Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tutoriales de orígenes de identidad de IAM Identity Center
Puede conectar su fuente de identidad existente en su cuenta AWS Organizations de administración a [una instancia de organización de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Si no tiene un proveedor de identidades existente, puede crear y gestionar los usuarios directamente en el directorio predeterminado de IAM Identity Center. Puede tener un origen de identidad por organización.
En los tutoriales de esta sección se describe cómo configurar una instancia de organización del Centro de Identidad de IAM con una fuente de identidad utilizada habitualmente, cómo crear un usuario administrativo y, si se utiliza el Centro de Identidad de IAM para gestionar el acceso Cuentas de AWS, cómo crear y configurar los conjuntos de permisos. Si utiliza el IAM Identity Center únicamente para acceder a las aplicaciones, no necesita utilizar conjuntos de permisos.
Estos tutoriales no describen cómo configurar instancias de cuenta del IAM Identity Center. Puede usar instancias de cuentas para asignar usuarios y grupos a las aplicaciones, pero no puede usar este tipo de instancia para administrar el acceso de los usuarios a Cuentas de AWS. Para obtener más información, consulte [Instancias de cuenta de IAM Identity Center](account-instances-identity-center.md).
**nota**
Antes de iniciar cualquiera de estos tutoriales, habilite el IAM Identity Center. Para obtener más información, consulte [Activar IAM Identity Center](enable-identity-center.md).
**Topics**
+ [Uso de Active Directory como origen de identidad](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [Configuración de SAML y SCIM con Google Workspace e IAM Identity Center](gs-gwp.md)
+ [Uso de IAM Identity Center para conectarse a su plataforma de directorios de JumpCloud](jumpcloud-idp.md)
+ [Configuración de SAML y SCIM con Microsoft Entra ID e IAM Identity Center](idp-microsoft-entra.md)
+ [Configuración de SAML y SCIM con Okta e IAM Identity Center](gs-okta.md)
+ [Configuración del aprovisionamiento de SCIM entre OneLogin e IAM Identity Center](onelogin-idp.md)
+ [Uso de productos de Ping Identity con IAM Identity Center](pingidentity.md)
+ [Configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center](quick-start-default-idc.md)
+ [Tutoriales de vídeo](#w2aac15c31)
# Uso de Active Directory como origen de identidad
Si administra los usuarios de su AWS Managed Microsoft AD directorio mediante Active Directory (AD) Directory Service o de su directorio autogestionado, puede cambiar la fuente de identidad del IAM Identity Center para que funcione con esos usuarios. Le recomendamos que considere la posibilidad de conectar este origen de identidad al habilitar IAM Identity Center y elegir el origen de identidad. Hacerlo antes de crear usuarios y grupos en el directorio predeterminado de Identity Center lo ayudará a evitar la configuración adicional que se requiere si cambia la fuente de identidad más adelante.
Para utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos:
+ Si lo está utilizando AWS Managed Microsoft AD, debe habilitar el Centro de identidades de IAM en el mismo Región de AWS lugar donde está configurado su AWS Managed Microsoft AD directorio. Centro de identidades de IAM almacena los datos de asignación en la misma región que el directorio. Para administrar Centro de identidades de IAM, es posible que deba cambiarse a la región en la que está configurado Centro de identidades de IAM. Además, tenga en cuenta que el portal de AWS acceso utiliza la misma URL de acceso que su directorio.
+ Utilice un Active Directory que resida en la cuenta de administración:
Debe tener un AD Connector o AWS Managed Microsoft AD directorio existente configurado y debe residir en AWS Directory Service su cuenta AWS Organizations de administración. Solo puede conectar un directorio de conector de AD o un directorio en AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte lo siguiente:
+ [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md)
+ [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md)
+ Utilice una instancia de Active Directory que resida en la cuenta de administrador delegado:
Si planea habilitar un administrador delegado del Centro de Identidad de IAM y usar Active Directory como fuente de identidad del Centro de Identidad de IAM, puede usar un AD Connector existente o un AWS Managed Microsoft AD directorio configurado en el AWS Directorio que resida en la cuenta de administrador delegado.
Si decide cambiar la fuente de identidad de IAM Identity Center de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta de miembro administrador delegado de IAM Identity Center, si existe alguna; de lo contrario, debe estar en la cuenta de administración.
En este tutorial se explica la configuración básica para usar Active Directory como origen de identidad de IAM Identity Center.
# Paso 1: conexión de Active Directory y especificación de un usuario
Si ya utiliza Active Directory, los siguientes temas lo ayudarán a prepararse para conectar su directorio a IAM Identity Center.
**nota**
Si planea conectar un AWS Managed Microsoft AD directorio o un directorio autogestionado en Active Directory y no va a utilizar RADIUS MFA AWS Directory Service con, active la MFA en IAM Identity Center.
**AWS Managed Microsoft AD**
1. Revise la guía en [Directorio Microsoft AD](manage-your-identity-source-ad.md).
1. Siga los pasos de [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md).
1. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte [Sincronice un usuario administrativo en el Centro de identidades de IAM](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
**Directorio autogestionado en Active Directory**
1. Revise la guía en [Directorio Microsoft AD](manage-your-identity-source-ad.md).
1. Siga los pasos de [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md).
1. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte [Sincronice un usuario administrativo en el Centro de identidades de IAM](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
## Paso 2: sincronización de un usuario administrativo en IAM Identity Center
Tras conectar el directorio al Centro de identidades de IAM, puede especificar el usuario al que quiere conceder permisos administrativos y, a continuación, sincronizar ese usuario del directorio con el Centro de identidades de IAM.
1. Abra la [Consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).
1. Elija **Configuraciones**.
1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.
1. En la página de **Administrar sincronización**, elija la pestaña **Usuarios** y, continuación, seleccione **Añadir usuarios y grupos**.
1. En la pestaña **Usuarios**, en **Usuario**, ingrese el nombre de usuario exacto y seleccione **Agregar**.
1. En **Usuarios y grupos añadidos**, haga lo siguiente:
1. Confirme que se ha especificado el usuario a quien desea conceder permisos administrativos.
1. Seleccione la casilla de verificación situada a la izquierda del nombre de usuario.
1. Elija **Enviar**
1. En la página **Administrar sincronización**, el usuario que especificó aparece en la lista de **Ámbito de usuarios sincronizados**.
1. En el panel de navegación, seleccione **Usuarios**.
1. En la página **Usuarios**, es posible que el usuario que especificó tarde algún tiempo en aparecer en la lista. Seleccione el icono de actualización para actualizar la lista de usuarios.
En este momento, el usuario no tiene acceso a la cuenta de administración. Para configurar el acceso administrativo a esta cuenta, debe crear un conjunto de permisos administrativos y asignar el usuario a ese conjunto de permisos. Para obtener más información, consulte [Crea un conjunto de permisos.](howtocreatepermissionset.md).
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios de CyberArk Directory Platform a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
**nota**
CyberArkactualmente no admite el servicio de consumo de aserciones múltiples (ACS) de SAML URLs en la AWS IAM Identity Center aplicación. Esta función de SAML es necesaria para aprovechar al máximo el [soporte multirregional del IAM Identity Center](multi-region-iam-identity-center.md). Si planea replicar el Centro de Identidad de IAM en otras regiones, tenga en cuenta que el uso de una sola URL de ACS puede afectar a la experiencia del usuario en esas regiones adicionales. Su región principal seguirá funcionando con normalidad. Le recomendamos que trabaje con su proveedor de IdP para habilitar esta función. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte [Uso de aplicaciones AWS gestionadas sin varios ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) y[Cuenta de AWS resiliencia de acceso sin varios ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
**Topics**
+ [Requisitos previos](#cyberark-prereqs)
+ [Consideraciones de SCIM](#cyberark-considerations)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#cyberark-step1)
+ [Paso 2: configure el aprovisionamiento en CyberArk](#cyberark-step2)
+ [(Opcional) Paso 3: configure los atributos de usuario en CyberArk para el control de acceso (ABAC) en IAM Identity Center](#cyberark-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#cyberark-passing-abac)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Suscripción a CyberArk o prueba gratuita. Para suscribirse a una versión de prueba gratuita, vaya a [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una conexión SAML desde su cuenta de CyberArk a IAM Identity Center, tal y como se describe en la [documentación de IAM Identity Center CyberArk](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Asocie el conector de IAM Identity Center a los roles, usuarios y organizaciones a los que desee permitir el acceso a las Cuentas de AWS.
## Consideraciones de SCIM
A continuación, se presentan las consideraciones a tener en cuenta al utilizar la federación de CyberArk para IAM Identity Center:
+ Solo los roles asignados en la sección de aprovisionamiento de aplicaciones se sincronizarán con IAM Identity Center.
+ El script de aprovisionamiento solo se admite en su estado predeterminado; una vez modificado, el aprovisionamiento de SCIM podría fallar.
+ Solo se puede sincronizar un atributo de número de teléfono y el valor predeterminado es “teléfono del trabajo”.
+ Si se cambia la asignación de roles en la aplicación de IAM Identity Center CyberArk, se espera el siguiente comportamiento:
+ Si se cambian los nombres de los roles, no habrá cambios en los nombres de los grupos en IAM Identity Center.
+ Si se cambian los nombres de los grupos, se crearán nuevos grupos en IAM Identity Center y los grupos antiguos permanecerán sin miembros.
+ El comportamiento de sincronización y desaprovisionamiento de los usuarios se puede configurar desde la aplicación de IAM Identity Center CyberArk. Asegúrese de configurar el comportamiento correcto para su organización. Estas son las opciones:
+ Sobrescriba (o no) a los usuarios del directorio de Identity Center con el mismo nombre principal.
+ Cancele el aprovisionamiento de usuarios de IAM Identity Center cuando se elimine al usuario del rol de CyberArk.
