Configuración de SAML y SCIM con Microsoft Entra ID e Centro de identidades de IAM - AWS IAM Identity Center
Requisitos previosConsideracionesPaso 1: preparación de su inquilino de MicrosoftPaso 2: preparación de la cuenta de AWSPaso 3: configuración y prueba de la conexión SAMLPaso 4: configuración y comprobación de la sincronización de SCIMPaso 5: Configurar ABAC: opcionalResolución de problemas

Configuración de SAML y SCIM con Microsoft Entra ID e Centro de identidades de IAM

AWS IAM Identity Center admite la integración con el lenguaje de marcado para confirmaciones de seguridad (SAML) 2.0, así como el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde Microsoft Entra ID (antes conocido como Azure Active Directory o Azure AD) a Centro de identidades de IAM mediante el protocolo del sistema de administración de identidades entre dominios (SCIM) 2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Objetivo

En este tutorial, configurará un laboratorio de pruebas y configurará una conexión SAML y el aprovisionamiento de SCIM entre Microsoft Entra ID e Centro de identidades de IAM. Durante los pasos iniciales de preparación, creará un usuario de prueba (Nikki Wolf) tanto en Microsoft Entra ID como en Centro de identidades de IAM que utilizará para probar la conexión SAML en ambas direcciones. Más adelante, como parte de los pasos de SCIM, creará un usuario de prueba diferente (Richard Roe) para comprobar que los nuevos atributos de Microsoft Entra ID se sincronizan con Centro de identidades de IAM según lo previsto.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que definir lo siguiente:

Consideraciones

Las siguientes son consideraciones importantes sobre Microsoft Entra ID que pueden afectar a la forma en que planea implementar el aprovisionamiento automático con Centro de identidades de IAM en su entorno de producción mediante el protocolo SCIM v2.

Aprovisionamiento automático

Antes de comenzar a implementar SCIM, le recomendamos revisar primero las Consideraciones para utilizar el aprovisionamiento automático.

Atributos para controlar el acceso

Los atributos para el control de acceso se utilizan en las políticas de permisos que determinan quién de su origen de identidad puede acceder a sus recursos de AWS. Si se elimina un atributo de un usuario en Microsoft Entra ID, ese atributo no se elimina del usuario correspondiente en Centro de identidades de IAM. Se trata de una limitación de Microsoft Entra ID conocida. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincroniza con Centro de identidades de IAM.

Agrupación anidada

El servicio de aprovisionamiento de usuarios de Microsoft Entra ID no puede leer ni aprovisionar usuarios en grupos anidados. Solo se puede leer y aprovisionar los usuarios que sean miembros inmediatos de un grupo asignado explícitamente. Microsoft Entra ID no desglosa de forma recursiva las pertenencias a grupos de usuarios o grupos asignados indirectamente (usuarios o grupos que son miembros de un grupo asignado directamente). Para obtener más información, consulte Ámbito basado en asignaciones en la documentación de Microsoft. Como alternativa, puede utilizar Sincronización de ID con AD de Centro de identidades de IAM para integrar grupos de Active Directory con Centro de identidades de IAM.

Grupos dinámicos

El servicio de aprovisionamiento de usuarios de Microsoft Entra ID puede leer y aprovisionar usuarios en grupos dinámicos. Consulte a continuación un ejemplo que muestra la estructura de usuarios y grupos al utilizar grupos dinámicos y cómo se muestran en Centro de identidades de IAM. Estos usuarios y grupos se aprovisionaron de Microsoft Entra ID a Centro de identidades de IAM mediante SCIM

Por ejemplo, si la estructura de los grupos dinámicos de Microsoft Entra ID es la siguiente:

  1. Grupo A con los miembros ua1, ua2

  2. Grupo B con miembros ub1

  3. Grupo C con miembros uc1

  4. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

  5. Grupo K con una regla para incluir a los miembros de los grupos A, B, C

Una vez que la información del usuario y el grupo se aprovisione de Microsoft Entra ID a Centro de identidades de IAM a través de SCIM, la estructura será la siguiente:

  1. Grupo A con los miembros ua1, ua2

  2. Grupo B con miembros ub1

  3. Grupo C con miembros uc1

  4. Grupo K con miembros ua1, ua2, ub1, uc1

  5. Grupo L con miembros ub1, uc1

Cuando configure el aprovisionamiento automático mediante grupos dinámicos, tenga en cuenta las siguientes consideraciones.

