory local ou AWS gerenciado](manage-your-identity-source-ad.md) —** Escolha essa opção se quiser conectar seuActive Directory (AD).
+ **[Diretório do Identity Center](manage-your-identity-source-sso.md):** quando você habilita o IAM Identity Center pela primeira vez, ele é configurado automaticamente com um diretório do Identity Center como a fonte de identidade padrão, a menos que você escolha outra fonte de identidades. Com o diretório do Identity Center, você cria seus usuários e grupos e atribui o nível de acesso deles aos seus Contas da AWS aplicativos.
**nota**
O IAM Identity Center não oferece suporte ao Simple AD SAMBA4 baseado como fonte de identidade.
**Topics**
+ [
# Considerações para alterar sua fonte de identidade
](manage-your-identity-source-considerations.md)
+ [
# Alterar sua fonte de identidades
](manage-your-identity-source-change.md)
+ [
# Atributos de usuário e grupo compatíveis com o IAM Identity Center compatíveis
](manage-your-identity-source-attribute-use.md)
+ [
# Provedores de identidades externos
](manage-your-identity-source-idp.md)
+ [
# Diretório Microsoft AD
](manage-your-identity-source-ad.md)
# Considerações para alterar sua fonte de identidade
Embora você possa alterar sua fonte de identidade quando quiser, recomendamos que você considere como essa alteração pode afetar sua implantação atual.
Se você já estiver gerenciando usuários e grupos em uma fonte de identidade, mudar para outra fonte de identidade pode remover todas as atribuições de usuários e grupos que você configurou no IAM Identity Center. Se isso ocorrer, todos os usuários, incluindo o usuário administrativo no IAM Identity Center, perderão o acesso de login único a seus aplicativos Contas da AWS e aplicativos.
Antes de alterar a fonte de identidade do IAM Identity Center, revise as seguintes considerações antes de continuar. Se você quiser continuar com a alteração da fonte de identidade, consulte [Alterar sua fonte de identidades](manage-your-identity-source-change.md) para obter mais informações.
## Como alternar entre o diretório do IAM Identity Center e Active Directory
Se você já estiver gerenciando usuários e grupos no Active Directory, recomendamos que considere a possibilidade de conectar o diretório ao habilitar o IAM Identity Center e escolher a fonte de identidade. Faça isso antes de você criar qualquer usuário e grupo no diretório padrão do Identity Center e fazer qualquer atribuição.
**Importante**
Ao alterar o tipo de fonte de identidade no IAM Identity Center para ou do Active Directory, esteja ciente de que o ID do Identity Store mudará. Isso pode ter as seguintes implicações:
Sua URL padrão do portal de AWS acesso mudará. Você precisará comunicar o novo URL à força de trabalho e atualizar os favoritos, as listas de permissões do gateway ou do firewall e as configurações em que esse URL é referenciado. Recomendamos que você realize essa alteração em uma janela de manutenção programada para minimizar a interrupção para os usuários.
Se você estiver usando uma chave KMS gerenciada pelo cliente para criptografia em repouso no IAM Identity Center e tiver configurado a política de chave KMS com o contexto de criptografia, saiba que o contexto de criptografia do Identity Store mudará. Por exemplo, no ARN do Identity Store “arn:aws:identitystore: :123456789012:identitystore/d-922763e9b3", “d-922763e9b3" é o ID do Identity Store. Para evitar a interrupção do serviço durante essa transição, modifique temporariamente a política de chave KMS para usar um padrão curinga: “arn:aws:identitystore: :123456789012:identitystore/\$1”.
Se você já estiver gerenciando usuários e grupos no diretório padrão do Identity Center, considere o seguinte:
+ **Atribuições removidas e usuários e grupos excluídos**: alterar sua fonte de identidade para o Active Directory exclui seus usuários e grupos do diretório do Identity Center. Essa alteração também remove suas atribuições. Nesse caso, depois de mudar para o Active Directory, você deve sincronizar seus usuários e grupos do Active Directory no diretório do Identity Center e, em seguida, reaplicar suas atribuições.
Se você optar por não usar o Active Directory, deverá criar seus usuários e grupos no diretório do Identity Center e, em seguida, fazer as atribuições.
+ **As atribuições não são excluídas quando as identidades são excluídas**: quando as identidades são excluídas no diretório do Identity Center, as atribuições correspondentes também são excluídas no IAM Identity Center. Porém, no Active Directory, quando as identidades são excluídas (no Active Directory ou nas identidades sincronizadas), as atribuições correspondentes não são excluídas.
+ **Sem sincronização de saída para APIs** — Se você usa o Active Directory como sua fonte de identidade, recomendamos que você use a opção [Criar, Atualizar e Excluir APIs com cuidado](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html). O IAM Identity Center não oferece suporte à sincronização de saída, portanto, sua fonte de identidade não é atualizada automaticamente com as alterações que você faz nos usuários ou grupos que as usam. APIs
+ A **URL do portal de acesso mudará** — Alterar sua fonte de identidade entre o IAM Identity Center e o Active Directory também altera a URL do portal de AWS acesso.
+ Se os usuários forem excluídos ou desativados no console do IAM Identity Center usando o Identity Store APIs, os usuários com sessões ativas poderão continuar acessando aplicativos e contas integrados. Para obter informações sobre duração da sessão e comportamento do usuário na autenticação, consulte [Como entender as sessões de autenticação no IAM Identity Center](authconcept.md).
Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte [Diretório Microsoft AD](manage-your-identity-source-ad.md).
## Mudar do IAM Identity Center para um IdP externo
Se você alterar sua fonte de identidade do IAM Identity Center para um provedor de identidades (IdP) externo, considere o seguinte:
+ **As atribuições e associações funcionam com as afirmações corretas** — suas atribuições de usuário, atividades em grupo e associações em grupo continuam funcionando, desde que o novo IdP envie as afirmações corretas (por exemplo, nome SAML). IDs Essas asserções devem corresponder aos nomes de usuário e grupos do IAM Identity Center.
+ **Sem sincronização de saída**: o IAM Identity Center não é compatível com sincronização de saída, portanto, o IdP externo não será atualizado automaticamente com as alterações feitas em usuários e grupos no IAM Identity Center.
+ **Provisionamento SCIM**: se você estiver usando provisionamento SCIM, as alterações de usuários e grupos do provedor de identidades só serão refletidas no IAM Identity Center depois que o provedor de identidades enviar essas alterações para o IAM Identity Center. Consulte [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations).
+ **Reversão**: você pode reverter sua fonte de identidades para usar o IAM Identity Center a qualquer momento. Consulte [Mudar de um IdP externo para o IAM Identity Center](#changing-from-idp-and-idc).
+ **As sessões de usuário existentes são revogadas quando a duração da sessão expira**: depois que você altera sua fonte de identidades para um provedor de identidades externo, as sessões de usuário ativas persistem pelo restante da duração máxima da sessão configurada no console. Por exemplo, se a duração da sessão do portal de AWS acesso for definida como oito horas e você tiver alterado a fonte de identidade na quarta hora, as sessões de usuário ativas persistirão por mais quatro horas. Para revogar sessões de usuário, consulte [Visualizar e encerrar sessões ativas para os usuários da força de trabalho](end-active-sessions.md).
Se os usuários forem excluídos ou desativados no console do IAM Identity Center usando o Identity Store APIs, os usuários com sessões ativas poderão continuar acessando aplicativos e contas integrados. Para obter informações sobre duração da sessão e comportamento do usuário na autenticação, consulte [Como entender as sessões de autenticação no IAM Identity Center](authconcept.md).
**nota**
Você não pode revogar sessões de usuário do console do IAM Identity Center depois que excluir o usuário.
Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte [Provedores de identidades externos](manage-your-identity-source-idp.md).
## Mudar de um IdP externo para o IAM Identity Center
Se você alterar sua fonte de identidade de um provedor de identidades (IdP) externo para o IAM Identity Center, considere o seguinte:
+ O IAM Identity Center preserva todas as suas atribuições.
+ **Forçar a redefinição de senha**: os usuários que tinham senhas no IAM Identity Center podem continuar fazendo login com suas senhas antigas. Para usuários que estavam no IdP externo e não estavam no IAM Identity Center, um administrador deve forçar uma redefinição de senha.
+ **As sessões de usuário existentes são revogadas quando a duração da sessão expira**: depois que você altera sua fonte de identidades para o IAM Identity Center, as sessões de usuário ativas persistem pelo restante da duração máxima da sessão configurada no console. Por exemplo, se a duração da sessão do portal de AWS acesso for de oito horas e você tiver alterado a fonte de identidade na quarta hora, as sessões de usuário ativas continuarão sendo executadas por mais quatro horas. Para revogar sessões de usuário, consulte [Visualizar e encerrar sessões ativas para os usuários da força de trabalho](end-active-sessions.md).
Se os usuários forem excluídos ou desativados no console do IAM Identity Center usando o Identity Store APIs, os usuários com sessões ativas poderão continuar acessando aplicativos e contas integrados. Para obter informações sobre duração da sessão e comportamento do usuário na autenticação, consulte [Como entender as sessões de autenticação no IAM Identity Center](authconcept.md).
**nota**
Você não poderá revogar sessões de usuário do console do IAM Identity Center depois que excluir o usuário.
+ **Suporte multirregional** — Se você tiver replicado o IAM Identity Center para regiões adicionais ou planeja fazer isso, você deve usar um provedor de identidade externo como fonte de identidade. Para obter mais informações, incluindo outros pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)
Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte [Gerenciar usuários no diretório do Identity Center](manage-your-identity-source-sso.md).
## Mudar de um IdP externo para outro IdP externo
Se você já estiver usando um IdP externo como fonte de identidade para o IAM Identity Center e mudar para um IdP externo diferente, considere o seguinte:
+ **Atribuições e associações funcionam com afirmações corretas**: o IAM Identity Center preserva todos as suas atribuições. As atribuições do usuário, as atribuições de grupo e as associações de grupos continuam funcionando, desde que o novo IdP envie as afirmações corretas (por exemplo, nome SAML). IDs
Essas afirmações devem corresponder aos nomes de usuário no IAM Identity Center quando seus usuários se autenticam por meio do novo IdP externo.