+ Cancele el aprovisionamiento de usuarios: deshabilite o elimine.
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final de SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes con la aplicación IAM Identity Center de CyberArk. Estos pasos se explican en el procedimiento siguiente.
## Paso 2: configure el aprovisionamiento en CyberArk
Utilice el siguiente procedimiento en la aplicación IAM Identity Center CyberArk para habilitar el aprovisionamiento con IAM Identity Center. En este procedimiento se presupone que ya ha añadido la aplicación IAM Identity Center CyberArk a la consola de administración de CyberArk en la sección **Aplicaciones web.** Si aún no lo ha hecho, consulte los [Requisitos previos](#cyberark-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM.
**Cómo configurar el aprovisionamiento en CyberArk**
1. Abra la aplicación IAM Identity Center CyberArk que agregó como parte de la configuración de SAML CyberArk (**Aplicaciones > Aplicación web**). Consulte [Requisitos previos](#cyberark-prereqs).
1. Elija la aplicación **IAM Identity Center** y vaya a la sección **Aprovisionamiento.**
1. Marque la casilla **Habilitar el aprovisionamiento para esta aplicación** y elija **Live Mode.**
1. En el procedimiento anterior, copió el valor del **punto de conexión del SCIM** de IAM Identity Center. Pegue ese valor en el campo **URL del servicio SCIM**, en la aplicación IAM Identity Center CyberArk, defina el **tipo de autorización** como **encabezado de autorización**.
1. Configure el **tipo de encabezado** como **token al portador**.
1. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **Token al portador** de la aplicación IAM Identity Center CyberArk.
1. Haga clic en **Verificar** para probar y aplicar la configuración.
1. En **Opciones de sincronización**, elija el comportamiento correcto para el que desee que funcione el aprovisionamiento saliente de CyberArk. Puede optar por sobrescribir (o no) a los usuarios actuales de IAM Identity Center con un nombre principal y un comportamiento de desaprovisionamiento similares.
1. En **Asignación de roles**, adapte el mapeo de los roles desde CyberArk, en el campo **Nombre** al grupo de IAM Identity Center, en **Grupo de destino**.
1. Cuando haya terminado, haga clic en **Guardar**, en la parte inferior.
1. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios**. Los usuarios sincronizados de CyberArk aparecerán en la página **Usuarios**. Estos usuarios ya pueden asignarse a cuentas y conectarse dentro de IAM Identity Center.
## (Opcional) Paso 3: configure los atributos de usuario en CyberArk para el control de acceso (ABAC) en IAM Identity Center
Se trata de un procedimiento opcional si CyberArk decide configurar los atributos del Centro de Identidad de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en CyberArk se transfieren en una aserción de SAML al IAM Identity Center. A continuación, debe crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde CyberArk.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
**Cómo configurar atributos de usuario utilizados en CyberArk para el control de acceso en IAM Identity Center**
1. Abra la aplicación IAM Identity Center CyberArk que instaló como parte de la configuración de SAML para CyberArk (**Aplicaciones > Aplicaciones web**).
1. Vaya a la opción **Respuesta SAML**.
1. En **Atributos**, añada los atributos relevantes a la tabla siguiendo la siguiente lógica:
1. El **Nombre del atributo** es el nombre del atributo original de CyberArk.
1. El **Valor del atributo** es el nombre del atributo que se envía en la aserción SAML a IAM Identity Center.
1. Seleccione **Save**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
# Configuración de SAML y SCIM con Google Workspace e IAM Identity Center
Si su organización Google Workspace lo utiliza, puede integrar a sus usuarios Google Workspace en el Centro de identidades de IAM para darles acceso a AWS los recursos. Puede lograr esta integración al cambiar la fuente de identidad del IAM Identity Center de la fuente de identidad predeterminada del IAM Identity Center a Google Workspace.
**nota**
Google Workspaceactualmente no admite el servicio de consumo de múltiples aserciones (ACS) de SAML URLs en la aplicación. AWS IAM Identity Center Esta función de SAML es necesaria para aprovechar al máximo el [soporte multirregional del IAM Identity Center](multi-region-iam-identity-center.md). Si planea replicar el Centro de Identidad de IAM en otras regiones, tenga en cuenta que el uso de una sola URL de ACS puede afectar a la experiencia del usuario en esas regiones adicionales. Su región principal seguirá funcionando con normalidad. Le recomendamos que trabaje con su proveedor de IdP para habilitar esta función. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte [Uso de aplicaciones AWS gestionadas sin varios ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) y[Cuenta de AWS resiliencia de acceso sin varios ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
La información de los usuarios de Google Workspace se sincroniza con IAM Identity Center mediante el [protocolo del sistema de administración de identidades entre dominios (SCIM) 2.0](scim-profile-saml.md#scim-profile). Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
Esta conexión se configura en Google Workspace mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en Google Workspace con los atributos nombrados en IAM Identity Center. Esta asignación vincula los atributos de usuario esperados entre IAM Identity Center y Google Workspace. Para ello, debe configurar Google Workspace como proveedor de identidades de IAM y conectarse con su IAM Identity Center.
**Objetivo**
Los pasos de este tutorial le ayudarán a establecer la conexión SAML entre Google Workspace y AWS. Más adelante, sincronizará a los usuarios de Google Workspace mediante SCIM. Para comprobar que todo está configurado correctamente, tras completar los pasos de configuración, iniciará sesión como Google Workspace usuario y verificará el acceso a los AWS recursos. Tenga en cuenta que este tutorial se basa en un entorno de prueba con un directorio de Google Workspace pequeño. No se incluyen en este tutorial las estructuras de directorios, como los grupos y las unidades organizativas. Tras completar este tutorial, sus usuarios podrán acceder al portal de AWS acceso con sus Google Workspace credenciales.
**nota**
Para suscribirse a una versión de prueba gratuita de Google Workspace, vaya a [https://workspace.google.com/](https://workspace.google.com/) en el sitio web de Google's.
Si aún no ha habilitado IAM Identity Center, consulte [Activar IAM Identity Center](enable-identity-center.md).
## Consideraciones
+ Antes de configurar el aprovisionamiento de SCIM entre Google Workspace e IAM Identity Center, le recomendamos revisar primero [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations).
+ La sincronización automática de SCIM desde Google Workspace actualmente está limitada al aprovisionamiento de usuarios. Por el momento, no se admite el aprovisionamiento automático de grupos. Los grupos se pueden crear manualmente con el comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) de AWS CLI Identity Store o la API AWS Identity and Access Management (IAM). [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Como alternativa, puede utilizar [ssosync](https://github.com/awslabs/ssosync) para sincronizar los usuarios de Google Workspace y los grupos en el IAM Identity Center.
+ Todos los usuarios de Google Workspace deben tener un valor especificado para **Nombre**, **Apellidos**, **Nombre de usuario** y **Nombre de visualización**.
+ Cada usuario de Google Workspace tiene un único valor por atributo de datos, como la dirección de correo electrónico o el número de teléfono. Los usuarios que tengan varios valores no se sincronizarán. Si hay usuarios que tienen varios valores en sus atributos, elimine los atributos duplicados antes de intentar aprovisionar el usuario en IAM Identity Center. Por ejemplo, solo se puede sincronizar un atributo de número de teléfono. Como el atributo de número de teléfono predeterminado es “teléfono del trabajo”, utilice el atributo “teléfono del trabajo” para almacenar el número de teléfono del usuario, incluso si el número de teléfono del usuario es un teléfono fijo o móvil.
+ Los atributos siguen sincronizados si el usuario está deshabilitado en IAM Identity Center, pero sigue activo en Google Workspace.
+ Si existe un usuario en el directorio de Identity Center con el mismo nombre de usuario y correo electrónico, el usuario se sobrescribirá y sincronizará mediante SCIM desde Google Workspace.
+ Hay algunas consideraciones adicionales a la hora de cambiar la fuente de identidad. Para obtener más información, consulte [Cómo cambiar de IAM Identity Center a un IdP externo](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Paso 1Google Workspace: Configurar la aplicación SAML
1. Inicie sesión en la **consola de administración de Google** con una cuenta con privilegios de superadministrador.
1. En el panel de navegación izquierdo de la **consola de administración de Google**, elija **Apps** y seleccione **Apps web y móviles**.
1. En la lista desplegable **Agregar aplicación**, seleccione **Buscar aplicaciones**.
1. En el cuadro de búsqueda, ingrese **Amazon Web Services** y, a continuación, seleccione la aplicación **Amazon Web Services (SAML)** de la lista.
1. En la página **Detalles del proveedor de identidad de Google: Amazon Web Services**, puede realizar una de las siguientes acciones:
1. Descargar los metadatos del IdP.
1. Copie la URL del SSO, la URL del ID de la entidad y la información del certificado.
Necesitará el archivo XML o la información de la URL en el paso 2.
1. Antes de continuar con el siguiente paso en la consola de administración de Google, deje esta página abierta y vaya a la consola del IAM Identity Center.
## Paso 2: IAM Identity Center y Google Workspace: cambio del origen de identidad de IAM Identity Center y configuración de Google Workspace como proveedor de identidades de SAML
1. Inicie sesión en la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon) con un rol con permisos administrativos.
1. Elija **Configuración** en el panel de navegación izquierdo.
1. En la página **Configuración**, seleccione **Acciones** y, a continuación, seleccione **Cambiar el origen de identidad**.
+ Si no ha habilitado el IAM Identity Center,, consulte [Activar IAM Identity Center](enable-identity-center.md) para obtener más información. Tras activar y acceder al IAM Identity Center por primera vez, accederá al **panel**, donde podrá **seleccionar la fuente de identidad**.
1. En la página **Elegir el origen de identidad**, seleccione **Proveedor de identidades externo** y, a continuación, seleccione **Siguiente**.