  • Un grupo dinámico puede incluir un grupo anidado. Sin embargo, el servicio de aprovisionamiento de Microsoft Entra ID no aplana los grupos anidados. Por ejemplo, si tiene la siguiente estructura de Microsoft Entra ID para grupos dinámicos,

    • El grupo A es un elemento principal del grupo B.

    • El grupo A tiene a ua1 como miembro.

    • El grupo B tiene a ub1 como miembro.

El grupo dinámico que incluye al grupo A solo incluirá a los miembros directos del grupo A (es decir, ua1). No incluirá de forma recursiva a los miembros del grupo B.

  • Los grupos dinámicos no pueden contener otros grupos dinámicos. Para obtener más información, consulte Limitaciones de vista previa en la documentación de Microsoft.

Paso 1: preparación de su inquilino de Microsoft

En este paso, seguirá las indicaciones para instalar y configurar su aplicación empresarial de AWS IAM Identity Center y asignar el acceso a un usuario de prueba de Microsoft Entra ID recién creado.

Step 1.1 >

Paso 1.1: configuración de la aplicación empresarial de AWS IAM Identity Center en Microsoft Entra ID

En este procedimiento, instalará la aplicación empresarial de AWS IAM Identity Center en Microsoft Entra ID. Necesitará esta aplicación más adelante para configurar su conexión SAML con AWS.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como mínimo como administrador de aplicaciones en la nube.

  2. Vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione New application.

  3. En la página Browse Microsoft Entra Gallery, ingrese AWS IAM Identity Center en el cuadro de búsqueda.

  4. Seleccione AWS IAM Identity Center de los resultados.

  5. Seleccione Crear.

Step 1.2 >

Paso 1.2: creación de un usuario de prueba en Microsoft Entra ID

Nikki Wolf es el nombre del usuario de prueba de Microsoft Entra ID que creará en este procedimiento.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

  2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

  3. En User principal name, ingrese NikkiWolf y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, NikkiWolf@ejemplo.org.

  4. En Display name, ingrese NikkiWolf.

  5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

  6. Seleccione Properties y, en Name, ingrese Nikki. En Last name, ingrese Wolf.

  7. Elija Review + create y, a continuación, seleccione Create.

Step 1.3

Paso 1.3: prueba de la experiencia de Nikki antes de asignarle permisos para AWS IAM Identity Center

En este procedimiento, verificará que Nikki puede iniciar sesión correctamente en el portal Mi cuenta de Microsoft.

  1. En el mismo navegador, abra una pestaña nueva, vaya a la página de inicio de sesión del portal Mi cuenta e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, NikkiWolf@ejemplo.org.

  2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in. Si se trata de una contraseña generada automáticamente, se le solicitará que la cambie.

  3. En la página Action Required, seleccione Ask later para omitir la solicitud de métodos de seguridad adicionales.

  4. En la página Mi cuenta, en el menú de navegación izquierdo, seleccione Mis aplicaciones. Tenga en cuenta que, además de los complementos, no se muestra ninguna aplicación en este momento. Agregará una aplicación de AWS IAM Identity Center que aparecerá aquí en un paso posterior.

Step 1.4

Paso 1.4: asignación de permisos a Nikki en Microsoft Entra ID

Ahora que ha comprobado que Nikki puede acceder correctamente al portal Mi cuenta, utilice este procedimiento para asignar su usuario a la aplicación de AWS IAM Identity Center.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center en la lista.