+ **Provisionamento SCIM**: se você for usar SCIM para fazer provisionamento para o IAM Identity Center, recomendamos que revise as informações específicas do IdP neste guia e a documentação fornecida pelo IdP para garantir que o novo provedor corresponda corretamente aos usuários e grupos quando o SCIM estiver habilitado.
+ **As sessões de usuário existentes são revogadas quando a duração da sessão expira**: depois que você altera sua fonte de identidades para outro provedor de identidades externo, as sessões de usuário ativas persistem pelo restante da duração máxima da sessão configurada no console. Por exemplo, se a duração da sessão do portal de AWS acesso for de oito horas e você tiver alterado a fonte de identidade na quarta hora, as sessões de usuário ativas persistirão por mais quatro horas. Para revogar sessões de usuário, consulte [Visualizar e encerrar sessões ativas para os usuários da força de trabalho](end-active-sessions.md).
Se os usuários forem excluídos ou desativados no console do IAM Identity Center usando o Identity Store APIs, os usuários com sessões ativas poderão continuar acessando aplicativos e contas integrados. Para obter informações sobre duração da sessão e comportamento do usuário na autenticação, consulte [Como entender as sessões de autenticação no IAM Identity Center](authconcept.md).
**nota**
Você não pode revogar sessões de usuário do console do IAM Identity Center depois que excluir o usuário.
Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte [Provedores de identidades externos](manage-your-identity-source-idp.md).
## Alternar entre o Active Directory e um IdP externo
Se você alternar sua fonte de identidade de um IdP externo para o Active Directory ou do Active Directory para um IdP externo, considere o seguinte:
+ **Usuários, grupos e atribuições são excluídos**: todos os usuários, grupos e atribuições são excluídos do IAM Identity Center. Nenhuma informação de usuário ou grupo é afetada no IdP externo ou no Active Directory.
+ **Provisionamento de usuários**: se você mudar para um IdP externo, deverá configurar o IAM Identity Center para provisionar seus usuários. Como alternativa, você deve provisionar manualmente os usuários e grupos para o IdP externo antes de poder configurar as atribuições.
+ **Criar atribuições e grupos**: se você mudar para o Active Directory, deverá criar atribuições com os usuários e grupos que estão no seu diretório no Active Directory.
+ Se os usuários forem excluídos ou desativados no console do IAM Identity Center usando o Identity Store APIs, os usuários com sessões ativas poderão continuar acessando aplicativos e contas integrados. Para obter informações sobre duração da sessão e comportamento do usuário na autenticação, consulte [Como entender as sessões de autenticação no IAM Identity Center](authconcept.md).
+ **Suporte multirregional** — Se você tiver replicado o IAM Identity Center para regiões adicionais ou planeja fazer isso, você deve usar um provedor de identidade externo como fonte de identidade. Para obter mais informações, incluindo outros pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)
Para obter informações sobre a forma como o IAM Identity Center provisiona usuários e grupos, consulte [Diretório Microsoft AD](manage-your-identity-source-ad.md).
# Alterar sua fonte de identidades
O procedimento a seguir descreve como mudar de um diretório fornecido pelo IAM Identity Center (o diretório padrão do Identity Center) para o Active Directory ou um provedor de identidades externo, ou vice-versa. Antes de continuar, consulte as informações em [Considerações para alterar sua fonte de identidade](manage-your-identity-source-considerations.md). Para concluir esse procedimento, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
**Atenção**
Dependendo da implantação atual, essa alteração remove qualquer atribuição de usuário e grupo que você configurou no IAM Identity Center. Essa alteração também removerá as funções do IAM do conjunto de permissões do seu Contas da AWS. Como resultado, talvez seja necessário atualizar suas políticas de recursos e garantir que isso não interrompa seu acesso às AWS KMS chaves e aos clusters do Amazon EKS. Para saber mais, consulte [Referenciando conjuntos de permissões em políticas de recursos, mapas de configuração do Amazon EKS Cluster e AWS KMS políticas principais](referencingpermissionsets.md).
Quando isso ocorrer, todos os usuários e grupos, incluindo o usuário administrativo no IAM Identity Center, perderão o acesso de login único a seus aplicativos Contas da AWS .
**Para alterar sua fonte de identidades**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade**. Escolha **Ações** e, em seguida, escolha **Alterar fonte de identidades**.
1. Em **Escolher fonte de identidades**, selecione a fonte para a qual você deseja alterar e, em seguida, escolha **Próximo**.
Se você estiver mudando para o Active Directory, escolha o diretório disponível no menu na próxima página.
**Importante**
Alterar sua fonte de identidade para ou a partir do Active Directory exclui usuários e grupos do diretório do Identity Center. Essa alteração também remove todas as atribuições que você configurou no IAM Identity Center.
**nota**
Se você replicou o IAM Identity Center para regiões adicionais, não poderá alterar o tipo de fonte de identidade. Você só pode substituir o IdP externo atual por outro. Para alterar o tipo de fonte de identidade, primeiro você precisará remover todas as regiões adicionais. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md).
Se estiver migrando para um provedor de identidades externo, recomendamos que você siga as etapas em [Como se conectar a um provedor de identidades externo](how-to-connect-idp.md).
1. Depois de ler o aviso legal e estar pronto para prosseguir, digite **ACCEPT**.
1. Escolha **Alterar origem de identidade**. Se estiver alterando sua fonte de identidade para o Active Directory, vá para a próxima etapa.
1. Alterar sua fonte de identidade para o Active Directory leva você à página **Configurações**. Na página **Configurações** faça um dos seguintes:
+ Escolha **Iniciar configuração guiada**. Para obter informações sobre como concluir o processo de configuração guiada, consulte [Configuração guiada](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync).
+ Na seção **Fonte de identidades**, escolha **Ações** e, em seguida, escolha **Gerenciar sincronização** para configurar seu *escopo de sincronização*, a lista de usuários e grupos a serem sincronizados.
# Atributos de usuário e grupo compatíveis com o IAM Identity Center compatíveis
Este guia fornece uma referência para o suporte de atributos do SCIM no IAM Identity Center. Ele lista quais atributos do usuário e do grupo da especificação SCIM são compatíveis com o repositório de identidades do IAM Identity Center e identifica atributos e subatributos específicos que não são compatíveis com o IAM Identity Center.
Os atributos são informações que ajudam a definir e identificar objetos do usuário ou do grupo, como `name`, `email` ou `members`. O IAM Identity Center é compatível com os atributos mais usados por meio da entrada manual e do provisionamento automático do SCIM.
+ [Para obter informações sobre a especificação System for Cross-Domain Identity Management (SCIM), consulte https://tools.ietf.org/html /rfc7642.](https://tools.ietf.org/html/rfc7642)
+ Para obter informações sobre provisionamento manual e automático, consulte [Provisionamento quando os usuários vêm de um IdP externo](manage-your-identity-source-idp.md#provisioning-when-external-idp).
+ Para obter informações sobre mapeamento de atributos, consulte [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md).
Como o IAM Identity Center oferece suporte ao SCIM para casos de uso de provisionamento automático, o diretório do Identity Center oferece suporte a todos os mesmos atributos de usuário e grupo listados na especificação do SCIM, com algumas exceções. As próximas seções descrevem quais atributos não são compatíveis com o IAM Identity Center.
## Objetos do usuário não compatíveis
Todos os atributos do esquema de usuário do SCIM ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) são compatíveis com o repositório de identidades do IAM Identity Center, exceto os seguintes:
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`
Todos os subatributos dos usuários são compatíveis, com exceção de:
+ subatributo `'display'` de qualquer atributo de vários valores (por exemplo, `emails` ou `phoneNumbers`)
+ subatributo `'version'` do atributo `'meta'`
## Objetos do grupo não compatíveis
Todos os atributos do esquema do grupo SCIM ([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643#section-8.4) \$1section -8.4) são suportados.
Todos os subatributos dos grupos são compatíveis, com exceção de:
+ subatributo `'display'` de qualquer atributo de vários valores (por exemplo, membros).
# Provedores de identidades externos
Com o IAM Identity Center, você pode conectar suas identidades de força de trabalho existentes de provedores de identidade externos (IdPs) por meio dos protocolos Security Assertion Markup Language (SAML) 2.0 e System for Cross-Domain Identity Management (SCIM). Isso permite que seus usuários façam login no portal de acesso da AWS com suas credenciais corporativas. Eles podem então navegar até suas contas, funções e aplicativos atribuídos hospedados externamente IdPs.
Por exemplo, você pode conectar um IdP externo, como o Okta ou o Microsoft Entra ID (AD), ao IAM Identity Center. Seus usuários podem então entrar no portal de AWS acesso com suas Microsoft Entra ID credenciais Okta ou existentes. Para controlar o que seus usuários podem fazer depois de entrarem, você pode atribuir a eles permissões de acesso centralmente em todas as contas e aplicativos AWS da sua organização. Além disso, os desenvolvedores podem simplesmente entrar no AWS Command Line Interface (AWS CLI) usando suas credenciais existentes e se beneficiar da geração e rotação automáticas de credenciais de curto prazo.
Se você estiver usando um diretório autogerenciado no Active Directory ou em um AWS Managed Microsoft AD, consulte[Diretório Microsoft AD](manage-your-identity-source-ad.md).
**nota**
O protocolo SAML não fornece uma forma de consultar o IdP para saber mais sobre usuários e grupos. Portanto, você deve informar o IAM Identity Center sobre esses usuários e grupos, provisionando-os no IAM Identity Center.