1. Se abre la página **Configurar un proveedor de identidad externo**. Para completar esta página y la página de Google Workspace del paso 1, deberá completar lo siguiente:
1. En la sección **metadatos del proveedor de identidad** de la consola de **IAM Identity Center**, deberá realizar una de las siguientes acciones:
1. Cargue los **metadatos de SAML Google** como **metadatos de SAML del IdP** en la consola del IAM Identity Center.
1. Copie y pegue la **URL del SSO de Google** en el campo **URL de inicio de sesión del IdP**, **la URL del emisor de Google** en el campo **URL del emisor del IdP** y cargue el **certificado de Google** como **certificado de IdP**.
1. Tras introducir los metadatos de Google en la sección de **metadatos del proveedor de identidades** de la consola del **IAM Identity Center**, copie la **URL del IAM Identity Assertion Consumer Service (ACS)** y la **URL del emisor del IAM Identity Center**. En el siguiente paso, tendrás que proporcionarlos URLs en la consola de Google administración.
1. Deje la página de la consola de IAM Identity Center y vuelva a la consola de administración de Google. Debería estar en la página de **Amazon Web Services: detalles del proveedor de servicios**. Seleccione **Continuar**.
1. En la página **Service provider details**, ingrese los valores de **ACS URL** y **Entity ID**. Ha copiado estos valores en el paso anterior y se encuentran en la consola de IAM Identity Center.
+ Pegue la **URL del IAM Identity Center Assertion Consumer Service (ACS)** en el campo **URL de ACS**.
+ Pegue la **URL del emisor del IAM Identity Center** en el campo **ID de entidad**.
1. En la página **Detalles del proveedor del servicio**, rellene los campos que aparecen debajo de **ID de nombre** de la siguiente manera:
+ En **Name ID format**, seleccione **EMAIL**.
+ En **Name ID**, seleccione **Basic Information > Primary email**.
1. Elija **Continuar**.
1. En la página **Attribute Mapping**, en **Attributes**, seleccione **ADD MAPPING** y, a continuación, configure estos campos en **GoogleGoogle Directory attribute**:
+ **Para el **atributo de la aplicación** `https://aws.amazon.com/SAML/Attributes/RoleSessionName`, seleccione el campo **Información básica, correo electrónico principal** entre los atributos de Google Directory**.
+ Para el **atributo de la aplicación** `https://aws.amazon.com/SAML/Attributes/Role`, seleccione cualquier **atributo de Google Directory**. Un atributo del directorio de Google podría ser **Departamento**.
1. Seleccione **Finish**.
1. Vuelva a la consola de **IAM Identity Center** y seleccione **Siguiente**. En la página **Revisar y confirmar**, revise la información y, a continuación, ingrese **ACEPTAR** en el espacio correspondiente. Elija **Cambiar fuente de identidad**.
Ya está listo para habilitar la aplicación de Amazon Web Services en Google Workspace para poder aprovisionar a los usuarios en IAM Identity Center.
## Paso 3: Google Workspace: habilitación de las aplicaciones
1. Vuelve a la **Consola de Google administración** y a tu AWS IAM Identity Center aplicación, que encontrarás en **Aplicaciones** y **Aplicaciones web y móviles**.
1. En el panel **User access**, junto a **User access**, seleccione la flecha hacia abajo para expandir **User access** para mostrar el panel **Service status**.
1. En el panel **Service status**, seleccione **ON for everyone** y, a continuación, seleccione **SAVE**.
**nota**
Para ayudar a mantener el principio de privilegios mínimos, le recomendamos que, después de completar este tutorial, cambie **Service status** a **OFF for everyone**. Solo los usuarios que necesiten acceder a AWS deben tener el servicio habilitado. Puede usar grupos o unidades organizativas de Google Workspace para dar acceso a los usuarios a un subconjunto concreto de usuarios.
## Paso 4: IAM Identity Center: configuración del aprovisionamiento automático de IAM Identity Center
1. Vuelva a la consola de IAM Identity Center.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo de **aprovisionamiento automático entrante**, copie todos los valores de las opciones siguientes. En el paso 5 de este tutorial, introducirá estos valores para configurar el aprovisionamiento automático en Google Workspace.
1. **Punto final SCIM**: por ejemplo,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Pila doble `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, en el siguiente paso configurará el aprovisionamiento automático en Google Workspace.
## Paso 5: Google Workspace: configuración del aprovisionamiento automático
1. Vuelva a la consola de administración de Google y a su aplicación de AWS IAM Identity Center , que se encuentran en **Apps** y **Apps web y móviles**. En la sección **Aprovisionamiento automático**, elija **Configurar aprovisionamiento automático**.
1. En el procedimiento anterior, copió el valor del **token de acceso** en la consola de IAM Identity Center. Pegue ese valor en el campo **Token de acceso** y seleccione **Continuar**. Además, en el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en la consola del IAM Identity Center. Pegue ese valor en el campo **URL del punto de conexión** y elija **Continuar**.
1. Compruebe que todos los atributos obligatorios de IAM Identity Center (los marcados con un asterisco) estén asignados a los atributos de Google Cloud Directory. Si no es así, haga clic en la flecha hacia abajo y asigne el atributo correspondiente. Elija **Continuar**.
1. En la sección **Provisioning scope**, puede seleccionar un grupo con su directorio de Google Workspace para proporcionar acceso a la aplicación de Amazon Web Services. Omita este paso y seleccione **Continue**.
1. En la sección **Deprovisioning**, puede elegir cómo responder a los diferentes eventos que impiden el acceso de un usuario. Para cada situación, puede especificar el tiempo que debe transcurrir antes de que comience el desaprovisionamiento:
+ en menos de 24 horas
+ después de un día
+ después de siete días
+ después de 30 días
Cada situación tiene una configuración de tiempo para cuándo suspender el acceso a una cuenta y cuándo eliminarla.
**sugerencia**
Configure siempre más tiempo antes de eliminar la cuenta de un usuario que para suspenderla.
1. Seleccione **Finalizar**. Volverá a la página de la aplicación de Amazon Web Services.
1. En la sección **Autoaprovisionamiento**, active el conmutador para cambiarlo de **Inactivo** a **Activo**.
**nota**
El control deslizante de activación está deshabilitado si IAM Identity Center no está activado para los usuarios. Seleccione **Acceso de usuario** y active la aplicación para activar el control deslizante.
1. En el cuadro de diálogo de confirmación, elija **Activar**.
1. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios**. En la página **Users** se muestran los usuarios de su directorio de Google Workspace que creó SCIM. Si los usuarios aún no aparecen en la lista, es posible que el aprovisionamiento aún esté en proceso. El aprovisionamiento puede tardar hasta 24 horas, aunque en la mayoría de los casos se completa en cuestión de minutos. Asegúrese de actualizar la ventana del navegador cada pocos minutos.
Seleccione un usuario y consulte sus detalles. La información debe coincidir con la información del directorio de Google Workspace.
**¡Enhorabuena\$1**
Ha configurado correctamente una conexión SAML entre Google Workspace AWS y ha comprobado que el aprovisionamiento automático funciona. Ahora puede asignar a estos usuarios cuentas y aplicaciones en **IAM Identity Center**. Para este tutorial, en el siguiente paso designaremos a uno de los usuarios como administrador de IAM Identity Center mediante la concesión de permisos administrativos en la cuenta de administración.
## Paso de atributos para el control de acceso: *opcional*
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Asigne acceso a Cuentas de AWS
Los siguientes pasos solo son necesarios para conceder acceso Cuentas de AWS únicamente a. Estos pasos no son necesarios para conceder el acceso a AWS las solicitudes.
**nota**
Para completar este paso, necesitará una instancia de organización de IAM Identity Center. Para obtener más información, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md).
### Paso 1: IAM Identity Center: conceder a los usuarios de Google Workspace acceso a las cuentas
1. Vuelva a la consola de **IAM Identity Center**. En el panel de navegación del IAM Identity Center, en **Permisos para varias cuentas**, seleccione **Cuentas de AWS**.
1. En la página **Cuentas de AWS**, la opción **Estructura organizativa** muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione **Asignar usuarios o grupos**.
1. Aparecerá el flujo de trabajo **Asignar usuarios y grupos**. Consta de tres pasos:
1. En **Paso 1: selección de usuarios y grupos**, elija el usuario que realizará la función del trabajo de administrador. A continuación, elija **Siguiente**.
1. En **Paso 2: selección de conjuntos de permisos**, elija **Crear conjunto de permisos** para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.
1. En **Paso 1: selección del tipo de conjunto de permisos**, haga lo siguiente:
+ En **Tipo de conjunto de permisos**, seleccione **Conjunto de permisos predefinido**.
+ En **Política para un conjunto de permisos predefinido**, elija **AdministratorAccess**.
Elija **Siguiente**.
1. En **Paso 2: especificación de los detalles del conjunto de permisos**, mantenga la configuración predeterminada y seleccione **Siguiente**.
La configuración predeterminada crea un conjunto de permisos denominado *AdministratorAccess* con una duración de sesión establecida en una hora.
1. En el **paso 3: revisar y crear**, compruebe que el **tipo de conjunto de permisos** utiliza la política AWS gestionada **AdministratorAccess**. Seleccione **Crear**. En la página **Conjuntos de permisos**, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.
1. En la pestaña **Asignar usuarios y grupos** del navegador, todavía está en **Paso 2: selección de los conjuntos de permisos**, donde empezó el flujo de trabajo de creación de conjuntos de permisos.
1. En el área **Conjuntos de permisos**, pulse el botón **Actualizar**. El conjunto de *AdministratorAccess* permisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione **Siguiente**.
1. En **Paso 3: revisión y envío**, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione **Enviar**.
La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.
Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el *AdministratorAccess* rol.
**nota**
La sincronización automática de SCIM de Google Workspace solo permite el aprovisionamiento de usuarios. Por el momento, no se admite el aprovisionamiento automático de grupos. No puede crear grupos para los usuarios de Google Workspace mediante la Consola de administración de AWS. Tras aprovisionar a los usuarios, puede crear grupos mediante el comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) de AWS CLI Identity Store o la API de IAM. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Paso 2Google Workspace: Confirme Google Workspace el acceso de los usuarios a los recursos AWS
1. Inicie sesión en Google con una cuenta de usuario de prueba. Para obtener información sobre cómo agregar usuarios a Google Workspace, consulte la [documentación de Google Workspace](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Seleccione el icono del lanzador de Google apps (símbolo).
1. Desplácese a la parte inferior de la lista de aplicaciones donde se encuentran las aplicaciones personalizadas de Google Workspace. Aparece la aplicación de **Amazon Web Services**.
1. Seleccione la aplicación **Amazon Web Services**. Ha iniciado sesión en el portal de AWS acceso y puede ver el Cuenta de AWS icono. Amplíe ese icono para ver la lista a la Cuentas de AWS que puede acceder el usuario. En este tutorial, solo trabajó con una cuenta, por lo que al expandir el icono solo se muestra una cuenta.
1. Seleccione la cuenta para ver los conjuntos de permisos disponibles para el usuario. En este tutorial, creó el conjunto de **AdministratorAccess**permisos.
1. Junto al conjunto de permisos hay enlaces para el tipo de acceso disponible para ese conjunto de permisos. Cuando creó el conjunto de permisos, especificó que se habilitó el acceso mediante programación y con la Consola de administración, por lo que esas dos opciones están presentes. Seleccione **Consola de administración** para abrir la Consola de administración de AWS.
1. El usuario ha iniciado sesión en la consola.
## Siguientes pasos
Ahora que ha configurado Google Workspace como proveedor de identidades y ha aprovisionado a usuarios en IAM Identity Center, puede hacer lo siguiente:
+ Utilice el comando [create-group de AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) Identity Store o la API de IAM [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)para crear grupos para sus usuarios.
Los grupos son útiles a la hora de asignar acceso a aplicaciones y aplicaciones. Cuentas de AWS En lugar de asignarlo a cada usuario de manera individual, concede permisos a un grupo. Más adelante, al agregar o eliminar usuarios de un grupo, el usuario obtiene o pierde de forma dinámica el acceso a las cuentas y aplicaciones que haya asignado al grupo.
+ Para configurar los permisos en función de los cargos en el trabajo; consulte [Create a permission set](howtocreatepermissionset.md).
Los conjuntos de permisos definen el nivel de acceso que tienen los usuarios y grupos en una Cuenta de AWS. Los conjuntos de permisos se almacenan en IAM Identity Center y se pueden aprovisionar a una o varias Cuentas de AWS. Puedes asignar más de un conjunto de permisos a un usuario.
**nota**
Como administrador de IAM Identity Center, en ocasiones tendrá que sustituir los certificados de IdP antiguos por otros más nuevos. Por ejemplo, debe sustituir un certificado cuando se aproxime la fecha de vencimiento del certificado. El proceso de sustituir un certificado antiguo por uno más nuevo se denomina rotación de certificados. Asegúrese de revisar cómo [administrar los certificados de SAML](managesamlcerts.md) para Google Workspace.
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con Google Workspace, consulte las secciones siguientes:
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ Para solucionar problemas en Google Workspace, consulte la [documentación de Google Workspace](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA).
Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con: AWS
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico
# Uso de IAM Identity Center para conectarse a su plataforma de directorios de JumpCloud
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde la plataforma de directorios de JumpCloud a IAM Identity Center. Este aprovisionamiento utiliza el protocolo de [Lenguaje de marcado de seguridad (SAML) 2.0](scim-profile-saml.md). Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
Esta conexión se configura en JumpCloud mediante el punto de conexión SCIM y el token de acceso de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en JumpCloud con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y JumpCloud.
Esta guía está basada en JumpCloud a fecha de junio de 2021. Los pasos para las versiones más recientes pueden variar. Esta guía contiene algunas notas sobre la configuración de la autenticación de usuarios mediante SAML.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos de JumpCloud a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
**Topics**
+ [Requisitos previos](#jumpcloud-prereqs)
+ [Consideraciones de SCIM](#jumpcloud-scim)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#jumpcloud-step1)
+ [Paso 2: configure el aprovisionamiento en JumpCloud](#jumpcloud-step2)
+ [(Opcional) Paso 3: configure los atributos de usuario en JumpCloud para el control de acceso en IAM Identity Center](#jumpcloud-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#jumpcloud-passing-abac)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Suscripción a JumpCloud o prueba gratuita. Para suscribirse a una versión de prueba gratuita, vaya a [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup).
+ Una cuenta habilitada para el IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una conexión SAML desde su cuenta de JumpCloud a IAM Identity Center, tal y como se describe en la [documentación de IAM Identity Center JumpCloud](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO).
+ Si ha replicado el Centro de Identidad de IAM en otras regiones, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y Cuentas de AWS desde esas regiones. Para obtener más información, consulte [Paso 3: Actualizar la configuración del IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte la JumpCloud documentación para obtener más información.
+ Asocie el conector de IAM Identity Center a los grupos a los que desee permitir el acceso a las cuentas de AWS .
## Consideraciones de SCIM
A continuación, se presentan las consideraciones a tener en cuenta al utilizar la federación de JumpCloud para IAM Identity Center.
+ Solo los grupos asociados al conector de inicio de sesión AWS único se JumpCloud sincronizarán con el SCIM.
+ Solo se puede sincronizar un atributo de número de teléfono y el valor predeterminado es “teléfono del trabajo”.
+ Los usuarios del directorio de JumpCloud deben tener su nombre y apellidos configurados para poder sincronizarse con IAM Identity Center mediante SCIM.
+ Los atributos siguen sincronizados si el usuario está deshabilitado en IAM Identity Center, pero sigue activo en JumpCloud.
+ Si desea activar la sincronización con SCIM únicamente para la información del usuario, desmarque la opción “Habilitar la administración de grupos de usuarios y la pertenencia a grupos” en el conector.
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final de SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes con la aplicación IAM Identity Center de JumpCloud. Estos pasos se explican en el procedimiento siguiente.
## Paso 2: configure el aprovisionamiento en JumpCloud
Utilice el siguiente procedimiento en el conector IAM Identity Center JumpCloud para habilitar el aprovisionamiento con IAM Identity Center. En este procedimiento se presupone que ya ha añadido la aplicación JumpCloud de IAM Identity Center a la consola de JumpCloud administración del portal. Si aún no lo ha hecho, consulte los [Requisitos previos](#jumpcloud-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM.
**Cómo configurar el aprovisionamiento en JumpCloud**
1. Abra el conector IAM Identity Center JumpCloud que instaló como parte de la configuración SAML para JumpCloud (**Autenticación de usuario** > **IAM Identity Center**). Consulte [Requisitos previos](#jumpcloud-prereqs).
1. Seleccione el conector **IAM Identity Center** y, a continuación, elija la tercera pestaña **Gestión de identidades.**
1. Marque la casilla **Habilitar la administración de grupos de usuarios y la pertenencia a grupos en esta aplicación** si desea que los grupos se sincronicen con SCIM.
1. Haga clic en **Configurar**.
1. En el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en IAM Identity Center. Pegue ese valor en el campo **URL base** en el conector IAM Identity Center JumpCloud.
1. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **Clave de token** en el conector IAM Identity Center JumpCloud.
1. Haga clic en **Activar** para aplicar la configuración.
1. Asegúrese de tener activado un indicador verde junto a **Inicio de sesión único activado**.
1. Vaya a la cuarta pestaña **Grupos de usuarios** y marque los grupos que desee aprovisionar con SCIM.
1. Cuando haya terminado, haga clic en **Guardar**, en la parte inferior.
1. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios**. Los usuarios sincronizados de JumpCloud aparecerán en la página de **Usuarios**. Estos usuarios ya pueden asignarse a cuentas en IAM Identity Center.
## (Opcional) Paso 3: configure los atributos de usuario en JumpCloud para el control de acceso en IAM Identity Center
Se trata de un procedimiento opcional si JumpCloud decide configurar los atributos del Centro de Identidad de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en JumpCloud se transfieren en una aserción de SAML al IAM Identity Center. A continuación, debe crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde JumpCloud.
Antes de iniciar este procedimiento, habilite primero la característica [Atributos para el control de acceso](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
****Cómo configurar atributos de usuario utilizados en JumpCloud para el control de acceso en IAM Identity Center****
1. Abra el conector IAM Identity Center JumpCloud que instaló como parte de la configuración SAML para JumpCloud (**Autenticación de usuario** > **IAM Identity Center**).
1. Elija el conector de **IAM Identity Center.** A continuación, seleccione la segunda pestaña: **IAM Identity Center**.
1. En la parte inferior de esta pestaña está la **asignación de atributos de usuario**. Elija **Añadir nuevo atributo** y, a continuación siga estos pasos para cada atributo que vaya a añadir para su uso en IAM Identity Center para el control de acceso.
1. En el campo **Nombre del atributo proporcionado por el servicio**, introduzca `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.`. Reemplace ` AttributeName ` con el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. En el campo **Nombre del atributo de JumpCloud**, elija los atributos de usuario de su directorio de JumpCloud. Por ejemplo, **Correo electrónico (trabajo)**.