  2. A la izquierda, seleccione Users and groups.

  3. Elija Agregar usuario o grupo. Puede ignorar el mensaje que indica que los grupos no están disponibles para su asignación. En este tutorial no se utilizan grupos para las asignaciones.

  4. En la página Add Assignment, en Users, seleccione None Selected.

  5. Seleccione NikkiWolf y, a continuación, Select.

  6. En la página Agregar asignación, elija Asignar. NikkiWolf ahora aparece en la lista de usuarios asignados a la aplicación de AWS IAM Identity Center.

Paso 2: preparación de la cuenta de AWS

En este paso, seguirá las indicaciones para usar IAM Identity Center a fin de configurar los permisos de acceso (mediante un conjunto de permisos), crear manualmente el usuario correspondiente de Nikki Wolf y asignarle los permisos necesarios para administrar los recursos en AWS.

Step 2.1 >

Paso 2.1: creación de un conjunto de permisos de RegionalAdmin en IAM Identity Center

Este conjunto de permisos se utilizará para conceder a Nikki los permisos de cuenta de AWS necesarios para administrar las regiones desde la página Cuenta de la AWS Management Console. De forma predeterminada, todos los demás permisos para ver o administrar cualquier otra información de la cuenta de Nikki están denegados.

  1. Abra la consola de Centro de identidades de IAM

  2. En Permisos para varias cuentas, elija Conjunto de permisos.

  3. Elija Crear conjunto de permisos.

  4. En la página Seleccionar el tipo de conjunto de permisos, seleccione Conjunto de permisos personalizado y seleccione Siguiente.

  5. Seleccione Política insertada para ampliarla y, a continuación, siga estos pasos para crear una política para el conjunto de permisos:

    1. Seleccione Agregar nueva instrucción para crear una instrucción de política.

    2. En Editar instrucción, seleccione Cuenta de la lista y, a continuación, seleccione las siguientes casillas de verificación.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Junto a Agregar un recurso, elija Agregar.

    4. En la página Agregar recurso, en Tipo de recurso, seleccione Todos los recursos y, a continuación, seleccione Agregar recurso. Compruebe que la política sea similar a la siguiente:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Elija Siguiente.

  7. En la página Especificar los detalles del conjunto de permisos, en Nombre de conjunto de permisos, escriba RegionalAdmin y, a continuación, seleccione Siguiente.

  8. En la página Review and create (Revisar y crear), elija Create (Crear). Debería aparecer RegionalAdmin en la lista de conjuntos de permisos.

Step 2.2 >

Paso 2.2: creación del usuario NikkiWolf correspondiente en IAM Identity Center

Como el protocolo SAML no proporciona un mecanismo para consultar el IdP (Microsoft Entra ID) y crear usuarios automáticamente aquí en Centro de identidades de IAM, utilice el siguiente procedimiento para crear manualmente un usuario de Centro de identidades de IAM que refleje los atributos principales del usuario Nikki Wolf en Microsoft Entra ID.

  1. Abra la consola de Centro de identidades de IAM

  2. Seleccione Usuarios, Agregar usuario y, a continuación, proporcione la siguiente información:

    1. Nombre de usuario y Dirección de correo electrónico: ingrese la misma dirección NikkiWolf@dominiodesuempresa.extensión que utilizó al crear el usuario de Microsoft Entra ID. Por ejemplo, NikkiWolf@ejemplo.org.

    2. Confirmar dirección de correo electrónico: vuelva a ingresar la dirección de correo electrónico del paso anterior

    3. Nombre: ingrese Nikki.

    4. Apellidos: ingrese Wolf.

    5. Nombre de visualización: ingrese Nikki Wolf.

  3. Seleccione Siguiente dos veces, y a continuación, seleccione Agregar usuario.

  4. Seleccione Close (Cerrar).

Step 2.3

Paso 2.3: asignación a Nikki del conjunto de permisos de RegionalAdmin en IAM Identity Center

Aquí encontrará la Cuenta de AWS en la que Nikki administrará las regiones y, a continuación, asignará los permisos necesarios para que pueda acceder correctamente al portal de acceso de AWS.

