Uso de Active Directory como origen de identidad - AWS IAM Identity Center

Uso de Active Directory como origen de identidad

Si administra los usuarios en su directorio de AWS Managed Microsoft AD mediante AWS Directory Service o en su directorio autoadministrado de Active Directory (AD), puede cambiar el origen de identidad de IAM Identity Center para que funcione con esos usuarios. Le recomendamos que considere la posibilidad de conectar este origen de identidad al habilitar IAM Identity Center y elegir el origen de identidad. Hacerlo antes de crear usuarios y grupos en el directorio predeterminado del Identity Center lo ayudará a evitar la configuración adicional que se requiere si cambia el origen de identidad más adelante.

Para utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos:

  • Si está usando AWS Managed Microsoft AD, debe habilitar IAM Identity Center en la misma Región de AWS donde su directorio de AWS Managed Microsoft AD está configurado. IAM Identity Center almacena los datos de asignación en la misma región que el directorio. Para administrar IAM Identity Center, es posible que deba cambiarse a la región en la que está configurado IAM Identity Center. Además, tenga en cuenta que el portal de acceso de AWS utiliza la misma URL de acceso que su directorio.

  • Utilice un Active Directory que resida en la cuenta de administración:

    Debe tener un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en AWS Directory Service, y debe residir dentro de su cuenta de administración de AWS Organizations. Solo puede conectar un directorio de conector de AD o un directorio en AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte:

  • Utilice una instancia de Active Directory que resida en la cuenta de administrador delegado:

    Si planea habilitar un administrador delegado de IAM Identity Center y usar Active Directory como origen de identidad de IAM Identity Center, puede usar un conector de AD existente o directorio de AWS Managed Microsoft AD configurado en el directorio de AWS que reside en la cuenta de administrador delegado.

    Si decide cambiar la fuente de identidad de IAM Identity Center de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta de miembro administrador delegado de IAM Identity Center, si existe alguna; de lo contrario, debe estar en la cuenta de administración.

En este tutorial se explica la configuración básica para usar Active Directory como origen de identidad de IAM Identity Center.

Si ya utiliza Active Directory, los siguientes temas lo ayudarán a prepararse para conectar su directorio a IAM Identity Center.

nota

Como práctica recomendada de seguridad, le recomendamos que habilite la autenticación multifactor. Si planea conectar un directorio de AWS Managed Microsoft AD o un directorio autogestionado en Active Directory y no está utilizando RADIUS MFA con AWS Directory Service, active la MFA en IAM Identity Center.

AWS Managed Microsoft AD

  1. Revise la guía en Conexión un directorio Microsoft AD.

  2. Siga los pasos de Conectar un directorio en AWS Managed Microsoft AD al Centro de identidades de IAM.

  3. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en IAM Identity Center. Para obtener más información, consulte Sincronice un usuario administrativo en el Centro de identidades de IAM.

Directorio autogestionado en Active Directory

  1. Revise la guía en Conexión un directorio Microsoft AD.

  2. Siga los pasos de Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM.

  3. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en IAM Identity Center. Para obtener más información, consulte Sincronice un usuario administrativo en el Centro de identidades de IAM.

Tras conectar el directorio al IAM Identity Center, puede especificar el usuario al que quiere conceder permisos administrativos y, a continuación, sincronizar ese usuario del directorio con el IAM Identity Center.

  1. Abra la Consola del IAM Identity Center.

  2. Elija Configuraciones.

  3. En la página de Configuraciones, elija la pestaña Origen de identidad, elija Acciones y, a continuación, elija Administrar sincronización.

  4. En la página de Administrar sincronización, elija la pestaña Usuarios y, continuación, seleccione Añadir usuarios y grupos.

  5. En la pestaña Usuarios, en Usuario, ingrese el nombre de usuario exacto y seleccione Agregar.

  6. En Usuarios y grupos añadidos, haga lo siguiente:

    1. Confirme que se ha especificado el usuario a quien desea conceder permisos administrativos.

    2. Seleccione la casilla de verificación situada a la izquierda del nombre de usuario.

    3. Elija Enviar

  7. En la página Administrar sincronización, el usuario que especificó aparece en la lista de Ámbito de usuarios sincronizados.

  8. En el panel de navegación, seleccione Usuarios.

  9. En la página Usuarios, es posible que el usuario que especificó tarde algún tiempo en aparecer en la lista. Seleccione el icono de actualización para actualizar la lista de usuarios.

En este momento, el usuario no tiene acceso a la cuenta de administración. Para configurar el acceso administrativo a esta cuenta, debe crear un conjunto de permisos administrativos y asignar el usuario a ese conjunto de permisos. Para obtener más información, consulte Cree un conjunto de permisos para funciones de trabajo.