1. Seleccione **Save**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
# Configuración de SAML y SCIM con Microsoft Entra ID e IAM Identity Center
AWS IAM Identity Center admite la integración con el [lenguaje de marcado de aserciones de seguridad (SAML) 2.0](scim-profile-saml.md), así como el [aprovisionamiento automático](provision-automatically.md) (sincronización) de la información de usuarios y grupos desde Microsoft Entra ID (antes conocida como Azure Active Directory oAzure AD) al IAM Identity Center mediante el protocolo [System for Cross-domain Identity Management](scim-profile-saml.md#scim-profile) (SCIM) 2.0. Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
**Objetivo**
En este tutorial, configurará un laboratorio de pruebas y configurará una conexión SAML y el aprovisionamiento de SCIM entre Microsoft Entra ID e IAM Identity Center. Durante los pasos iniciales de preparación, creará un usuario de prueba (Nikki Wolf) tanto en Microsoft Entra ID como en IAM Identity Center que utilizará para probar la conexión SAML en ambas direcciones. Más adelante, como parte de los pasos de SCIM, creará un usuario de prueba diferente (Richard Roe) para comprobar que los nuevos atributos de Microsoft Entra ID se sincronizan con IAM Identity Center según lo previsto.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que definir lo siguiente:
+ Un inquilino de Microsoft Entra ID. Para obtener más información, consulte [Quickstart: Configurar un inquilino](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) en la documentación de Microsoft.
+ Una cuenta habilitada para los usuarios. AWS IAM Identity Center Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) en la *Guía del usuario de AWS IAM Identity Center *.
## Consideraciones
Las siguientes son consideraciones importantes sobre Microsoft Entra ID que pueden afectar a la forma en que planea implementar el [aprovisionamiento automático](provision-automatically.md) con IAM Identity Center en su entorno de producción mediante el protocolo SCIM v2.
**Aprovisionamiento automático**
Antes de comenzar a implementar SCIM, le recomendamos revisar primero las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations).
**Atributos para controlar el acceso**
Los atributos para el control de acceso se utilizan en las políticas de permisos que determinan quién de su fuente de identidad puede acceder a sus AWS recursos. Si se elimina un atributo de un usuario en Microsoft Entra ID, ese atributo no se elimina del usuario correspondiente en IAM Identity Center. Se trata de una limitación de Microsoft Entra ID conocida. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincroniza con IAM Identity Center.
**Agrupación anidada**
El servicio de aprovisionamiento de usuarios de Microsoft Entra ID no puede leer ni aprovisionar usuarios en grupos anidados. Solo se puede leer y aprovisionar los usuarios que sean miembros inmediatos de un grupo asignado explícitamente. Microsoft Entra ID no desglosa de forma recursiva las pertenencias a grupos de usuarios o grupos asignados indirectamente (usuarios o grupos que son miembros de un grupo asignado directamente). Para obtener más información, consulte [Ámbito basado en asignaciones](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) en la documentación de Microsoft. Como alternativa, puede utilizar la [sincronización de AD de IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) para integrar grupos de Active Directory con IAM Identity Center.
**Grupos dinámicos**
El servicio de aprovisionamiento de usuarios de Microsoft Entra ID puede leer y aprovisionar usuarios en [grupos dinámicos](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Consulte a continuación un ejemplo que muestra la estructura de usuarios y grupos al utilizar grupos dinámicos y cómo se muestran en IAM Identity Center. Estos usuarios y grupos se aprovisionaron de Microsoft Entra ID a IAM Identity Center mediante SCIM
Por ejemplo, si la estructura de los grupos dinámicos de Microsoft Entra ID es la siguiente:
1. Grupo A con los miembros ua1, ua2
1. Grupo B con miembros ub1
1. Grupo C con miembros uc1
1. Grupo K con una regla para incluir a los miembros de los grupos A, B, C
1. Grupo K con una regla para incluir a los miembros de los grupos A, B, C
Una vez que la información del usuario y el grupo se aprovisione de Microsoft Entra ID a IAM Identity Center a través de SCIM, la estructura será la siguiente:
1. Grupo A con los miembros ua1, ua2
1. Grupo B con miembros ub1
1. Grupo C con miembros uc1
1. Grupo K con miembros ua1, ua2, ub1, uc1
1. Grupo L con miembros ub1, uc1
Cuando configure el aprovisionamiento automático mediante grupos dinámicos, tenga en cuenta las siguientes consideraciones.
+ Un grupo dinámico puede incluir un grupo anidado. Sin embargo, el servicio de aprovisionamiento de Microsoft Entra ID no aplana los grupos anidados. Por ejemplo, si tiene la siguiente estructura de Microsoft Entra ID para grupos dinámicos,
+ El grupo A es un elemento principal del grupo B.
+ El grupo A tiene a ua1 como miembro.
+ El grupo B tiene a ub1 como miembro.
El grupo dinámico que incluye al grupo A solo incluirá a los miembros directos del grupo A (es decir, ua1). No incluirá de forma recursiva a los miembros del grupo B.
+ Los grupos dinámicos no pueden contener otros grupos dinámicos. Para obtener más información, consulte [Limitaciones de vista previa](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) en la documentación de Microsoft.
## Paso 1: preparación de su inquilino de Microsoft
En este paso, explicará cómo instalar y configurar su aplicación AWS IAM Identity Center empresarial y cómo asignar el acceso a un usuario de Microsoft Entra ID prueba recién creado.
------
#### [ Step 1.1 > ]
**Paso 1.1: Configurar la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID**
En este procedimiento, se instala la aplicación AWS IAM Identity Center empresarial enMicrosoft Entra ID. Necesitará esta aplicación más adelante para configurar su conexión SAML con AWS.
1. Inicie sesión en el [Centro de administración de Microsoft Entra](https://entra.microsoft.com/) como mínimo como administrador de aplicaciones en la nube.
1. Vaya a **Identity > Applications > Enterprise applications** y, a continuación, seleccione **New application**.
1. En la página **Browse Microsoft Entra Gallery**, ingrese ****AWS IAM Identity Center**** en el cuadro de búsqueda.
1. Seleccione **AWS IAM Identity Center** de los resultados.
1. Seleccione **Crear**.
------
#### [ Step 1.2 > ]
**Paso 1.2: creación de un usuario de prueba en Microsoft Entra ID**
Nikki Wolf es el nombre del usuario de prueba de Microsoft Entra ID que creará en este procedimiento.
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Users > All users**.
1. Seleccione **New user** y, a continuación, seleccione **Create new user** en la parte superior de la pantalla.
1. En **User principal name**, ingrese ****NikkiWolf**** y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, *NikkiWolf*@*example.org*.
1. En **Display name**, ingrese ****NikkiWolf****.
1. En **Password**, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.
1. Seleccione **Properties** y, en **Name**, ingrese ****Nikki****. En **Last name**, ingrese ****Wolf****.
1. Elija **Review \$1 create** y, a continuación, seleccione **Create**.
------
#### [ Step 1.3 ]
**Paso 1.3: Pon a prueba la experiencia de Nikki antes de asignar sus permisos a AWS IAM Identity Center**
En este procedimiento, verificará que Nikki puede iniciar sesión correctamente en el [portal Mi cuenta](https://myaccount.microsoft.com/) de Microsoft.
1. En el mismo navegador, abra una pestaña nueva, vaya a la página de inicio de sesión del [portal Mi cuenta](https://myaccount.microsoft.com/) e ingrese la dirección de correo electrónico completa de Nikki. Por ejemplo, *NikkiWolf*@. *example.org*
1. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione **Sign in**. Si se trata de una contraseña generada automáticamente, se le solicitará que la cambie.
1. En la página **Action Required**, seleccione **Ask later** para omitir la solicitud de métodos de seguridad adicionales.
1. En la página **Mi cuenta**, en el menú de navegación izquierdo, seleccione **Mis aplicaciones**. Tenga en cuenta que, además de los **complementos**, no se muestra ninguna aplicación en este momento. Agregará una aplicación de **AWS IAM Identity Center** que aparecerá aquí en un paso posterior.
------
#### [ Step 1.4 ]
**Paso 1.4: asignación de permisos a Nikki en Microsoft Entra ID**
Ahora que ha comprobado que Nikki puede acceder correctamente al **portal Mi cuenta**, utilice este procedimiento para asignar su usuario a la aplicación de **AWS IAM Identity Center**.
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Applications > Enterprise applications** y, a continuación, seleccione **AWS IAM Identity Center** en la lista.
1. A la izquierda, seleccione **Users and groups**.
1. Elija **Agregar usuario o grupo**. Puede ignorar el mensaje que indica que los grupos no están disponibles para su asignación. En este tutorial no se utilizan grupos para las asignaciones.
1. En la página **Add Assignment**, en **Users**, seleccione **None Selected**.
1. Seleccione y **NikkiWolf**, a continuación, elija **Seleccionar**.
1. En la página **Añadir tarea**, elija **Asignar**. NikkiWolf ahora aparece en la lista de usuarios que están asignados a la **AWS IAM Identity Center**aplicación.
------
## Paso 2: Prepara tu AWS cuenta
En este paso, seguirá las indicaciones para usar **IAM Identity Center** a fin de configurar los permisos de acceso (mediante un conjunto de permisos), crear manualmente el usuario correspondiente de Nikki Wolf y asignarle los permisos necesarios para administrar los recursos en AWS.
------
#### [ Step 2.1 > ]
**Paso 2.1: Crea un conjunto de RegionalAdmin permisos en IAM Identity Center**
Este conjunto de permisos se utilizará para conceder a Nikki los permisos de AWS cuenta necesarios para gestionar las regiones desde la página de la **cuenta** del Consola de administración de AWS. De forma predeterminada, todos los demás permisos para ver o administrar cualquier otra información de la cuenta de Nikki están denegados.
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon)
1. En **Permisos para varias cuentas**, elija **Conjunto de permisos**.
1. Elija **Crear conjunto de permisos**.
1. En la página **Seleccionar el tipo de conjunto de permisos**, seleccione **Conjunto de permisos personalizado** y seleccione **Siguiente**.