  1. Abra la consola de Centro de identidades de IAM

  2. En Permisos para varias cuentas, elija Cuentas de AWS.

  3. Seleccione la casilla de verificación situada junto al nombre de la cuenta (por ejemplo, Entorno de pruebas) donde quiere conceder a Nikki el acceso para administrar las regiones y, a continuación, seleccione Asignar usuarios y grupos.

  4. En la página Asignar usuarios y grupos, seleccione la pestaña Usuarios, busque y marque la casilla situada junto a Nikki y, a continuación, seleccione Siguiente.

Paso 3: configuración y prueba de la conexión SAML

En este paso, debe configurar la conexión SAML mediante la aplicación empresarial de AWS IAM Identity Center en Microsoft Entra ID junto con la configuración del IdP externo en Centro de identidades de IAM.

Step 3.1 >

Paso 3.1: recopilación de los metadatos del proveedor de servicios necesarios de Centro de identidades de IAM

En este paso, iniciará el asistente Cambiar el origen de identidad desde la consola de Centro de identidades de IAM y recuperará el archivo de metadatos y la URL de inicio de sesión específica de AWS que deberá ingresar al configurar la conexión con Microsoft Entra ID en el siguiente paso.

  1. En la consola de Centro de identidades de IAM, elija Configuración.

  2. En la página de configuración, elija la pestaña Fuente de identidad, elija Acciones y, a continuación, Cambiar fuente de identidad.

  3. En la página Elegir el origen de identidad, seleccione Proveedor de identidades externo y, a continuación, seleccione Siguiente.

  4. En la página Configurar un proveedor de identidad externo, en Metadatos del proveedor de servicios, seleccione Descargar el archivo de metadatos para descargarlo el archivo XML.

  5. En la misma sección, busque el valor de URL de inicio de sesión del portal de acceso de AWS y cópielo. Deberá ingresar este valor en el siguiente paso cuando se le pida.

  6. Deje esta página abierta y continúe con el siguiente paso (Step 3.2) para configurar la aplicación empresarial de AWS IAM Identity Center en Microsoft Entra ID. Más adelante, volverá a esta página para completar el proceso.

Step 3.2 >

Paso 3.2: configuración de la aplicación empresarial de AWS IAM Identity Center en Microsoft Entra ID

Este procedimiento establece la mitad de la conexión SAML en Microsoft mediante los valores del archivo de metadatos y la URL de inicio de sesión que obtuvo en el último paso.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

  2. En el panel de la izquierda, elija 2. Configure el inicio de sesión único.

  3. En la página Configurar el inicio de sesión único con SAML, seleccione SAML. Luego, seleccione Subir archivo de metadatos, seleccione el icono de la carpeta, seleccione el archivo de metadatos del proveedor de servicios que descargó en el paso anterior y, a continuación, seleccione Agregar.

  4. En la página Basic SAML Configuration, compruebe que los valores de Identifier y de Reply URL apuntan ahora a puntos de conexión de AWS que empiezan por https://<REGION>.signin.aws.amazon.com/platform/saml/.

  5. En Sign on URL (Optional), pegue el valor de URL de inicio de sesión del portal de acceso de AWS que copió en el paso anterior (Step 3.1), seleccione Save y, a continuación, seleccione X para cerrar la ventana.

  6. Si se le pide que pruebe el inicio de sesión único con AWS IAM Identity Center, seleccione No I'll test later. Realizará esta verificación en un paso posterior.

  7. En la página Set up Single Sign-On with SAML, en la sección SAML Certificates, junto a Federation Metadata XML, seleccione Download para guardar el archivo de metadatos en el sistema. Deberá cargar este archivo en el siguiente paso cuando se le pida.

