Consideraciones para utilizar el aprovisionamiento automático Cómo monitorizar la caducidad del token de acceso Aprovisionamiento manual

Aprovisionamiento de un proveedor de identidad externo al Centro de identidades de IAM mediante SCIM

Centro de identidades de IAM admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos de su proveedor de identidades (IdP) a Centro de identidades de IAM mediante el protocolo Sistema de administración de identidades entre dominios (SCIM) v2.0. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario del proveedor de identidades (IdP) con los atributos nombrados en Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre Centro de identidades de IAM y su IdP. Esta conexión se configura en el IdP mediante el punto de conexión de SCIM para Centro de identidades de IAM y un token de portador que se crea en Centro de identidades de IAM.

Temas

Consideraciones para utilizar el aprovisionamiento automático

Antes de comenzar a implementar el SCIM, le recomendamos revisar primero las siguientes consideraciones importantes sobre su funcionamiento con Centro de identidades de IAM. Para conocer otras consideraciones de aprovisionamiento, consulte los Tutoriales de orígenes de identidad del Centro de identidades de IAM aplicables a su IdP.

Si va a aprovisionar una dirección de correo electrónico principal, el valor de este atributo debe ser único para cada usuario. En algunos IdP, es posible que la dirección de correo electrónico principal no sea una dirección de correo electrónico real. Por ejemplo, puede ser un nombre principal universal (UPN) que solo se parece a un correo electrónico. Estos IdP pueden tener una dirección de correo electrónico secundaria u “otra” que contenga la dirección de correo electrónico real del usuario. Debe configurar SCIM en su IdP para asignar la dirección de correo electrónico única no nula al atributo de dirección de correo electrónico principal de Centro de identidades de IAM. Además, debe asignar el identificador de inicio de sesión único no nulo del usuario al atributo de nombre de usuario de Centro de identidades de IAM. Compruebe si su IdP tiene un valor único que sea tanto el identificador de inicio de sesión como el nombre de correo electrónico del usuario. Si es así, puede asignar ese campo de IdP al correo electrónico principal de Centro de identidades de IAM y al nombre de usuario de Centro de identidades de IAM.
Para que la sincronización de SCIM funcione, cada usuario debe tener un nombre, apellidos, nombre de usuario y nombre para mostrar especificados. Si falta alguno de estos valores en un usuario, este no se aprovisionará.
Si necesita utilizar aplicaciones de terceros, primero tendrá que asignar el atributo de asunto de SAML saliente al atributo de nombre de usuario. Si la aplicación de terceros necesita una dirección de correo electrónico enrutable, debe proporcionar el atributo de correo electrónico a su IdP.
El proveedor de identidades controla los intervalos de aprovisionamiento y actualización de SCIM. Los cambios en los usuarios y grupos de su proveedor de identidades solo se reflejan en Centro de identidades de IAM después de que su proveedor de identidades los envíe a Centro de identidades de IAM. Consulte con su proveedor de identidades para obtener más información sobre la frecuencia de las actualizaciones de usuarios y grupos.
Actualmente, SCIM no proporciona atributos con varios valores (como varios correos electrónicos o números de teléfono para un usuario determinado). Los intentos de sincronizar atributos con varios valores en Centro de identidades de IAM con SCIM fallarán. Para evitar errores, asegúrese de que solo se pase un valor único para cada atributo. Si tiene usuarios con atributos de varios valores, elimine o modifique las asignaciones de atributos duplicadas en SCIM en su IdP para la conexión con Centro de identidades de IAM.
Compruebe que el mapeo SCIM de externalId en su IdP corresponde a un valor que sea único, que esté siempre presente y que tenga menos probabilidades de cambiar para sus usuarios. Por ejemplo, su IdP puede proporcionar un objectId garantizado u otro tipo de identificador que no se vea afectado por los cambios en los atributos del usuario, como el nombre y el correo electrónico. Si es así, puede asignar ese valor al campo externalId de SCIM. Esto garantiza que sus usuarios no pierdan derechos, asignaciones o permisos de AWS si cambia su nombre o correo electrónico.
Los usuarios que aún no se han asignado a una aplicación o Cuenta de AWS no se pueden aprovisionar en Centro de identidades de IAM. Para sincronizar usuarios y grupos, asegúrese de que estén asignados a la aplicación u otra configuración que represente la conexión de su IdP a Centro de identidades de IAM.
El comportamiento de desaprovisionamiento de los usuarios lo administra el proveedor de identidades y puede variar según su implementación. Consulte con su proveedor de identidades para obtener más información sobre el desaprovisionamiento de usuarios.

Para obtener más información sobre la implementación de SCIM de Centro de identidades de IAM, consulte la guía para desarrolladores de implementación de Centro de identidades de IAM SCIM.

Cómo monitorizar la caducidad del token de acceso

Los tokens de acceso SCIM se generan con una validez de un año. Cuando el token de acceso SCIM caduque en 90 días o menos, AWS envía recordatorios a la consola de Centro de identidades de IAM y al panel de AWS Health para ayudarle a rotar el token. Al rotar el token de acceso de SCIM antes de que caduque, asegura de forma continua el aprovisionamiento automático de la información de usuarios y grupos. Si el token de acceso SCIM caduca, se interrumpe la sincronización de la información de usuarios y grupos de su proveedor de identidades con Centro de identidades de IAM, por lo que el aprovisionamiento automático ya no puede realizar actualizaciones ni crear y eliminar información. La interrupción del aprovisionamiento automático puede aumentar los riesgos de seguridad y afectar al acceso a sus servicios.

Los recordatorios de la consola de Identity Center persisten hasta que rote el token de acceso SCIM y elimine los tokens de acceso no utilizados o vencidos. Los eventos del panel de AWS Health se renuevan semanalmente entre 90 y 60 días, 2 veces por semana entre 60 y 30 días, 3 veces por semana entre 30 y 15 días y todos los días desde 15 días hasta que caduquen los tokens de acceso del SCIM.

Aprovisionamiento manual

Algunos IdP no son compatibles con el sistema de administración de identidades entre dominios (SCIM) o tienen una implementación de SCIM incompatible. En esos casos, puede aprovisionar usuarios manualmente a través de la consola de Centro de identidades de IAM. Cuando añada usuarios a Centro de identidades de IAM, asegúrese de configurar el nombre de usuario para que sea idéntico al nombre de usuario que tiene en su IdP. Como mínimo, debe tener una dirección de correo electrónico y un nombre de usuario únicos. Para obtener más información, consulte Exclusividad del nombre de usuario y de la dirección de correo electrónico.

También debe gestionar todos los grupos manualmente en Centro de identidades de IAM. Para ello, debe crear los grupos y añadirlos mediante la consola de Centro de identidades de IAM. No es necesario que estos grupos coincidan con los que existen en su IdP. Para obtener más información, consulte Grupos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Perfil SCIM e implementación de SAML 2.0

Habilitar el aprovisionamiento automático