1. Seleccione **Política insertada** para ampliarla y, a continuación, siga estos pasos para crear una política para el conjunto de permisos:
1. Seleccione **Agregar nueva instrucción** para crear una instrucción de política.
1. En **Editar instrucción**, seleccione **Cuenta** de la lista y, a continuación, seleccione las siguientes casillas de verificación.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Junto a **Agregar un recurso**, elija **Agregar**.
1. En la página **Agregar recurso**, en **Tipo de recurso**, seleccione **Todos los recursos** y, a continuación, seleccione **Agregar recurso**. Compruebe que la política sea similar a la siguiente:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Elija **Siguiente**.
1. En la página **Especificar los detalles del conjunto de permisos**, en **Nombre de conjunto de permisos**, escriba ****RegionalAdmin**** y, a continuación, seleccione **Siguiente**.
1. En la página **Review and create** (Revisar y crear), elija **Create** (Crear). Debería **RegionalAdmin**aparecer en la lista de conjuntos de permisos.
------
#### [ Step 2.2 > ]
**Paso 2.2: Cree el NikkiWolf usuario correspondiente en IAM Identity Center**
Como el protocolo SAML no proporciona un mecanismo para consultar el IdP (Microsoft Entra ID) y crear usuarios automáticamente aquí en IAM Identity Center, utilice el siguiente procedimiento para crear manualmente un usuario de IAM Identity Center que refleje los atributos principales del usuario Nikki Wolf en Microsoft Entra ID.
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon)
1. Seleccione **Usuarios**, **Agregar usuario** y, a continuación, proporcione la siguiente información:
1. Tanto para el **nombre de usuario** como para la **dirección de correo electrónico**: introduce la misma ****NikkiWolf**@ *yourcompanydomain.extension*** que utilizaste al crear tu Microsoft Entra ID usuario. Por ejemplo, *NikkiWolf*@*example.org*.
1. **Confirmar dirección de correo electrónico**: vuelva a ingresar la dirección de correo electrónico del paso anterior
1. **Nombre**: ingrese ****Nikki****.
1. **Apellidos**: ingrese ****Wolf****.
1. **Nombre de visualización**: ingrese ****Nikki Wolf****.
1. Seleccione **Siguiente** dos veces, y a continuación, seleccione **Agregar usuario**.
1. Seleccione **Close (Cerrar)**.
------
#### [ Step 2.3 ]
**Paso 2.3: Asigne a Nikki el conjunto de RegionalAdmin permisos en IAM Identity Center**
Aquí encontrará el lugar Cuenta de AWS en el que Nikki administrará las regiones y, a continuación, asignará los permisos necesarios para que pueda acceder correctamente al portal de AWS acceso.
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon)
1. En **Permisos para varias cuentas**, elija **Cuentas de AWS**.
1. Seleccione la casilla de verificación situada junto al nombre de la cuenta (por ejemplo*Sandbox*) a la que quiere conceder a Nikki el acceso para gestionar las regiones y, a continuación, seleccione **Asignar usuarios** y grupos.
1. En la página **Asignar usuarios y grupos**, seleccione la pestaña **Usuarios**, busque y marque la casilla situada junto a Nikki y, a continuación, seleccione **Siguiente**.
1.
**Example**
1. En la página **Revisar y enviar**, revise la selección y, a continuación, elija **Enviar**.
------
## Paso 3: configuración y prueba de la conexión SAML
En este paso, configura la conexión SAML mediante la aplicación AWS IAM Identity Center empresarial Microsoft Entra ID junto con la configuración del IdP externo en el Centro de identidad de IAM.
------
#### [ Step 3.1 > ]
**Paso 3.1: recopilación de los metadatos del proveedor de servicios necesarios de IAM Identity Center**
En este paso, iniciará el asistente para **cambiar la fuente de identidad** desde la consola del IAM Identity Center y recuperará el archivo de metadatos y la URL de inicio de sesión AWS específica que deberá introducir al configurar la conexión en el siguiente paso. Microsoft Entra ID
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración**.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad**, elija **Acciones y, a continuación, Cambiar fuente de identidad**.
1. En la página **Elegir el origen de identidad**, seleccione **Proveedor de identidades externo** y, a continuación, seleccione **Siguiente**.
1. **En la página **Configurar un proveedor de identidad externo**, en **Metadatos del proveedor de servicios**, selecciona **Predeterminado IPv4** o Dual-stack.** Puede descargar el archivo de metadatos del proveedor de servicios después de completar el cambio de fuente de identidad.
1. En la misma sección, busque el valor de **URL de inicio de sesión del portal de acceso de AWS ** y cópielo. Deberá ingresar este valor en el siguiente paso cuando se le pida.
1. Deje esta página abierta y continúe con el siguiente paso (**`Step 3.2`**) para configurar la aplicación AWS IAM Identity Center empresarialMicrosoft Entra ID. Más adelante, volverá a esta página para completar el proceso.
------
#### [ Step 3.2 > ]
**Paso 3.2: Configure la aplicación AWS IAM Identity Center empresarial en Microsoft Entra ID**
Este procedimiento establece la mitad de la conexión SAML en Microsoft mediante los valores del archivo de metadatos y la URL de inicio de sesión que obtuvo en el último paso.
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Applications > Enterprise applications** y, a continuación, seleccione **AWS IAM Identity Center**.
1. En el panel de la izquierda, elija **2. Configure el inicio de sesión único**.
1. **En la página **Configurar el inicio de sesión único con SAML**, seleccione SAML**. Luego, seleccione **Subir archivo de metadatos**, seleccione el icono de la carpeta, seleccione el archivo de metadatos del proveedor de servicios que descargó en el paso anterior y, a continuación, seleccione **Agregar**.
1. En la página de **configuración básica de SAML**, compruebe que los valores del **identificador** y de la URL de **respuesta (URL del servicio de atención al consumidor de afirmaciones)** apuntan ahora a los puntos finales. AWS
+ **Identificador**: es la **URL del emisor** del IAM Identity Center. El mismo valor se aplica independientemente de si utiliza puntos finales de pila IPv4 única o de doble pila.
+ URL de **respuesta (URL de Assertion Consumer Service): los valores aquí incluidos incluyen los puntos de enlace** de doble pila y los IPv4 de doble pila de todas las regiones habilitadas de su centro de identidad de IAM. Puede usar la URL ACS de la región principal como predeterminada para que los usuarios sean redirigidos a la región principal cuando lancen la aplicación Amazon Web Services desde ellaMicrosoft Entra ID. Para obtener más información sobre ACS URLs, consulte[Los puntos finales ACS son el principal y el adicional Regiones de AWS](multi-region-workforce-access.md#acs-endpoints).
+ (Opcional) Si ha replicado el Centro de Identidad de IAM en otras regiones, también puede crear una aplicación de marcadores Microsoft Entra ID para el portal de AWS acceso de cada región adicional. Esto permite a sus usuarios acceder al portal de AWS acceso en otras regiones desde. Microsoft Entra ID Asegúrese de conceder a sus usuarios permisos para acceder a las aplicaciones de marcadores. Microsoft Entra ID Consulta [Microsoft Entra IDla documentación](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) para obtener más información. Si planea replicar el Centro de identidades de IAM en otras regiones más adelante, visite [Microsoft Entra IDconfiguración para acceder a regiones adicionales](#gs-microsoft-entra-multi-region) para obtener información sobre cómo habilitar el acceso a las regiones adicionales después de esta configuración inicial.
1. En **Sign on URL (Optional)**, pegue el valor de la **URL de inicio de sesión del portal de acceso de AWS ** que copió en el paso anterior (**`Step 3.1`**), seleccione **Save** y, a continuación, seleccione **X** para cerrar la ventana.
1. Si se te pide que pruebes el inicio de sesión único con AWS IAM Identity Center, selecciona **No, lo probaré** más tarde. Realizará esta verificación en un paso posterior.
1. En la página **Set up Single Sign-On with SAML**, en la sección **SAML Certificates**, junto a **Federation Metadata XML**, seleccione **Download** para guardar el archivo de metadatos en el sistema. Deberá cargar este archivo en el siguiente paso cuando se le pida.
------
#### [ Step 3.3 > ]
**Paso 3.3: configuración del IdP externo de Microsoft Entra ID en AWS IAM Identity Center**
Aquí volverá al asistente **Cambiar el origen de identidad** de la consola de IAM Identity Center para completar la segunda mitad de la conexión SAML en AWS.
1. Vuelva a la sesión del navegador que dejó abierta en **`Step 3.1`** en la consola de IAM Identity Center.
1. En la página **Configurar un proveedor de identidad externo**, en la sección **Metadatos del proveedor de identidad**, en **Metadatos SAML del IdP**, pulse el botón **Elegir archivo**, seleccione el archivo de metadatos del proveedor de identidades que descargó de Microsoft Entra ID en el paso anterior y, a continuación, seleccione **Abrir**.
1. Elija **Siguiente**.
1. Cuando haya leído el aviso legal y tenga todo listo para continuar, ingrese ****ACCEPT****.
1. Seleccione **Cambiar el origen de identidad** para aplicar los cambios.
------
#### [ Step 3.4 > ]
**Paso 3.4: comprobación de que Nikki se redirige al portal de acceso de AWS **
En este procedimiento, probará la conexión SAML; para ello, iniciará sesión en el **portal Mi cuenta** de Microsoft con las credenciales de Nikki. Una vez autenticado, seleccionarás la AWS IAM Identity Center aplicación que redirigirá a Nikki al portal de acceso. AWS
1. Vaya a la página de inicio de sesión del [portal Mi cuenta](https://myaccount.microsoft.com/) e ingrese la dirección de correo electrónico completa de Nikki. *Por ejemplo, **NikkiWolf** @.* *example.org*
1. Cuando se le pida, ingrese la contraseña de Nikki y, a continuación, seleccione **Sign in**.
1. En la página **Mi cuenta**, en el menú de navegación izquierdo, seleccione **Mis aplicaciones**.
1. En la página **My Apps**, seleccione la aplicación denominada **AWS IAM Identity Center**. Esto debería solicitarle una autenticación adicional.