Step 3.3 >

Paso 3.3: configuración del IdP externo de Microsoft Entra ID en AWS IAM Identity Center

Aquí volverá al asistente Cambiar el origen de identidad de la consola de Centro de identidades de IAM para completar la segunda mitad de la conexión SAML en AWS.

  1. Vuelva a la sesión del navegador que dejó abierta en Step 3.1 en la consola de Centro de identidades de IAM.

  2. En la página Configurar un proveedor de identidad externo, en la sección Metadatos del proveedor de identidad, en Metadatos SAML del IdP, pulse el botón Elegir archivo, seleccione el archivo de metadatos del proveedor de identidades que descargó de Microsoft Entra ID en el paso anterior y, a continuación, seleccione Abrir.

  3. Elija Siguiente.

  4. Cuando haya leído el aviso legal y tenga todo listo para continuar, ingrese ACCEPT.

  5. Seleccione Cambiar el origen de identidad para aplicar los cambios.

Step 3.4 >

Paso 3.4: comprobación de que Nikki se redirige al portal de acceso de AWS

En este procedimiento, probará la conexión SAML; para ello, iniciará sesión en el portal Mi cuenta de Microsoft con las credenciales de Nikki. Cuando se autentique, seleccionará la aplicación de AWS IAM Identity Center que redirigirá a Nikki al portal de acceso de AWS.

  1. Vaya a la página de inicio de sesión del portal Mi cuenta e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, NikkiWolf@ejemplo.org.

  2. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione Sign in.

  3. En la página Mi cuenta, en el menú de navegación izquierdo, seleccione Mis aplicaciones.

  4. En la página My Apps, seleccione la aplicación denominada AWS IAM Identity Center. Esto debería solicitarle una autenticación adicional.

  5. En la página de inicio de sesión de Microsoft, seleccione las credenciales de NikkiWolf. Si se le solicita la autenticación por segunda vez, vuelva a seleccionar las credenciales de NikkiWolf. Esto debería redirigirlo automáticamente al portal de acceso de AWS.

    sugerencia

    Si no se le redirige correctamente, compruebe que el valor de URL de inicio de sesión del portal de acceso de AWS que ha ingresado en Step 3.2 coincide con el valor que ha copiado en Step 3.1.

  6. Verifique que se muestren sus Cuentas de AWS.

    sugerencia

    Si la página está vacía y no aparece Cuentas de AWS, confirme que Nikki se haya asignado correctamente al conjunto de permisos de RegionalAdmin (consulte Step 2.3).

Step 3.5

Paso 3.5: comprobación del nivel de acceso de Nikki para administrar su Cuenta de AWS

En este paso, comprobará el nivel de acceso de Nikki para administrar la configuración regional de su Cuenta de AWS. Nikki solo debe tener los privilegios de administrador suficientes para administrar las regiones desde la página Cuentas.

  1. En el portal de acceso de AWS, seleccione la pestaña Cuentas para mostrar la lista de cuentas. Los nombres de cuenta, los ID de cuenta y las direcciones de correo electrónico asociadas a las cuentas en las que haya definido conjuntos de permisos.

  2. Seleccione el nombre de la cuenta (por ejemplo, Entorno de pruebas) en la que aplicó el conjunto de permisos (consulte Step 2.3). Esto ampliará la lista de conjuntos de permisos entre los que Nikki puede elegir para administrar su cuenta.

  3. Junto a RegionalAdmin, seleccione Consola de administración para asumir el rol que definió en el conjunto de permisos de RegionalAdmin. Esto le redirige a la página de inicio de la AWS Management Console.

  4. En la esquina superior derecha de la consola, seleccione el nombre de cuenta y, a continuación, seleccione Cuenta. El enlace le dirigirá a la página Cuenta. Observe que en todas las demás secciones de esta página aparece un mensaje en el que se indica que no tiene los permisos necesarios para ver ni modificar esos ajustes.