## Provisionamento quando os usuários vêm de um IdP externo
Ao usar um IdP externo, você deve provisionar todos os usuários e grupos aplicáveis no IAM Identity Center antes de poder fazer qualquer atribuição ou aplicativo. Contas da AWS Para fazer isso, você pode configurar o [Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM](provision-automatically.md) para usuários e grupos ou usar o [Provisionamento manual](provision-automatically.md#provision-manually). Independentemente de como você provisiona usuários, o IAM Identity Center redireciona a interface da Console de gerenciamento da AWS linha de comando e a autenticação do aplicativo para seu IdP externo. Em seguida, o IAM Identity Center concede acesso a esses recursos com base nas políticas que você cria no IAM Identity Center. Para obter mais informações sobre provisionamento, consulte [Provisionamento de usuários e grupos](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [
## Provisionamento quando os usuários vêm de um IdP externo
](#provisioning-when-external-idp)
+ [
# Como se conectar a um provedor de identidades externo
](how-to-connect-idp.md)
+ [
# Como alterar metadados de um provedor de identidades externo no IAM Identity Center
](how-to-change-idp-metadata.md)
+ [
# Uso de federação de identidades SAML e SCIM com provedores de identidade externos
](other-idps.md)
+ [
# Perfil do SCIM e implementação SAML 2.0
](scim-profile-saml.md)
# Como se conectar a um provedor de identidades externo
Existem diferentes pré-requisitos, considerações e procedimentos de provisionamento para o suporte externo. IdPs Há step-by-step tutoriais disponíveis para vários: IdPs
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping Identity](pingidentity.md)
Para obter mais informações sobre as considerações externas suportadas pelo IdPs IAM Identity Center, consulte[Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
O procedimento a seguir apresenta uma visão geral do procedimento usado com todos os provedores de identidades externos.
**Conectar-se a um provedor de identidades externo**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e, em seguida, escolha **Ações > Alterar origem da identidade**.
1. Em **Escolher fonte de identidade**, selecione **Escolher fonte de identidade** e, depois, **Próximo**.
1. Em **Configurar provedor de identidades externo**, faça o seguinte:
1. Em **Metadados do provedor de serviços**, escolha **Baixar arquivo de metadados** para baixar o arquivo de metadados e salvá-lo em seu sistema. O arquivo de metadados SAML do IAM Identity Center é exigido pelo seu provedor de identidades externo.
**nota**
O arquivo de metadados SAML que você baixa contém tanto o serviço de consumidor de asserção IPv4 (ACS) somente quanto o dual-stack. URLs Além disso, se sua Central de Identidade do IAM for replicada para regiões adicionais, o arquivo de metadados conterá ACS URLs para cada região adicional. Se o seu IdP externo tiver um limite no número de ACS URLs, você precisará remover o ACS desnecessário. URLs Por exemplo, se sua organização adotou totalmente os endpoints de pilha dupla e não usa mais aqueles IP4v somente, você pode remover os últimos. Uma abordagem alternativa é não usar o arquivo de metadados, mas copiar e colar o ACS URLs no IdP externo.
1. Em **Metadados do provedor de identidades**, selecione **Escolher arquivo** e localize o arquivo de metadados que você baixou do seu provedor de identidades externo. Em seguida, faça upload do arquivo. Esse arquivo de metadados contém o certificado de chave pública x509 que é necessário e usado para confiar em mensagens enviadas do IdP.
1. Escolha **Próximo**.
**Importante**
Alterar sua fonte para ou do Active Directory remove todas as atribuições existentes de usuários e grupos. Você deve reaplicar manualmente as atribuições depois de alterar sua fonte com sucesso.
1. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira **ACEITAR**.
1. Escolha **Alterar origem de identidade**. Uma mensagem de status informa que você alterou com sucesso a fonte de identidades.
# Como alterar metadados de um provedor de identidades externo no IAM Identity Center
É possível alterar os metadados do seu provedor de identidades externo que você forneceu anteriormente ao IAM Identity Center. Essas mudanças afetam a capacidade dos usuários de fazer login e acessar AWS recursos por meio do IAM Identity Center. O procedimento a seguir descreve como atualizar os metadados do IdP externo armazenados no IAM Identity Center. Para concluir esse procedimento, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
**Para alterar os metadados de um provedor de identidades externo**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade**. Selecione **Ações** e depois escolha **Gerenciar autenticação**.
1. Na seção **Metadados do provedor de identidades**, escolha **Editar metadados do IdP**. Você pode fazer as alterações no URL de login do IdP e/ou no URL do emissor do seu IdP externo nesta página. Escolha **Salvar alterações** quando tiver feito todas as alterações necessárias.
# Uso de federação de identidades SAML e SCIM com provedores de identidade externos
O IAM Identity Center implementa os seguintes protocolos baseados em padrões para federação de identidades:
+ SAML 2.0 para autenticação do usuário
+ SCIM para provisionamento
Espera-se que qualquer provedor de identidades (IdP) que implemente esses protocolos padrão interopere com sucesso com o IAM Identity Center, com as seguintes considerações especiais:
+ **SAML**
+ O IAM Identity Center exige um formato SAML NameID de endereço de e-mail (ou seja, `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`).
+ [O valor do campo NameID nas asserções deve ser uma string (“”) compatível com addr-spec RFC 2822 ([https://tools.ietf.org/html/rfc2822) compatível com addr-spec (/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ O arquivo de metadados não pode ter mais de 75.000 caracteres.
+ Os metadados devem conter um EntityID, certificado X509 e SingleSignOnService como parte da URL de login.
+ Uma chave de criptografia não é compatível.
+ O IAM Identity Center não é compatível com a assinatura de solicitações de autenticação SAML enviadas para o exterior IdPs.
+ O IdP precisa oferecer suporte a vários serviços ao consumidor de asserção (ACS) URLs se você planeja replicar o IAM Identity Center para regiões adicionais e aproveitar totalmente os benefícios de um IAM Identity Center multirregional. Para obter mais informações, consulte [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md). Usar um único URL do ACS pode afetar a experiência do usuário em outras regiões. Sua região principal continuará funcionando normalmente. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte [Usando aplicativos AWS gerenciados sem vários ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e. [Conta da AWS resiliência de acesso sem vários ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
+ **SCIM**
+ [A implementação do IAM Identity Center SCIM é baseada no SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) e 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)) e nos requisitos de interoperabilidade estabelecidos no rascunho de março de [https://tools.ietf.org/html2020 do Basic SCIM Profile 1.0 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Todas as diferenças entre esses documentos e a implementação atual no IAM Identity Center estão descritas na seção [Operações de API suportadas](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) do *Guia do desenvolvedor de implementação do IAM Identity Center SCIM*.
IdPs que não estejam em conformidade com os padrões e as considerações mencionadas acima não são suportadas. Entre em contato com seu IdP para perguntas ou esclarecimentos sobre a conformidade de seus produtos com esses padrões e considerações.
Se você tiver problemas para conectar seu IdP ao IAM Identity Center, recomendamos que você verifique:
+ AWS CloudTrail **registra filtrando o nome ExternalId PDirectory do evento Login**
+ Registros específicos do IdP, registros and/or de depuração
+ [Solução de problemas do IAM Identity Center](troubleshooting.md)
**nota**
Alguns IdPs, como os do[Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md), oferecem uma experiência de configuração simplificada para o IAM Identity Center na forma de um “aplicativo” ou “conector” criado especificamente para o IAM Identity Center. Se o seu IdP fornecer essa opção, recomendamos que a utilize, tomando cuidado ao escolher o item criado especificamente para o IAM Identity Center. Outros itens chamados “AWS”, “AWS federação” ou nomes genéricos de "AWS" semelhantes podem usar outros and/or endpoints de abordagem de federação e podem não funcionar conforme o esperado com o IAM Identity Center.
# Perfil do SCIM e implementação SAML 2.0
Tanto o SCIM quanto o SAML são considerações importantes para configurar o IAM Identity Center.
## Implementação SAML 2.0
O IAM Identity Center é compatível com federação de identidades com [SAML (Security Assertion Markup Language)](https://wiki.oasis-open.org/security) 2.0. Isso permite que o IAM Identity Center autentique identidades de provedores de identidade externos ()IdPs. O SAML 2.0 é um padrão aberto usado para trocar afirmações SAML com segurança. O SAML 2.0 transmite informações sobre um usuário entre uma autoridade SAML (chamada de provedor de identidades ou IdP) e um consumidor de SAML (chamado de provedor de serviços ou SP). O serviço IAM Identity Center usa essas informações para fornecer login único federado. O login único permite que os usuários acessem Contas da AWS e configurem aplicativos com base em suas credenciais de provedor de identidade existentes.
O IAM Identity Center adiciona recursos de SAML IdP à sua loja AWS Managed Microsoft AD do IAM Identity Center ou a um provedor de identidade externo. Os usuários podem então fazer login único em serviços que oferecem suporte ao SAML, incluindo aplicativos Console de gerenciamento da AWS de terceirosMicrosoft 365, como, e. Concur Salesforce
Porém, o protocolo SAML não oferece um modo de consultar o IdP para obter informações sobre usuários e grupos. Portanto, você deve informar o IAM Identity Center sobre esses usuários e grupos, provisionando-os no IAM Identity Center.
## Perfil do SCIM
O IAM Identity Center fornece suporte para o padrão System for Cross-domain Identity Management (SCIM) v2.0. O SCIM mantém as identidades do IAM Identity Center sincronizadas com as identidades do seu IdP. Isso inclui qualquer provisionamento, atualizações e desprovisionamento de usuários entre seu IdP e o IAM Identity Center.
Para obter mais informações sobre como implementar o SCIM, consulte[Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM](provision-automatically.md). Para obter mais detalhes sobre a implementação do SCIM do IAM Identity Center, consulte o [Guia do desenvolvedor de implementação do IAM Identity Center do SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [
## Implementação SAML 2.0
](#samlfederationconcept)
+ [
## Perfil do SCIM
](#scim-profile)
+ [
# Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM
](provision-automatically.md)
+ [
# Fazer rodízio de certificados SAML 2.0
](managesamlcerts.md)
# Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) de informações de usuários e grupos do seu provedor de identidades (IdP) no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário do seu provedor de identidades (IdP) para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e seu IdP. Você configura essa conexão em seu IdP usando seu endpoint SCIM para o IAM Identity Center e um token de portador que você cria no IAM Identity Center.