1. En la página de inicio de sesión de Microsoft, elige tus NikkiWolf credenciales. Si se te solicita la autenticación por segunda vez, vuelve a elegir tus NikkiWolf credenciales. Esto debería redirigirlo automáticamente al portal de AWS acceso.
**sugerencia**
Si no se le redirige correctamente, compruebe que el valor de **URL de inicio de sesión del portal de acceso de AWS ** que ha ingresado en **`Step 3.2`** coincide con el valor que ha copiado en **`Step 3.1`**.
1. Compruebe que su Cuentas de AWS pantalla.
**sugerencia**
Si la página está vacía y no se Cuentas de AWS muestra, confirme que Nikki se ha asignado correctamente al conjunto de **RegionalAdmin**permisos (consulte **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Paso 3.5: comprobación del nivel de acceso de Nikki para administrar su Cuenta de AWS**
En este paso, comprobará el nivel de acceso de Nikki para administrar la configuración regional de su Cuenta de AWS. Nikki solo debe tener los privilegios de administrador suficientes para administrar las regiones desde la página **Cuentas**.
1. En el portal de AWS acceso, seleccione la pestaña **Cuentas** para ver la lista de cuentas. Aparecen los nombres de las cuentas IDs, las cuentas y las direcciones de correo electrónico asociadas a las cuentas en las que haya definido conjuntos de permisos.
1. Elija el nombre de la cuenta (por ejemplo*Sandbox*) en la que aplicó el conjunto de permisos (consulte **`Step 2.3`**). Esto ampliará la lista de conjuntos de permisos entre los que Nikki puede elegir para administrar su cuenta.
1. Luego, **RegionalAdmin**elija **la consola de administración** para asumir la función que definió en el conjunto de **RegionalAdmin**permisos. Esto le redirige a la página de inicio de la Consola de administración de AWS .
1. En la esquina superior derecha de la consola, seleccione el nombre de cuenta y, a continuación, seleccione **Cuenta**. El enlace le dirigirá a la página **Cuenta**. Observe que en todas las demás secciones de esta página aparece un mensaje en el que se indica que no tiene los permisos necesarios para ver ni modificar esos ajustes.
1. En la página **Cuenta**, desplácese hacia abajo hasta la sección **Regiones de AWS **. Seleccione la casilla de verificación de cualquier región disponible en la tabla. Tenga en cuenta que Nikki tiene los permisos necesarios para **habilitar** o **deshabilitar** la lista de regiones de su cuenta, tal y como estaba previsto.
**¡Bien hecho\$1**
Los pasos del 1 al 3 lo ayudaron a implementar y probar correctamente la conexión SAML. Ahora, para completar el tutorial, le recomendamos que continúe con el paso 4 para implementar el aprovisionamiento automático.
------
## Paso 4: configuración y comprobación de la sincronización de SCIM
En este paso, configurará el [aprovisionamiento automático](provision-automatically.md) (sincronización) de la información del usuario desde Microsoft Entra ID a IAM Identity Center mediante el protocolo SCIM v2.0. Esta conexión se configura en Microsoft Entra ID, mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center.
Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en Microsoft Entra ID con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y Microsoft Entra ID.
En los siguientes pasos se explica cómo habilitar el aprovisionamiento automático de usuarios que se encuentran principalmente en Microsoft Entra ID a IAM Identity Center mediante la aplicación de IAM Identity Center en Microsoft Entra ID.
------
#### [ Step 4.1 > ]
**Paso 4.1: creación de un segundo usuario de prueba en Microsoft Entra ID**
Con fines de prueba, creará un nuevo usuario (Richard Roe) en Microsoft Entra ID. Más adelante, después de configurar la sincronización con SCIM, comprobará que este usuario y todos los atributos pertinentes se han sincronizado correctamente con IAM Identity Center.
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Users > All users**.
1. Seleccione **New user** y, a continuación, seleccione **Create new user** en la parte superior de la pantalla.
1. En **User principal name**, ingrese ****RichRoe**** y, a continuación, seleccione el dominio y la extensión que desee. Por ejemplo, *RichRoe*@*example.org*.
1. En **Display name**, ingrese ****RichRoe****.
1. En **Password**, ingrese una contraseña segura o seleccione el icono del ojo para mostrar la contraseña que se generó automáticamente y copie o anote el valor que aparece.
1. Seleccione **Properties** y, a continuación, facilite los siguientes valores:
+ **First name**: ingrese ****Richard****.
+ **Last name**: ingrese ****Roe****.
+ **Job title**: ingrese ****Marketing Lead****.
+ **Department**: ingrese ****Sales****.
+ **Employee ID**: ingrese ****12345****.
1. Elija **Review \$1 create** y, a continuación, seleccione **Create**.
------
#### [ Step 4.2 > ]
**Paso 4.2: habilitación del aprovisionamiento automático en IAM Identity Center**
En este procedimiento, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático a IAM Identity Center de los usuarios y grupos que proceden de Microsoft Entra ID.
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon) y seleccione **Configuración** en el panel izquierdo de navegación.
1. En la página **Configuración**, en la pestaña **Origen de identidad**, observe que **Método de aprovisionamiento** está establecido en **Manual**.
1. Busque el cuadro de información **Aprovisionamiento automático** y, a continuación, seleccione **Habilitar**. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo de **aprovisionamiento automático entrante**, copie todos los valores de las opciones siguientes. Deberá pegar estos valores en el siguiente paso cuando configure el aprovisionamiento en Microsoft Entra ID.
1. **Punto final SCIM**: por ejemplo,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Pila doble: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar.
1. Seleccione **Cerrar**.
1. En la pestaña **Origen de identidad**, observe que **Método de aprovisionamiento** ahora está establecido en **SCIM**.
------
#### [ Step 4.3 > ]
**Paso 4.3: configuración del aprovisionamiento automático en Microsoft Entra ID**
Ahora que ha establecido su usuario de RichRoe prueba y ha activado el SCIM en el Centro de Identidad de IAM, puede proceder a configurar los ajustes de sincronización del SCIM en. Microsoft Entra ID
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Applications > Enterprise applications** y, a continuación, seleccione **AWS IAM Identity Center**.
1. Seleccione **Provisioning** y, en **Manage**, vuelva a seleccionar **Provisioning**.
1. En **Provisioning Mode**, seleccione **Automatic**.
1. En **Admin Credentials**, en **Tenant URL**, pegue el valor de la URL de **Punto de conexión de SCIM** que copió anteriormente en **`Step 4.2`**. En **Secret Token**, pegue el valor de **Access token**.
1. Elija **Test Connection**. Debería ver un mensaje que indica que las credenciales probadas se autorizaron correctamente para habilitar el aprovisionamiento.
1. Seleccione **Save**.
1. En **Manage**, seleccione **Users and groups** y, a continuación, seleccione **Add user/group**.
1. En la página **Add Assignment**, en **Users**, seleccione **None Selected**.
1. **Seleccione y, a continuación **RichRoe**, elija Seleccionar.**
1. En la página **Agregar asignación**, elija **Asignar**.
1. Seleccione **Overview** y, a continuación, seleccione **Start provisioning**.
------
#### [ Step 4.4 ]
**Paso 4.4: comprobación de que se ha producido la sincronización**
En esta sección, verificará que el usuario de Richard se aprovisionó correctamente y que todos los atributos se muestran en IAM Identity Center.
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), seleccione **Usuarios**.
1. En la página de **usuarios**, debería aparecer su **RichRoe**usuario. Observe que, en la columna **Creado por**, el valor está establecido en **SCIM**.
1. Seleccione **RichRoe**, en **Perfil**, comprobar que se copiaron los siguientes atributos deMicrosoft Entra ID.
+ **Nombre**: ****Richard****.
+ **Apellido**: ****Roe****.
+ **Departamento**: ****Sales****.
+ **Título**: ****Marketing Lead****.
+ **Número de empleado**: ****12345****.
Ahora que el usuario de Richard se ha creado en IAM Identity Center, puede asignarlo a cualquier conjunto de permisos para controlar el nivel de acceso que tiene a sus recursos de AWS . Por ejemplo, puede asignar **RichRoe**al conjunto de **RegionalAdmin** permisos que utilizó anteriormente para conceder a Nikki los permisos para administrar regiones (consulte **`Step 2.3`**) y, a continuación, probar su nivel de acceso utilizando **`Step 3.5`**.
**¡Enhorabuena\$1**
Has configurado correctamente una conexión SAML entre Microsoft AWS y has comprobado que el aprovisionamiento automático funciona para mantener todo sincronizado. Ahora puede aplicar lo aprendido para configurar su entorno de producción de forma más fluida.
------
## Paso 5: Configurar ABAC: *opcional*
Ahora que se ha configurado SAML y SCIM, puede optar por configurar el control de acceso basado en atributos (ABAC). El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos basados en atributos.
Con Microsoft Entra ID, puede utilizar uno de los dos métodos siguientes para configurar ABAC para su uso con IAM Identity Center.