  5. En la página Cuenta, desplácese hacia abajo hasta la sección Regiones de AWS. Seleccione la casilla de verificación de cualquier región disponible en la tabla. Tenga en cuenta que Nikki tiene los permisos necesarios para habilitar o deshabilitar la lista de regiones de su cuenta, tal y como estaba previsto.

¡Bien hecho!

Los pasos del 1 al 3 lo ayudaron a implementar y probar correctamente la conexión SAML. Ahora, para completar el tutorial, le recomendamos que continúe con el paso 4 para implementar el aprovisionamiento automático.

Paso 4: configuración y comprobación de la sincronización de SCIM

En este paso, configurará el aprovisionamiento automático (sincronización) de la información del usuario desde Microsoft Entra ID a Centro de identidades de IAM mediante el protocolo SCIM v2.0. Esta conexión se configura en Microsoft Entra ID, mediante el punto de conexión de SCIM para Centro de identidades de IAM y un token de portador que se crea en Centro de identidades de IAM.

Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en Microsoft Entra ID con los atributos nombrados en Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre Centro de identidades de IAM y Microsoft Entra ID.

En los siguientes pasos se explica cómo habilitar el aprovisionamiento automático de usuarios que se encuentran principalmente en Microsoft Entra ID a Centro de identidades de IAM mediante la aplicación de Centro de identidades de IAM en Microsoft Entra ID.

Step 4.1 >

Paso 4.1: creación de un segundo usuario de prueba en Microsoft Entra ID

Con fines de prueba, creará un nuevo usuario (Richard Roe) en Microsoft Entra ID. Más adelante, después de configurar la sincronización con SCIM, comprobará que este usuario y todos los atributos pertinentes se han sincronizado correctamente con Centro de identidades de IAM.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Users > All users.

  2. Seleccione New user y, a continuación, seleccione Create new user en la parte superior de la pantalla.

  3. En User principal name, ingrese RichRoe y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, RichRoe@ejemplo.org.

  4. En Display name, ingrese RichRoe.

  5. En Password, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.

  6. Seleccione Properties y, a continuación, facilite los siguientes valores:

    • First name: ingrese Richard.

    • Last name: ingrese Roe.

    • Job title: ingrese Marketing Lead.

    • Department: ingrese Sales.

    • Employee ID: ingrese 12345.

  7. Elija Review + create y, a continuación, seleccione Create.

Step 4.2 >

Paso 4.2: habilitación del aprovisionamiento automático en Centro de identidades de IAM

En este procedimiento, utilizará la consola de Centro de identidades de IAM para habilitar el aprovisionamiento automático a Centro de identidades de IAM de los usuarios y grupos que proceden de Microsoft Entra ID.

  1. Abra la consola de Centro de identidades de IAM y seleccione Configuración en el panel izquierdo de navegación.

  2. En la página Configuración, en la pestaña Origen de identidad, observe que Método de aprovisionamiento está establecido en Manual.

  3. Busque el cuadro de información Aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en Centro de identidades de IAM y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

  4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegar estos valores en el siguiente paso cuando configure el aprovisionamiento en Microsoft Entra ID.

    1. Punto de conexión de SCIM: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar.

  5. Elija Close.

  6. En la pestaña Origen de identidad, observe que Método de aprovisionamiento ahora está establecido en SCIM.

Step 4.3 >

Paso 4.3: configuración del aprovisionamiento automático en Microsoft Entra ID

Ahora que ha creado su usuario de prueba RichRoe y ha habilitado SCIM en Centro de identidades de IAM, puede continuar con la configuración de los ajustes de sincronización de SCIM en Microsoft Entra ID.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

  2. Seleccione Provisioning y, en Manage, vuelva a seleccionar Provisioning.

  3. En Provisioning Mode, seleccione Automatic.

  4. En Admin Credentials, en Tenant URL, pegue el valor de la URL de Punto de conexión de SCIM que copió anteriormente en Step 4.2. En Secret Token, pegue el valor de Access token.