**Topics**
+ [
## Considerações sobre o uso do provisionamento automático
](#auto-provisioning-considerations)
+ [
## Como monitorar a expiração do token de acesso
](#access-token-expiry)
+ [
# Gerar um token de acesso
](generate-token.md)
+ [
# Habilitar provisionamento automático
](how-to-with-scim.md)
+ [
# Excluir um token de acesso
](delete-token.md)
+ [
# Desabilitar provisionamento automático
](disable-provisioning.md)
+ [
# Fazer rodízio de um token de acesso
](rotate-token.md)
+ [
# Auditar e reconciliar recursos provisionados automaticamente
](reconcile-auto-provisioning.md)
+ [
## Provisionamento manual
](#provision-manually)
## Considerações sobre o uso do provisionamento automático
Antes de começar a implantar o SCIM, recomendamos que você primeiro analise as seguintes considerações importantes sobre como ele funciona com o IAM Identity Center. Para considerações adicionais sobre provisionamento, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) aplicáveis ao seu IdP.
+ Se você estiver provisionando um endereço de e-mail principal, esse valor de atributo deverá ser exclusivo para cada usuário. Em alguns casos IdPs, o endereço de e-mail principal pode não ser um endereço de e-mail real. Por exemplo, pode ser um Universal Principal Name (UPN) que só se parece com um e-mail. Eles IdPs podem ter um endereço de e-mail secundário ou “outro” que contém o endereço de e-mail real do usuário. Você deve configurar o SCIM em seu IdP para mapear o endereço de e-mail exclusivo não NULL para o atributo de endereço de e-mail principal do IAM Identity Center. E você deve mapear o identificador de login exclusivo não NULL do usuário para o atributo de nome de usuário do IAM Identity Center. Verifique se o seu IdP tem um valor único que seja o identificador de login e o nome de e-mail do usuário. Nesse caso, você pode mapear esse campo IdP para o e-mail principal do IAM Identity Center e para o nome de usuário do IAM Identity Center.
+ Para que a sincronização do SCIM funcione, cada usuário deve ter um valor **especificado de nome**, **sobrenome, nome** **de usuário** e **nome de exibição**. Se algum desses valores estiver ausente de um usuário, esse usuário não será provisionado.
+ Se você precisar usar aplicativos de terceiros, primeiro precisará mapear o atributo de assunto SAML de saída para o atributo de nome de usuário. Se o aplicativo de terceiros precisar de um endereço de e-mail roteável, você deverá fornecer o atributo de e-mail ao seu IdP.
+ Os intervalos de provisionamento e atualização do SCIM são controlados pelo seu provedor de identidades. As alterações nos usuários e grupos em seu provedor de identidade só são refletidas no IAM Identity Center depois que seu provedor de identidades envia essas alterações para o IAM Identity Center. Consulte seu provedor de identidades para obter detalhes sobre a frequência das atualizações de usuários e grupos.
+ Atualmente, atributos de vários valores (como vários e-mails ou números de telefone de um determinado usuário) não são provisionados com o SCIM. As tentativas de sincronizar atributos de vários valores no IAM Identity Center com o SCIM falharão. Para evitar falhas, certifique-se de que somente um único valor seja passado para cada atributo. Se você tiver usuários com atributos de vários valores, remova ou modifique os mapeamentos de atributos duplicados no SCIM em seu IdP para a conexão com o IAM Identity Center.
+ Verifique se o mapeamento `externalId` SCIM em seu IdP corresponde a um valor exclusivo, sempre presente e com menor probabilidade de alteração para seus usuários. Por exemplo, seu IdP pode fornecer um identificador `objectId` garantido ou outro que não seja afetado por alterações nos atributos do usuário, como nome e e-mail. Nesse caso, você pode mapear esse valor para o campo `externalId` do SCIM. Isso garante que seus usuários não percam AWS direitos, atribuições ou permissões se você precisar alterar o nome ou o e-mail deles.
+ Usuários que ainda não foram atribuídos a um aplicativo ou que Conta da AWS não podem ser provisionados no IAM Identity Center. Para sincronizar usuários e grupos, certifique-se de que eles estejam atribuídos ao aplicativo ou a outra configuração que represente a conexão do seu IdP com o IAM Identity Center.
+ O comportamento de desprovisionamento de usuários é gerenciado pelo provedor de identidades e pode variar de acordo com sua implementação. Consulte seu provedor de identidades para obter detalhes sobre desprovisionamento de usuários.
+ Depois de configurar o provisionamento automático com o SCIM para o IdP, você não pode mais adicionar ou editar usuários no console do IAM Identity Center. Se precisar adicionar ou modificar um usuário, você deve fazer isso no IdP externo ou da fonte de identidade.
Para obter mais informações sobre a implementação do SCIM do IAM Identity Center, consulte o [Guia do desenvolvedor de implementação do IAM Identity Center do SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Como monitorar a expiração do token de acesso
Os tokens de acesso ao SCIM são gerados com validade de um ano. Quando seu token de acesso ao SCIM está configurado para expirar em 90 dias ou menos, AWS envia lembretes no console do IAM Identity Center e no AWS Health painel para ajudá-lo a alternar o token. Ao fazer rodízio do token de acesso do SCIM antes que ele expire, você protege continuamente o provisionamento automático das informações do usuário e do grupo. Se o token de acesso do SCIM expirar, a sincronização das informações do usuário e do grupo do seu provedor de identidades no IAM Identity Center será interrompida, portanto, o provisionamento automático não poderá mais fazer atualizações ou criar e excluir informações. A interrupção do provisionamento automático pode impor riscos de segurança mais graves e afetar o acesso aos seus serviços.
Os lembretes do console do Identity Center persistem até que você faça rodízio do token de acesso do SCIM e exclua todos os tokens de acesso não utilizados ou expirados. Os eventos do AWS Health Dashboard são renovados semanalmente entre 90 a 60 dias, duas vezes por semana de 60 a 30 dias, três vezes por semana de 30 a 15 dias e diariamente a partir de 15 dias até que os tokens de acesso ao SCIM expirem.
# Gerar um token de acesso
Use o procedimento a seguir para gerar um novo token de acesso no console do IAM Identity Center.
**nota**
Esse procedimento exige que você tenha habilitado antes o provisionamento automático. Para obter mais informações, consulte [Habilitar provisionamento automático](how-to-with-scim.md).
**Para gerar um novo token de acesso**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, em **Tokens de acesso**, escolha **Gerar token**.
1. Na caixa de diálogo **Gerar novo token de acesso**, copie o novo token de acesso e salve-o em um local seguro.
1. Escolha **Fechar**.
# Habilitar provisionamento automático
Use o procedimento a seguir para ativar o provisionamento automático de usuários e grupos do seu IdP para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de iniciar esse procedimento, recomendamos que você analise antes as considerações de provisionamento que sejam aplicáveis ao seu IdP. Para obter mais informações, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para o seu IdP.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Depois de concluir este procedimento, você deve configurar o provisionamento automático em seu IdP. Para obter mais informações, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para o seu IdP.
# Excluir um token de acesso
Use o procedimento a seguir para excluir um token de acesso existente no console do IAM Identity Center.
**Para excluir um token de acesso**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, em **Tokens de acesso**, exclua e selecione **Excluir**.
1. Na caixa de diálogo **Excluir token de acesso**, revise as informações, digite **EXCLUIR** e escolha **Excluir token de acesso**.
# Desabilitar provisionamento automático
Use o procedimento a seguir para desabilitar o provisionamento automático no console do IAM Identity Center.
**Importante**
Você deve excluir o token de acesso antes de iniciar esse procedimento. Para obter mais informações, consulte [Excluir um token de acesso](delete-token.md).
**Para desabilitar o provisionamento automático no console do IAM Identity Center**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, escolha **Desabilitar**.
1. Na caixa de diálogo **Desabilitar provisionamento automático**, revise as informações, digite **DESABILITAR** e escolha **Desabilitar provisionamento automático**.
# Fazer rodízio de um token de acesso
Um diretório do IAM Identity Center suporta até dois tokens de acesso por vez. Para gerar um token de acesso adicional antes de qualquer rodízio, exclua todos os tokens de acesso expirados ou não utilizados.
Se seu token de acesso SCIM estiver prestes a expirar, você poderá usar o procedimento a seguir para alternar um token de acesso existente no console do IAM Identity Center.
**Para fazer rodízio de um token de acesso**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, em **Tokens de acesso**, anote o ID do token que você deseja alternar.
1. Siga as etapas em [Gerar um token de acesso](generate-token.md) para criar um novo token. Se você já criou o número máximo de tokens de acesso ao SCIM, primeiro precisará excluir um dos tokens existentes.
1. Acesse o site do seu provedor de identidades e configure o novo token de acesso para provisionamento do SCIM e, em seguida, teste a conectividade com o IAM Identity Center usando o novo token de acesso do SCIM. Depois de confirmar que o provisionamento está funcionando com êxito usando o novo token, continue com a próxima etapa desse procedimento.
1. Siga as etapas em [Excluir um token de acesso](delete-token.md) para excluir o token de acesso antigo que você anotou anteriormente. Você também pode usar a data de criação do token como uma dica de qual token remover.
# Auditar e reconciliar recursos provisionados automaticamente
O SCIM permite que você provisione automaticamente usuários, grupos e associações de grupos da fonte de identidade para o IAM Identity Center. Este guia ajuda você a verificar e reconciliar esses recursos para manter uma sincronização precisa.
## Por que auditar os recursos?
A auditoria regular ajuda a garantir que os controles de acesso permaneçam precisos e que seu provedor de identidade (IdP) permaneça devidamente sincronizado com o IAM Identity Center. Isso é particularmente importante para a conformidade de segurança e o gerenciamento de acesso.