  5. Elija Test Connection. Debería ver un mensaje que indica que las credenciales probadas se autorizaron correctamente para habilitar el aprovisionamiento.

  6. Seleccione Guardar.

  7. En Manage, seleccione Users and groups y, a continuación, seleccione Add user/group.

  8. En la página Add Assignment, en Users, seleccione None Selected.

  9. Seleccione RichRoe y, a continuación, Select.

  10. En la página Agregar asignación, elija Asignar.

  11. Seleccione Overview y, a continuación, seleccione Start provisioning.

Step 4.4

Paso 4.4: comprobación de que se ha producido la sincronización

En esta sección, verificará que el usuario de Richard se aprovisionó correctamente y que todos los atributos se muestran en Centro de identidades de IAM.

  1. En la consola de Centro de identidades de IAM, seleccione Usuarios.

  2. En la página Usuarios, debería aparecer el usuario RichRoe. Observe que, en la columna Creado por, el valor está establecido en SCIM.

  3. Seleccione RichRoe y, en Perfil, compruebe que se hayan copiado los siguientes atributos de Microsoft Entra ID.

    • Nombre: Richard.

    • Apellido: Roe.

    • Departamento: Sales.

    • Título: Marketing Lead.

    • Número de empleado: 12345.

    Ahora que el usuario de Richard se ha creado en Centro de identidades de IAM, puede asignarlo a cualquier conjunto de permisos para controlar el nivel de acceso que tiene a sus recursos de AWS. Por ejemplo, puede asignar RichRoe al conjunto de permisos de RegionalAdmin que utilizó anteriormente para conceder a Nikki los permisos para administrar las regiones (consulte Step 2.3) y, a continuación, probar su nivel de acceso mediante Step 3.5.

¡Enhorabuena!

Ha configurado correctamente una conexión SAML entre Microsoft y AWS y ha comprobado que el aprovisionamiento automático funciona para mantener todo sincronizado. Ahora puede aplicar lo aprendido para configurar su entorno de producción de forma más fluida.

Paso 5: Configurar ABAC: opcional

Ahora que se ha configurado SAML y SCIM, puede optar por configurar el control de acceso basado en atributos (ABAC). El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos basados en atributos.

Con Microsoft Entra ID, puede utilizar uno de los dos métodos siguientes para configurar ABAC para su uso con Centro de identidades de IAM.

Configure user attributes in ID de Microsoft Entra for access control in IAM Identity Center

Configuración de atributos de usuario en Microsoft Entra ID para el control de acceso en Centro de identidades de IAM

En el siguiente procedimiento, determinará qué atributos de Microsoft Entra ID debe utilizar Centro de identidades de IAM para administrar el acceso a sus recursos de AWS. Una vez definidos, Microsoft Entra ID envía estos atributos a Centro de identidades de IAM mediante aserciones de SAML. A continuación, tendrá que Crea un conjunto de permisos. en Centro de identidades de IAM para gestionar el acceso en función de los atributos que transfirió desde Microsoft Entra ID.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

  2. Elija Single sign-on (Inicio de sesión único).

  3. En la sección Attributes & Claims, elija Edit.

  4. En la página Attributes & Claims, haga lo siguiente:

    1. Elija Añadir nueva reclamación.

    2. En Nombre, escriba AccessControl:AttributeName. Sustituya AttributeName por el nombre del atributo que está esperando en Centro de identidades de IAM. Por ejemplo, AccessControl:Department.

    3. En Namespace (Espacio de nombres), escriba https://aws.amazon.com/SAML/Attributes.

    4. En Source (Origen), elija Attribute (Atributo).

    5. En Atributo de origen, utilice la lista desplegable para elegir los atributos del usuario de Microsoft Entra ID. Por ejemplo, user.department.