Recursos que podem ser auditados:
+ Usuários
+ Groups (Grupos)
+ Associações de grupo
Você pode usar os [comandos do AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou da CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) para conduzir a auditoria e a reconciliação. Os exemplos a seguir usam comandos AWS CLI . Para alternativas de API, consulte as [operações correspondentes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) na *referência da API do Identity Store*.
## Como auditar recursos
Aqui estão alguns exemplos de como auditar esses recursos usando AWS CLI comandos.
Antes de começar, verifique se você tem:
+ Acesso de administrador ao IAM Identity Center.
+ AWS CLI instalado e configurado. Para obter informações, consulte o Guia do usuário da interface da linha de comando da [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Permissões do IAM exigidas para comandos do Identity Store.
### Etapa 1: listar os recursos atuais
Você pode visualizar seus recursos atuais usando AWS CLI o.
**nota**
Ao usar o AWS CLI, a paginação é processada automaticamente, a menos que você especifique. `--no-paginate` Se você estiver chamando a API diretamente (por exemplo, com um SDK ou um script personalizado), manipule o `NextToken` na resposta. Isso garante que você recupere todos os resultados em várias páginas.
**Example para usuários**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example para grupos**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example para associações de grupo**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Etapa 2: comparar a fonte de identidade
Compare os recursos listados com a fonte de identidade para identificar quaisquer discrepâncias, como:
+ Recursos ausentes que devem ser provisionados no IAM Identity Center.
+ Recursos extras que devem ser removidos do IAM Identity Center.
**Example para usuários**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example para grupos**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example para associações de grupo**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considerações
+ Os comandos estão sujeitos a [cotas de serviço e controle de utilização de API.](limits.md#ssothrottlelimits)
+ Quando você encontrar muitas diferenças durante a reconciliação, faça pequenas alterações graduais no AWS Identity Store. Isso ajuda a evitar erros que afetam vários usuários.
+ A sincronização do SCIM pode substituir as alterações manuais. Verifique as configurações de IdP para entender esse comportamento.
## Provisionamento manual
Alguns IdPs não têm suporte ao System for Cross-domain Identity Management (SCIM) ou têm uma implementação de SCIM incompatível. Nesses casos, você pode provisionar usuários manualmente por meio do console do IAM Identity Center. Ao adicionar usuários ao IAM Identity Center, certifique-se de definir o nome de usuário para ser idêntico ao nome de usuário que você tem no seu IdP. No mínimo, você deve ter um endereço de e-mail e nome de usuário exclusivos. Para obter mais informações, consulte [Exclusividade do nome de usuário e endereço de e-mail](users-groups-provisioning.md#username-email-unique).
Você também deve gerenciar todos os grupos manualmente no IAM Identity Center. Para fazer isso, você cria os grupos e os adiciona usando o console do IAM Identity Center. Esses grupos não precisam corresponder ao que existe em seu IdP. Para obter mais informações, consulte [Groups (Grupos)](users-groups-provisioning.md#groups-concept).
# Fazer rodízio de certificados SAML 2.0
O IAM Identity Center usa certificados para configurar uma relação de confiança SAML entre seu provedor de identidades (IdP) e o IAM Identity Center. Ao adicionar um IdP externo no IAM Identity Center, você também deve obter pelo menos um certificado SAML 2.0 X.509 público do IdP externo. Esse certificado geralmente é instalado automaticamente durante a troca de metadados SAML do IdP durante a criação da confiança.
Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados IdP antigos por outros mais novos. Por exemplo, talvez seja necessário substituir um certificado IdP quando a data de expiração do certificado se aproximar. O processo de substituição de um certificado antigo por um mais recente é conhecido como rodízio de certificados.
**Topics**
+ [
# Alternar um certificado SAML 2.0
](rotatesamlcert.md)
+ [
# Indicadores de status de expiração do certificado
](samlcertexpirationindicators.md)
# Alternar um certificado SAML 2.0
Talvez seja necessário importar certificados periodicamente para alternar certificados inválidos ou expirados emitidos pelo seu provedor de identidades. Isso ajuda a evitar a interrupção da autenticação ou o tempo de inatividade da autenticação. Todos os certificados importados são automaticamente ativos. Os certificados só devem ser excluídos depois de garantir que não estejam mais em uso com o provedor de identidades associado.
Você também deve considerar que alguns IdPs podem não oferecer suporte a vários certificados. Nesse caso, o ato de alternar certificados com eles IdPs pode significar uma interrupção temporária do serviço para seus usuários. O serviço é restaurado quando a confiança com esse IdP é restabelecida com sucesso. Planeje essa operação com cuidado fora do horário de pico, se possível.
**nota**
Como prática recomendada de segurança, em caso de qualquer sinal de comprometimento ou manuseio incorreto de um certificado SAML existente, você deve remover e alternar o certificado imediatamente.
A rotatividade de um certificado do IAM Identity Center é um processo de várias etapas que envolve o seguinte:
+ Obtendo um novo certificado do IdP
+ Importação do novo certificado para o IAM Identity Center
+ Ativando o novo certificado no IdP
+ Excluindo o certificado antigo
Use todos os procedimentos a seguir para concluir o processo de rotação de certificados e, ao mesmo tempo, evitar qualquer tempo de inatividade da autenticação.
**Etapa1: Obter um novo certificado do IdP**
Acesse o site do IdP e baixe o certificado SAML 2.0. Certifique-se de que o arquivo do certificado seja baixado no formato codificado PEM. A maioria dos provedores permite que você crie vários certificados SAML 2.0 no IdP. É provável que sejam marcados como desativados ou inativos.
**Etapa 2: Importar o novo certificado para o IAM Identity Center**
Use o procedimento a seguir para importar o novo certificado usando o console do IAM Identity Center.
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar autenticação**.
1. Na página **Gerenciar certificados SAML 2.0** escolha **Importar certificado**.
1. Na caixa de diálogo **Importar certificado SAML 2.0**, selecione **Escolher arquivo**, navegue até seu arquivo de certificado, selecione-o e, em seguida, escolha **Importar certificado**.
Nesse ponto, o IAM Identity Center confiará em todas as mensagens SAML recebidas assinadas pelos dois certificados que você importou.
**Etapa 3: Ativar o novo certificado no IdP**
Volte ao site do IdP e marque o novo certificado que você criou anteriormente como primário ou ativo. Nesse ponto, todas as mensagens SAML assinadas pelo IdP devem estar usando o novo certificado.
**Etapa 4: Excluir o certificado antigo**
Use o procedimento a seguir para concluir o processo de rodízio de certificados do seu IdP. Sempre deve haver pelo menos um certificado válido listado e ele não pode ser removido.
**nota**
Certifique-se de que seu provedor de identidades não esteja mais assinando respostas SAML com esse certificado antes de excluí-lo.
1. Na página **Gerenciar certificados SAML 2.0**, escolha o certificado que você quer excluir. Escolha **Excluir**.
1. Na caixa de diálogo **Excluir certificado SAML 2.0**, digite **DELETE** para confirmar e escolha **Excluir**.
1. Volte ao site do IdP e execute as etapas necessárias para remover o certificado inativo antigo.
# Indicadores de status de expiração do certificado
A página **Gerenciar certificados SAML 2.0** exibe ícones indicadores de status coloridos na coluna **Expira em** ao lado de cada certificado da lista. A seguir, descrevemos os critérios que o IAM Identity Center usa para determinar qual ícone é exibido para cada certificado.
+ **Vermelho**: indica que um certificado expirou.
+ **Amarelo**: indica que um certificado expira em 90 dias ou menos.
+ **Verde**: indica que um certificado é válido e permanecerá válido por, pelo menos, mais 90 dias.
**Para verificar o status atual de um certificado**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar autenticação**.
1. Na página **Gerenciar autenticação SAML 2.0**, em **Gerenciar certificados SAML 2.0**, revise o status dos certificados na lista, conforme indicado na coluna **Expira em**.
# Diretório Microsoft AD
Com Centro de Identidade do AWS IAM, você pode conectar um diretório autogerenciado no Active Directory (AD) ou um diretório AWS Managed Microsoft AD usando AWS Directory Service. Esse diretório do Microsoft AD define o grupo de identidades que os administradores podem extrair ao usar o console do IAM Identity Center para atribuir acesso de logon único. Depois de conectar seu diretório corporativo ao IAM Identity Center, você pode conceder aos usuários ou grupos do AD acesso a Contas da AWS aplicativos ou ambos.
AWS Directory Service ajuda você a configurar e executar um AWS Managed Microsoft AD diretório autônomo hospedado no Nuvem AWS. Você também pode usar Directory Service para conectar seus AWS recursos a um AD autogerenciado existente. Para configurar AWS Directory Service para funcionar com seu AD autogerenciado, você deve primeiro configurar relações de confiança para estender a autenticação para a nuvem.
O IAM Identity Center usa a conexão fornecida por Directory Service para realizar a autenticação de passagem para a instância de origem do AD. Quando você usa AWS Managed Microsoft AD como fonte de identidade, o IAM Identity Center pode trabalhar com usuários de AWS Managed Microsoft AD ou de qualquer domínio conectado por meio de uma confiança do AD. Se você quiser localizar seus usuários em quatro ou mais domínios, os usuários devem usar a sintaxe `DOMAIN\user` como nome de usuário ao realizar logins no IAM Identity Center.
**Observações**
Como etapa de pré-requisito, certifique-se de que seu AD Connector ou diretório in Directory Service resida AWS Managed Microsoft AD em sua AWS Organizations conta de gerenciamento.
O IAM Identity Center não é compatível SAMBA 4-based Simple AD como diretório conectado.
O IAM Identity Center não pode sincronizar entidades de segurança estrangeiras ()FSPs. Se um grupo AWS Managed Microsoft AD contiver membros de um domínio confiável como FSPs, esses membros não serão sincronizados.
Para uma demonstração do processo de uso do Active Directory como fonte de identidade para o IAM Identity Center, assista ao seguinte vídeo YouTube:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## Considerações sobre o uso do Active Directory
Se você quiser usar o Active Directory como sua fonte de identidade, sua configuração deve atender aos seguintes pré-requisitos:
+ Se você estiver usando AWS Managed Microsoft AD, deverá habilitar o IAM Identity Center no mesmo Região da AWS local em que seu AWS Managed Microsoft AD diretório está configurado. O IAM Identity Center armazena os dados de atribuição na mesma região do diretório. Para administrar o IAM Identity Center, talvez seja necessário mudar para a região em que o IAM Identity Center está configurado. Além disso, observe que o portal de AWS acesso usa a mesma URL de acesso do seu diretório.
+ Use um Active Directory residente na conta de gerenciamento:
Você deve ter um AD Connector ou AWS Managed Microsoft AD diretório existente configurado e ele deve residir em sua conta AWS Organizations de gerenciamento. AWS Directory Service Você pode conectar somente um diretório do AD Connector ou um diretório por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:
+ [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md)
+ [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md)
+ Use um Active Directory residente na conta de administrador delegado:
Se você planeja habilitar o administrador delegado do IAM Identity Center e usar o Active Directory como sua fonte de identidade do IAM Identity Center, você pode usar um AD Connector ou AWS Managed Microsoft AD diretório existente configurado no AWS Diretório que reside na conta de administrador delegado.
Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta de membro do administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.
# Conectar o Active Directory e especificar um usuário
Se já estiver usando o Active Directory, os tópicos a seguir ajudarão você a conectar o diretório ao IAM Identity Center.
Você pode conectar um AWS Managed Microsoft AD diretório ou um diretório autogerenciado no Active Directory com o IAM Identity Center.
**nota**
O IAM Identity Center não oferece suporte ao Simple AD SAMBA4 baseado como fonte de identidade.
**AWS Managed Microsoft AD**
1. Revise as orientações em [Diretório Microsoft AD](manage-your-identity-source-ad.md).
1. Siga as etapas em [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md).
1. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte [Sincronizar um usuário administrativo para o IAM Identity Center](#sync-admin-user-from-ad).
**Diretório autogerenciado no Active Directory**
1. Revise as orientações em [Diretório Microsoft AD](manage-your-identity-source-ad.md).
1. Siga as etapas em [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md).
1. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte [Sincronizar um usuário administrativo para o IAM Identity Center](#sync-admin-user-from-ad).
**IdP externo**
1. Revise as orientações em [Provedores de identidades externos](manage-your-identity-source-idp.md).
1. Siga as etapas em [Como se conectar a um provedor de identidades externo](how-to-connect-idp.md).
1.
Configure seu IdP para provisionar usuários no IAM Identity Center.
**nota**
Antes de configurar o provisionamento automático baseado em grupos de todas as identidades da sua força de trabalho do seu IdP no IAM Identity Center, recomendamos que você sincronize o usuário ao qual deseja conceder permissões administrativas no IAM Identity Center.
## Sincronizar um usuário administrativo para o IAM Identity Center
Após conectar o Active Directory ao IAM Identity Center, você pode especificar um usuário ao qual deseja conceder permissões administrativas e, em seguida, sincronizar esse usuário do diretório com o IAM Identity Center.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Usuários** e **Adicionar usuários e grupos**.
1. Na guia **User**, em **User**, insira o nome de usuário exato e escolha **Adicionar**.
1. Em **Usuários e grupos adicionados**, faça o seguinte:
1. Confirme se o usuário para o qual você deseja conceder permissões administrativas foi especificado.
1. Marque a caixa de seleção à esquerda do nome do usuário.
1. Selecione **Enviar**.
1. Na página **Gerenciar sincronização**, o usuário que você especificou aparece na lista **Usuários no escopo de sincronização**.
1. No painel de navegação, escolha **Users**.
1. Na página **Usuários**, pode levar algum tempo para que o usuário que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de usuários.
Neste momento, seu usuário não tem acesso à conta de gerenciamento. Você configurará o acesso administrativo a essa conta criando um conjunto de permissões administrativas e atribuindo o usuário a esse conjunto de permissões. Para obter mais informações, consulte [Crie um conjunto de permissões](howtocreatepermissionset.md).
## Provisioning when users come from Active Directory.
O IAM Identity Center usa a conexão fornecida pelo Directory Service para sincronizar informações de usuário, grupo e associação do seu diretório de origem no Active Directory com o repositório de identidades do IAM Identity Center. Nenhuma informação de senha é sincronizada com o IAM Identity Center, pois a autenticação do usuário ocorre diretamente no diretório de origem no Active Directory. Esses dados de identidade são usados por aplicações para facilitar cenários de pesquisa, autorização e colaboração na aplicação sem passar a atividade de LDAP de volta ao diretório de origem no Active Directory.
Para obter mais informações sobre o provisionamento, consulte [Provisionamento de usuários e grupos](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [
## Considerações sobre o uso do Active Directory
](#considerations-ad-identitysource)
+ [
# Conectar o Active Directory e especificar um usuário
](get-started-connect-id-source-ad-idp-specify-user.md)
+ [
## Provisioning when users come from Active Directory.
](#provision-users-from-ad)
+ [
# Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center
](connectawsad.md)
+ [
# Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center
](connectonpremad.md)
+ [
# Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos
](attributemappingsconcept.md)
+ [
# Sincronização configurável no AD do IAM Identity Center
](provision-users-from-ad-configurable-ADsync.md)
# Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center
Use o procedimento a seguir para conectar um diretório AWS Managed Microsoft AD que é gerenciado pelo AWS Directory Service IAM Identity Center.
**Para se conectar AWS Managed Microsoft AD ao IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Antes de passar para a etapa seguinte, confirme se o console do IAM Identity Center está usando uma das regiões em que seu diretório do AWS Managed Microsoft AD está localizado.
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Origem de identidade** e, em seguida, escolha **Actions > Change identity source**.
1. Em **Escolher origem de identidade**, selecione **Active Directory** e, em seguida, escolha **Next**.
1. Em **Connect active directory**, escolha um diretório na AWS Managed Microsoft AD lista e, em seguida, escolha **Next**.
1. Em **Confirmar alteração**, revise as informações e, quando estiver pronto, digite **ACCEPT** e escolha **Change identity source**.
**Importante**
Para especificar um usuário no Active Directory como usuário administrativo no IAM Identity Center, você deve primeiro sincronizar o usuário ao qual deseja conceder permissões administrativas do Active Directory no IAM Identity Center. Para isso, siga as etapas em [Sincronizar um usuário administrativo para o IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
# Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center
Os usuários em seu diretório autogerenciado no Active Directory (AD) também podem ter acesso de logon único Contas da AWS e aplicativos no AWS portal de acesso. Para configurar o acesso de logon único para esses usuários, você poderá seguir um destes procedimentos:
+ **Crie uma relação de confiança bidirecional** — Quando relações de confiança bidirecionais são criadas entre AWS Managed Microsoft AD um diretório autogerenciado no AD, os usuários em seu diretório autogerenciado no AD podem entrar com suas credenciais corporativas em vários AWS serviços e aplicativos de negócios. Confianças unidirecionais não funcionam com o IAM Identity Center.
Centro de Identidade do AWS IAM requer uma relação de confiança bidirecional para que tenha permissões para ler informações de usuários e grupos do seu domínio para sincronizar metadados de usuários e grupos. O IAM Identity Center usa esses metadados ao atribuir acesso a conjuntos de permissões ou aplicativos. Os metadados de usuários e grupos também são usados por aplicativos para colaboração, como quando você compartilha um painel com outro usuário ou grupo. A confiança do Directory Service Microsoft Active Directory em seu domínio permite que o IAM Identity Center confie em seu domínio para autenticação. A confiança na direção oposta concede AWS permissões para ler metadados de usuários e grupos.
Para obter mais informações sobre a configuração de uma confiança bidirecional, consulte [Quando criar uma relação de confiança](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) no *AWS Directory Service Guia Administrativo*.
**nota**
Para usar AWS aplicativos, como o IAM Identity Center, para ler usuários do Directory Service diretório de domínios confiáveis, as Directory Service contas exigem permissões para o userAccountControl atributo dos usuários confiáveis. Sem permissões de leitura para esse atributo, as aplicações da AWS não conseguem determinar se a conta está habilidade ou desabilitada.
O acesso de leitura a esse atributo é fornecido por padrão quando uma relação de confiança é criada. Se você negar o acesso a esse atributo (não recomendado), impedirá que aplicações como o Identity Center consigam ler os usuários confiáveis. A solução é permitir especificamente o acesso de leitura ao `userAccountControl` atributo nas contas de AWS serviço na OU AWS reservada (prefixada com AWS\$1).
+ **Criar um conector AD** – O Conector AD é um gateway de diretório que pode redirecionar solicitações de diretório para seu AD autogerenciado sem armazenar nenhuma informação em cache na nuvem. Para obter mais informações, consulte [Conectar a um Diretório](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) no *Guia de administração AWS Directory Service *. As seguintes considerações devem ser observadas ao usar o AD Connector:
+ Se você estiver conectando o IAM Identity Center a um diretório do AD Connector, qualquer futura redefinição de senha de usuário deverá ser feita de dentro do AD. Isso significa que os usuários não poderão redefinir suas senhas no portal de AWS acesso.
+ Se você usa o AD Connector para conectar seu serviço de domínio do Active Directory ao IAM Identity Center, o IAM Identity Center só tem acesso aos usuários e grupos do único domínio ao qual o AD Connector está conectado. Se você precisar oferecer suporte a vários domínios ou florestas, use Directory Service para o Microsoft Active Directory.
**nota**
O IAM Identity Center não funciona com diretórios Simple AD SAMBA4 baseados.
# Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos
Os mapeamentos de atributos são usados para mapear os tipos de atributos que existem no IAM Identity Center com atributos semelhantes em uma fonte de identidades externa, como o Google Workspace, o Microsoft Active Directory (AD) e o Okta. O IAM Identity Center recupera atributos de usuário da fonte de identidades e os mapeia para os atributos de usuário do IAM Identity Center.