  5. Repita el paso anterior para cada atributo que necesite enviar a Centro de identidades de IAM en la aserción SAML.

  6. Seleccione Guardar.

Configure ABAC using IAM Identity Center

Configuración de ABAC con Centro de identidades de IAM

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de Centro de identidades de IAM para transferir un conjunto de Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas Department=billing.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Resolución de problemas

Para saber cómo solucionar problemas generales de SCIM y SAML con Microsoft Entra ID, consulte las secciones siguientes:

Problemas de sincronización con Microsoft Entra ID e Centro de identidades de IAM

Si tiene problemas con usuarios de Microsoft Entra ID que no se sincronizan con Centro de identidades de IAM, es posible que se deba a un problema de sintaxis que Centro de identidades de IAM ha detectado al agregar un nuevo usuario a Centro de identidades de IAM. Para confirmarlo, consulte los registros de auditoría de Microsoft Entra ID para ver si hay eventos con errores, como 'Export'. El motivo del estado de este evento indicará:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

También puede consultar el evento fallido en AWS CloudTrail. Para ello, busque en la consola del historial de eventos de CloudTrail con este filtro:

"eventName":"CreateUser"

El error del evento CloudTrail indicará lo siguiente:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

En última instancia, esta excepción significa que uno de los valores transferidos desde Microsoft Entra ID contenía más valores de los previstos. La solución consiste en revisar los atributos del usuario de Microsoft Entra ID, asegurándose de que ninguno contenga valores duplicados. Un ejemplo habitual de valores duplicados es la presencia de varios valores en los números de contacto, como el número de móvil, del trabajo y el fax. Aunque son valores independientes, todos se transfieren al Centro de identidades de IAM con el atributo principal phoneNumbers.

Para obtener sugerencias generales acerca de la solución de problemas de SCIM, consulte Resolución de problemas.

Sincronización de cuentas de invitado de Microsoft Entra ID

Si desea sincronizar sus usuarios invitados de Microsoft Entra ID con el Centro de identidades de IAM, consulte el siguiente procedimiento.

El correo electrónico de los usuarios invitados de Microsoft Entra ID es diferente al de los usuarios de Microsoft Entra ID. Esta diferencia provoca problemas a la hora de sincronizar usuarios invitados de Microsoft Entra ID con Centro de identidades de IAM. Por ejemplo, consulte la siguiente dirección de correo electrónico para un usuario invitado:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

El Centro de identidades de IAM espera que la dirección de correo electrónico de un usuario no contenga el formato EXT@domain.

  1. En la consola del Centro de administración de Microsoft Entra, vaya a Identity > Applications > Enterprise applications y, a continuación, seleccione AWS IAM Identity Center.

  2. Diríjase a la pestaña Inicio de sesión único en el panel izquierdo.

  3. Seleccione Editar, que aparece junto a Atributos y notificaciones del usuario.

  4. Seleccione un Identificador de usuario único (ID de nombre) después de las Notificaciones obligatorias.

  5. Creará dos condiciones de notificación para sus usuarios de Microsoft Entra ID y para los usuarios invitados:

    1. Para los usuarios de Microsoft Entra ID, cree un tipo de usuario para los miembros con el atributo de origen establecido en user.userprincipalname.

    2. Para los usuarios invitados de Microsoft Entra ID, cree un tipo de usuario para los invitados externos con el atributo de origen establecido en user.mail.

    3. Seleccione Guardar y vuelva a intentar iniciar sesión como usuario invitado de Microsoft Entra ID.

Recursos adicionales de

Los recursos relacionados siguientes pueden ayudarle a solucionar problemas cuando trabaje con AWS:

  • AWS re:Post: busque preguntas frecuentes y enlaces a otros recursos para ayudarle a solucionar problemas.

  • AWS Support: obtenga soporte técnico