Se o IAM Identity Center estiver sincronizado para usar um **provedor de identidades (IdP)** externo como Google Workspace, Okta ou Ping como fonte de identidade, você precisará mapear os atributos no IdP.
O IAM Identity Center preenche previamente um conjunto de atributos para você na aba **Mapeamentos de atributo** encontrada na página de configuração. O IAM Identity Center usa esses atributos de usuário para preencher as asserções SAML (como atributos SAML) que são enviadas à aplicação. Esses atributos de usuário, por sua vez, são recuperados da fonte de identidades. Cada aplicação determina a lista de atributos SAML 2.0 necessários para que o logon único tenha sucesso. Para obter mais informações, consulte [Mapear atributos em sua aplicação para atributos do IAM Identity Center](mapawsssoattributestoapp.md).
O IAM Identity Center também gerencia um conjunto de atributos para você na seção **Mapeamentos de atributos** da **página de configuração do Active Directory** se você estiver usado o Active Directory como fonte de identidade. Para obter mais informações, consulte [Como mapear atributos de usuário entre o IAM Identity Center e o diretório Microsoft AD](mapssoattributestocdattributes.md).
## Atributos de provedor de identidade externo compatíveis
A tabela a seguir lista todos os atributos do provedor de identidades (IdP) externo que são compatíveis e que podem ser mapeados para atributos que você pode usar ao configurar [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center. Ao usar asserções SAML, você pode usar quaisquer atributos compatíveis com seu IdP.
****
| Atributos compatíveis em seu IdP |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## Mapeamento padrão entre o IAM Identity Center e o Microsoft AD
A tabela a seguir lista os mapeamentos padrão dos atributos de usuário no IAM Identity Center para os atributos de usuário no seu diretório Microsoft AD. O IAM Identity Center só é compatível com a lista de atributos na coluna **User attribute in IAM Identity Center**.
****
| Atributo de usuário no IAM Identity Center | Mapeia para este atributo no Active Directory |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 O atributo de e-mail no IAM Identity Center deve ser exclusivo dentro do diretório.
****
| Atributo de grupo no IAM Identity Center | Mapeia para este atributo no Active Directory |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**Considerações**
+ Se você não tiver nenhuma atribuição para os usuários e grupos no IAM Identity Center ao habilitar a sincronização configurável do AD, os mapeamentos padrão na tabela anterior serão usados. Para obter informações sobre como personalizar esses mapeamentos, consulte [Configure mapeamentos de atributos para sua sincronização](manage-sync-configure-attribute-mapping-configurable-ADsync.md).
+ Alguns atributos do IAM Identity Center não podem ser modificados porque são imutáveis e mapeados por padrão para atributos específicos do diretório Microsoft AD.
Por exemplo, "nome de usuário" é um atributo obrigatório no IAM Identity Center. Se você mapear "nome de usuário" para um atributo de diretório do AD com um valor vazio, o IAM Identity Center considerará o valor `windowsUpn` como o valor padrão para "nome de usuário". Se você quiser alterar o mapeamento de atributos do mapeamento atual para "nome de usuário", confirme se os fluxos do IAM Identity Center com dependência de "nome de usuário" continuarão funcionando como esperado, antes de fazer a alteração.
## Atributos do Microsoft AD do IAM Identity Center compatíveis
A tabela a seguir fornece a lista completa de atributos de diretório do Microsoft AD compatíveis e que podem ser mapeados para atributos de usuário no IAM Identity Center.
****
| Atributos compatíveis em seu diretório do Microsoft AD |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**Considerações**
+ Você pode especificar qualquer combinação de atributos de diretório do Microsoft AD compatíveis para mapear para um único atributo no IAM Identity Center.
## Atributos do IAM Identity Center compatíveis com Microsoft AD
A tabela a seguir lista todos os atributos do IAM Identity Center que são compatíveis e que podem ser mapeados para atributos de usuário no seu diretório Microsoft AD. Posteriormente, quando você configurar os mapeamentos de atributos de aplicativo, poderá usar os mesmos atributos do IAM Identity Center para mapear para atributos reais usados por esse aplicativo.
****
| Atributos do IAM Identity Center compatíveis com Active Directory |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# Como mapear atributos de usuário entre o IAM Identity Center e o diretório Microsoft AD
Você pode usar o procedimento a seguir para especificar como os atributos de usuário no IAM Identity Center devem ser mapeados para atributos correspondentes no diretório do Microsoft AD.
**Mapear atributos no IAM Identity Center para atributos em seu diretório**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Attributes for access control** e, em seguida, escolha **Manage Attributes**.
1. Na página **Edit attribute mappings for access control** (Editar mapeamentos de atributos para controle de acesso), localize o atributo no IAM Identity Center que deseja mapear e, em seguida, digite um valor na caixa de texto. Por exemplo, talvez você queira mapear o atributo de usuário do IAM Identity Center para o **`email`** atributo de diretório do Microsoft AD**`${mail}`**.
1. Escolha **Salvar alterações**.
# Sincronização configurável no AD do IAM Identity Center
A sincronização configurável do Active Directory (AD) do IAM Identity Center permite que você configure explicitamente as identidades no Microsoft Active Directory que são sincronizadas automaticamente com o IAM Identity Center e controle o processo de sincronização.
+ Com esse método de sincronização, você pode fazer o seguinte:
+ Controle os limites dos dados definindo explicitamente os usuários e grupos no Microsoft Active Directory que são sincronizados automaticamente no IAM Identity Center. Você pode [adicionar usuários e grupos](manage-sync-add-users-groups-configurable-ADsync.md) ou [remover usuários e grupos](manage-sync-remove-users-groups-configurable-ADsync.md) para alterar o escopo da sincronização a qualquer momento.
+ Atribua a usuários e grupos sincronizados [acesso de logon único Contas da AWS](useraccess.md) ou [acesso a aplicativos](assignuserstoapp.md). Os aplicativos podem ser aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente.
+ Controle o processo de sincronização [pausando e retomando a sincronização](manage-sync-pause-resume-sync-configurable-ADsync.md) conforme necessário. Isso ajuda você a regular a carga nos sistemas de produção.
## Pré-requisitos e considerações
Antes de usar o AD Sync configurável, esteja ciente dos seguintes pré-requisitos e considerações:
+ **Como especificar usuários e grupos no Active Directory para sincronização**
Antes de usar o IAM Identity Center para atribuir a novos usuários e grupos acesso Contas da AWS e aos aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente, você deve especificar os usuários e grupos no Active Directory para sincronizar e depois sincronizá-los com o IAM Identity Center.
+ **Sincronização configurável do AD** — o IAM Identity Center não pesquisa usuários e grupos diretamente em seu controlador de domínio. Em vez disso, você deve primeiro especificar a lista de usuários e grupos a serem sincronizados. Você pode configurar essa lista, também conhecida como *escopo de sincronização*, de uma das seguintes formas, dependendo se você tem usuários e grupos que já estão sincronizados com o IAM Identity Center ou se tem novos usuários e grupos que você está sincronizando pela primeira vez usando a sincronização configurável do AD.
+ Usuários e grupos existentes: se você tiver usuários e grupos que já estão sincronizados com o IAM Identity Center, o escopo de sincronização na sincronização configurável do AD é pré-preenchido com uma lista desses usuários e grupos. Para atribuir novos usuários ou grupos, você deve adicioná-los especificamente ao escopo de sincronização. Para obter mais informações, consulte [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md).
+ Novos usuários e grupos: se você quiser atribuir a novos usuários e grupos acesso a Contas da AWS e aos aplicativos, você deve especificar quais usuários e grupos adicionar ao escopo de sincronização na sincronização configurável do AD antes de usar o IAM Identity Center para fazer a atribuição. Para obter mais informações, consulte [Adicione usuários e grupos ao escopo de sincronização](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Fazendo atribuições para grupos aninhados no Active Directory**
Grupos que são membros de outros grupos são chamados de *grupos aninhados* (ou grupos secundários).
+ **Sincronização do AD configurável**: usar a sincronização do AD configurável para fazer atribuições a um grupo do Active Directory que contém grupos aninhados pode aumentar o escopo dos usuários que têm acesso a aplicações ou Contas da AWS . Nesse caso, a atribuição é aplicada a todos os usuários, incluindo os usuários em grupos aninhados. Por exemplo, se você atribuir acesso ao Grupo A e o Grupo B for membro do Grupo A, somente os membros diretos do Grupo A poderão acessar a conta.
+ **Atualização de fluxos de trabalho automatizados**
Se você tiver fluxos de trabalho automatizados que usam as ações da API de armazenamento de identidades do IAM Identity Center e as ações da API de atribuição do IAM Identity Center para atribuir a novos usuários e grupos acesso a contas e aplicativos e sincronizá-los com o IAM Identity Center, você deve ajustar esses fluxos de trabalho até 15 de abril de 2022 para que funcionem conforme o esperado com a sincronização configurável do AD. A sincronização configurável do AD altera a ordem na qual a atribuição e o provisionamento de usuários e grupos ocorrem e a forma como as consultas são realizadas.
+ **Sincronização configurável do AD** — O provisionamento ocorre primeiro e não é executado automaticamente. Em vez disso, primeiro você deve adicionar explicitamente usuários e grupos ao repositório de identidades adicionando-os ao seu escopo de sincronização. Para obter informações sobre as etapas recomendadas para automatizar sua configuração de sincronização para sincronização configurável do AD, consulte [Automatize sua configuração de sincronização para sincronização configurável do AD](automate-sync-configuration-configurable-ADsync.md).
**Topics**
+ [
## Pré-requisitos e considerações
](#prerequisites-configurable-ADsync)
+ [
# Como funciona a sincronização configurável do AD
](how-it-works-configurable-ADsync.md)
+ [
# Configure mapeamentos de atributos para sua sincronização
](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [
# Configuração de sincronização entre o Active Directory e o IAM Identity Center
](manage-sync-configurable-ADsync.md)
+ [
# Adicione usuários e grupos ao escopo de sincronização
](manage-sync-add-users-groups-configurable-ADsync.md)
+ [
# Remova usuários e grupos ao escopo de sincronização
](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [
# Interromper e retomar a sincronização
](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [
# Automatize sua configuração de sincronização para sincronização configurável do AD
](automate-sync-configuration-configurable-ADsync.md)
# Como funciona a sincronização configurável do AD
O IAM Identity Center atualiza os dados de identidade baseados em AD no repositório de identidades usando o processo a seguir. Para saber mais sobre os pré-requisitos, consulte. [Pré-requisitos e considerações](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)
## Criação
Depois de conectar seu diretório autogerenciado no Active Directory ou seu AWS Managed Microsoft AD diretório gerenciado pelo Directory Service ao IAM Identity Center, você pode configurar explicitamente os usuários e grupos do Active Directory que você deseja sincronizar no repositório de identidades do IAM Identity Center. As identidades que você escolher serão sincronizadas a cada três horas ou mais no repositório de identidades do IAM Identity Center. Dependendo do tamanho do seu diretório, o processo de sincronização pode demorar mais.
Grupos que são membros de outros grupos (chamados de *grupos aninhados* ou *grupos secundários*) também são gravados no repositório de identidades.
Você só pode atribuir acesso a novos usuários ou grupos depois que eles forem sincronizados no repositório de identidades do IAM Identity Center.
## Atualizar
Os dados de identidade no repositório de identidades do IAM Identity Center permanecem atualizados por meio da leitura periódica dos dados do diretório de origem no Active Directory. O IAM Identity Center, por padrão, sincroniza dados do Active Directory a cada hora em um ciclo de sincronização. A sincronização de dados com o IAM Identity Center pode levar de 30 minutos a 2 horas, dependendo do tamanho do Active Directory.
Os objetos de usuário e grupo que estão no escopo de sincronização e suas associações são criados ou atualizados no IAM Identity Center para mapear os objetos correspondentes no diretório de origem no Active Directory. Para atributos do usuário, somente o subconjunto de atributos listados na seção **Attributes for access control ** do console do IAM Identity Center é atualizado no IAM Identity Center. Pode levar um ciclo de sincronização para uma atualização de atributos feita no Active Directory seja refletida no IAM Identity Center.
Você também pode atualizar o subconjunto de usuários e grupos que você sincroniza no repositório de identidades do IAM Identity Center. Você pode optar por adicionar novos usuários ou grupos a esse subconjunto ou removê-los. Todas as identidades que você adicionar serão sincronizadas na próxima sincronização agendada. As identidades que você remover do subconjunto deixarão de ser atualizadas no armazenamento de identidades do IAM Identity Center. Qualquer usuário que não estiver sincronizado por mais de 28 dias será desativado no repositório de identidades do IAM Identity Center. Os objetos de usuário correspondentes serão automaticamente desativados no repositório de identidades do IAM Identity Center durante o próximo ciclo de sincronização, a menos que façam parte de outro grupo que ainda faça parte do escopo da sincronização.
## Exclusão
Usuários e grupos são excluídos do repositório de identidades do IAM Identity Center quando os objetos de usuário ou grupo correspondentes são excluídos do diretório de origem no Active Directory. Como alternativa, você pode excluir explicitamente objetos de usuário do repositório de identidades do IAM Identity Center usando o console do IAM Identity Center. Se você usa o console do IAM Identity Center, também deve remover os usuários do escopo de sincronização para garantir que eles não sejam sincronizados novamente com o IAM Identity Center durante o próximo ciclo de sincronização.
Você também pode pausar e reiniciar a sincronização a qualquer momento. Se você pausar a sincronização por mais de 28 dias, todos os seus usuários serão desativados.
# Configure mapeamentos de atributos para sua sincronização
Para obter mais informações sobre atributos disponíveis, consulte [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md).
**Mapear atributos no IAM Identity Center para atributos em seu diretório**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **View attribute mapping**.
1. Em **Active Directory user attributes** do **IAM Identity Center identity store attributes** de **Active Directory user attributes**. Por exemplo, talvez você queira mapear o atributo de usuário do IAM Identity Center para o `email` atributo de diretório do Microsoft AD`${objectguid}`.
**nota**
Em **Atributos de grupo**, os **atributos do IAM Identity Center identity store** e os **atributos de grupo do Active Directory** não podem ser alterados.
1. Escolha **Salvar alterações**. Isso o levará de volta à página **Manage Sync**.
# Configuração de sincronização entre o Active Directory e o IAM Identity Center
Se você estiver sincronizando os usuários e grupos do Active Directory para o IAM Identity Center pela primeira vez, siga as etapas. Como alternativa, você pode seguir as etapas descritas em [Alterar sua fonte de identidades](manage-your-identity-source-change.md) para alterar a fonte de identidade do IAM Identity Center para Active Directory.
## Configuração guiada
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Certifique-se de que o console do IAM Identity Center esteja usando um dos Regiões da AWS locais em que seu AWS Managed Microsoft AD diretório está localizado antes de passar para a próxima etapa.
1. Escolha **Settings**.
1. Na parte superior da página, na mensagem de notificação, escolha **Start guided setup**.
1. Na **Etapa 1 — *opcional*: Configurar mapeamentos de atributos**, revise os mapeamentos padrão de atributos de usuário e grupo. Se nenhuma alteração for necessária, escolha **Next**. Se forem necessárias alterações, faça as alterações e escolha **Save changes**.
1. Na **Etapa 2 — *opcional*: Configurar o escopo da sincronização**, escolha a guia **Users**. Em seguida, insira o nome de usuário exato do usuário que você deseja adicionar ao seu escopo de sincronização e escolha **Add**. Em seguida, escolha a guia **Groups**. Insira o nome exato do grupo que você deseja adicionar ao seu escopo de sincronização e escolha **Add**. Em seguida, escolha **Next**. Se você quiser adicionar usuários e grupos ao seu escopo de sincronização posteriormente, não faça alterações e escolha **Next**.
1. Na **Etapa 3: Revise e salve a configuração**, confirme seus **mapeamentos de atributos** na **Etapa 1: Mapeamentos de atributos** e seus **usuários e grupos** na **Etapa 2: Escopo de sincronização**. Escolha **Save configuration**. Isso o levará para a página **Gerenciar Sincronização**.
# Adicione usuários e grupos ao escopo de sincronização
**nota**
Ao adicionar grupos ao seu escopo de sincronização, sincronize grupos diretamente do domínio local confiável em vez de grupos no AWS Managed Microsoft AD domínio. Os grupos sincronizados diretamente do domínio confiável contêm objetos de usuário reais que o IAM Identity Center pode acessar e sincronizar com êxito.
Adicione usuários e grupos do Active Directory ao IAM Identity Center seguindo estas etapas.
**Como adicionar usuários**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Usuários** e **Adicionar usuários e grupos**.
1. Na guia **User**, em **User**, insira o nome de usuário exato e escolha **Adicionar**.
1. Em **Usuários e grupos adicionados**, revise o usuário que você deseja adicionar.
1. Selecione **Submit**.
1. No painel de navegação, escolha **Users**. Se o usuário que você especificou não aparecer na lista, escolha o ícone de atualização para atualizar a lista de usuários.
**Para adicionar grupos**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Groups** e, em seguida, escolha **Add users and groups**.
1. Escolha a guia **Groups**. Em **Grupo**, insira o nome exato do grupo e escolha **Add**.
1. Em **Added Users and Groups**, revise o grupo que você deseja adicionar.
1. Selecione **Submit**.
1. No painel de navegação, escolha **Groups**. Se o grupo que você especificou não aparecer na lista, escolha o ícone de atualização para atualizar a lista de grupos.
# Remova usuários e grupos ao escopo de sincronização
Para obter mais informações sobre o que acontece quando você remove usuários e grupos do seu escopo de sincronização, consulte [Como funciona a sincronização configurável do AD](how-it-works-configurable-ADsync.md).
**Para remover um usuário**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Escolha a guia **Users**.
1. Em **Usuários no escopo de sincronização**, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os usuários, marque a caixa de seleção ao lado do **Username**.
1. Escolha **Remover **.
**Para remover grupos**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Selecione a guia **Grupos**.
1. Em **Groups in sync scope**, marque a caixa de seleção ao lado do usuário que você deseja excluir. Para excluir todos os grupos, marque a caixa de seleção ao lado **Group name**.
1. Escolha **Remover **.
# Interromper e retomar a sincronização
Pausar sua sincronização pausa todos os ciclos de sincronização futuros e impede que as alterações feitas nos usuários e grupos no Active Directory sejam refletidas no IAM Identity Center. Depois de retomar a sincronização, o ciclo de sincronização seleciona essas alterações na próxima sincronização agendada.
**Para pausar a sincronização**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **Pause sync**.
**Para retomar a sincronização**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Em **Manage Sync**, escolha **Resume sync**.
**nota**
Se você vir **Pause sync** em vez de **Resume sync**, a sincronização do Active Directory com o IAM Identity Center já foi retomada.
# Automatize sua configuração de sincronização para sincronização configurável do AD
Para garantir que seu fluxo de trabalho automatizado funcione conforme o esperado com a sincronização configurável do AD, recomendamos que você execute as etapas a seguir para automatizar sua configuração de sincronização.
**Automatize sua configuração de sincronização para sincronização configurável do AD**
1. No Active Directory, crie um *grupo de sincronização principal* para conter todos os usuários e grupos que você deseja sincronizar no IAM Identity Center. Por exemplo, você pode nomear o grupo *IAMIdentityCenterAllUsersAndGroups*.
1. No IAM Identity Center, adicione o grupo de sincronização principal à sua lista de sincronização configurável. O IAM Identity Center sincronizará todos os usuários, grupos, subgrupos e membros de todos os grupos contidos no grupo de sincronização principal.
1. Use as ações da API de gerenciamento de usuários e grupos do Active Directory fornecidas pela Microsoft para adicionar ou remover usuários e grupos do grupo de sincronização principal.