------
#### [ Configure user attributes in ID de Microsoft Entra for access control in IAM Identity Center ]
**Configuración de atributos de usuario en Microsoft Entra ID para el control de acceso en IAM Identity Center**
En el siguiente procedimiento, determinará qué atributos Microsoft Entra ID debe utilizar el Centro de identidades de IAM para administrar el acceso a sus recursos. AWS Una vez definidos, Microsoft Entra ID envía estos atributos a IAM Identity Center mediante aserciones de SAML. A continuación, tendrá que [Crea un conjunto de permisos.](howtocreatepermissionset.md) en IAM Identity Center para gestionar el acceso en función de los atributos que transfirió desde Microsoft Entra ID.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Applications > Enterprise applications** y, a continuación, seleccione **AWS IAM Identity Center**.
1. Elija **Single sign-on** (Inicio de sesión único).
1. En la sección **Attributes & Claims**, elija **Edit**.
1. En la página **Attributes & Claims**, haga lo siguiente:
1. Elija **Añadir nueva reclamación**.
1. En **Nombre**, escriba `AccessControl:AttributeName`. Sustituya *AttributeName* por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, `AccessControl:Department`.
1. En **Espacio de nombres**, escriba ****https://aws.amazon.com/SAML/Attributes****.
1. En **Source (Origen)**, elija **Attribute (Atributo)**.
1. En **Atributo de origen**, utilice la lista desplegable para elegir los atributos del usuario de Microsoft Entra ID. Por ejemplo, `user.department`.
1. Repita el paso anterior para cada atributo que necesite enviar a IAM Identity Center en la aserción SAML.
1. Seleccione **Save**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Configuración de ABAC con IAM Identity Center**
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un conjunto de `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `Department=billing`.
```
billing
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
------
## Asigne el acceso a Cuentas de AWS
Los siguientes pasos solo son necesarios para conceder acceso Cuentas de AWS únicamente a. Estos pasos no son necesarios para conceder el acceso a AWS las solicitudes.
**nota**
Para completar este paso, necesitará una instancia de organización de IAM Identity Center. Para obtener más información, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md).
### Paso 1: IAM Identity Center: conceder a los usuarios de Microsoft Entra ID acceso a las cuentas
1. Vuelva a la consola de **IAM Identity Center**. En el panel de navegación del IAM Identity Center, en **Permisos para varias cuentas**, seleccione **Cuentas de AWS**.
1. En la página **Cuentas de AWS**, la opción **Estructura organizativa** muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione **Asignar usuarios o grupos**.
1. Aparecerá el flujo de trabajo **Asignar usuarios y grupos**. Consta de tres pasos:
1. En **Paso 1: selección de usuarios y grupos**, elija el usuario que realizará la función del trabajo de administrador. A continuación, elija **Siguiente**.
1. En **Paso 2: selección de conjuntos de permisos**, elija **Crear conjunto de permisos** para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.
1. En **Paso 1: selección del tipo de conjunto de permisos**, haga lo siguiente:
+ En **Tipo de conjunto de permisos**, seleccione **Conjunto de permisos predefinido**.
+ En **Política para un conjunto de permisos predefinido**, elija **AdministratorAccess**.
Elija **Siguiente**.
1. En **Paso 2: especificación de los detalles del conjunto de permisos**, mantenga la configuración predeterminada y seleccione **Siguiente**.
La configuración predeterminada crea un conjunto de permisos denominado *AdministratorAccess* con una duración de sesión establecida en una hora.
1. En el **paso 3: revisar y crear**, compruebe que el **tipo de conjunto de permisos** utiliza la política AWS gestionada **AdministratorAccess**. Seleccione **Crear**. En la página **Conjuntos de permisos**, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.
1. En la pestaña **Asignar usuarios y grupos** del navegador, todavía está en **Paso 2: selección de los conjuntos de permisos**, donde empezó el flujo de trabajo de creación de conjuntos de permisos.
1. En el área **Conjuntos de permisos**, pulse el botón **Actualizar**. El conjunto de *AdministratorAccess* permisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione **Siguiente**.
1. En **Paso 3: revisión y envío**, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione **Enviar**.
La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.
Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el *AdministratorAccess* rol.
### Paso 2Microsoft Entra ID: Confirme el acceso de Microsoft Entra ID los usuarios a AWS los recursos
1. Vuelva a la consola de **Microsoft Entra ID** y diríjase a la aplicación de inicio de sesión basada en SAML de IAM Identity Center.
1. **Seleccione **Usuarios y grupos** y, a continuación, seleccione Añadir usuarios o grupos**. Añadirá el usuario que creó en este tutorial en el paso 4 a la aplicación de Microsoft Entra ID. Al añadir el usuario, le permitirá iniciar sesión en AWS. Busque el usuario que creó en el paso 4. Si siguió este paso, sería **RichardRoe**.
1. Para ver una demostración, consulte [Federate your existing IAM Identity Center instance with Microsoft Entra ID](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)
## Microsoft Entra IDconfiguración para acceder a regiones adicionales del centro de identidad de IAM (opcional)
Si ha replicado el Centro de Identidad de IAM en otras regiones, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y a Cuentas de AWS través de las regiones adicionales. Los pasos que se indican a continuación le guiarán a lo largo del procedimiento. Para obtener más información sobre este tema, incluidos los requisitos previos, consulte[Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md).
1. Recupere el ACS URLs de las regiones adicionales desde la consola del IAM Identity Center, tal y como se describe en. [Los puntos finales ACS son el principal y el adicional Regiones de AWS](multi-region-workforce-access.md#acs-endpoints)
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity > Applications > Enterprise applications** y, a continuación, seleccione **AWS IAM Identity Center**.
1. En el panel de la izquierda, elija **2. Configure el inicio de sesión único**.
1. En la página de **configuración básica de SAML**, en la sección **URL de respuesta (URL del servicio al consumidor de aserciones), seleccione Añadir URL** **de respuesta para cada URL** ACS adicional de una región. Puedes mantener la URL ACS de la región principal como la predeterminada para que los usuarios sigan siendo redirigidos a la región principal cuando inicien la aplicación desde ella. AWS IAM Identity Center Microsoft Entra ID
1. Cuando termine de agregar el ACS URLs, guarde la **AWS IAM Identity Center**aplicación.
1. Puede crear una aplicación de marcadores Microsoft Entra ID para el portal de AWS acceso en cada región adicional. Esto permite a sus usuarios acceder al portal de AWS acceso en otras regiones desdeMicrosoft Entra ID. Asegúrese de conceder a sus usuarios permisos para acceder a las aplicaciones de marcadores. Microsoft Entra ID Consulta [Microsoft Entra IDla documentación](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) para obtener más información.
1. Compruebe que puede iniciar sesión en el portal de AWS acceso de cada región adicional. Navegue hasta el [portal de AWS acceso URLs](multi-region-workforce-access.md#portal-endpoints) o inicie las aplicaciones desde Microsoft Entra ID las que se marcan como favoritas.
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con Microsoft Entra ID, consulte las secciones siguientes:
+ [Problemas de sincronización con Microsoft Entra ID e IAM Identity Center](#entra-scim-troubleshooting)
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ [Recursos adicionales](#entra-scim-troubleshooting-resources)
### Problemas de sincronización con Microsoft Entra ID e IAM Identity Center
Si tiene problemas con usuarios de Microsoft Entra ID que no se sincronizan con IAM Identity Center, es posible que se deba a un problema de sintaxis que IAM Identity Center ha detectado al agregar un nuevo usuario a IAM Identity Center. Para confirmarlo, consulte los registros de auditoría de Microsoft Entra ID para ver si hay eventos con errores, como `'Export'`. El **motivo del estado** de este evento indicará:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
También puedes comprobar AWS CloudTrail el evento fallido. Para ello, busque en la consola del **historial de eventos** o CloudTrail utilice el siguiente filtro:
```
"eventName":"CreateUser"
```
El error del CloudTrail evento indicará lo siguiente:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
En última instancia, esta excepción significa que uno de los valores transferidos desde Microsoft Entra ID contenía más valores de los previstos. La solución consiste en revisar los atributos del usuario de Microsoft Entra ID, asegurándose de que ninguno contenga valores duplicados. Un ejemplo habitual de valores duplicados es la presencia de varios valores en los números de contacto, como el número de **móvil**, del **trabajo** y el **fax**. Aunque son valores independientes, todos se transfieren al IAM Identity Center con el atributo principal **phoneNumbers**.
Para obtener sugerencias generales acerca de la solución de problemas de SCIM, consulte [Resolución de problemas](troubleshooting.md#issue2).
### Sincronización de cuentas de invitado de Microsoft Entra ID
Si desea sincronizar sus usuarios invitados de Microsoft Entra ID con el IAM Identity Center, consulte el siguiente procedimiento.
El correo electrónico de los usuarios invitados de Microsoft Entra ID es diferente al de los usuarios de Microsoft Entra ID. Esta diferencia provoca problemas a la hora de sincronizar usuarios invitados de Microsoft Entra ID con IAM Identity Center. Por ejemplo, consulte la siguiente dirección de correo electrónico para un usuario invitado:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
El Centro de Identidad de IAM no espera que la dirección de correo electrónico contenga este *\$1EXT\$1@domain* formato.
1. En la consola del [Centro de administración de Microsoft Entra](https://entra.microsoft.com/), vaya a **Identity** > **Applications** > **Enterprise applications** y, a continuación, seleccione **AWS IAM Identity Center**.
1. Diríjase a la pestaña **Inicio de sesión único** en el panel izquierdo.
1. Seleccione **Editar**, que aparece junto a **Atributos y notificaciones del usuario**.
1. Seleccione un **Identificador de usuario único (ID de nombre)** después de las **Notificaciones obligatorias**.
1. Creará dos condiciones de notificación para sus usuarios de Microsoft Entra ID y para los usuarios invitados:
1. Para los usuarios de Microsoft Entra ID, cree un tipo de usuario para los miembros con el atributo de origen establecido en ` user.userprincipalname`.
1. Para los usuarios invitados de Microsoft Entra ID, cree un tipo de usuario para los invitados externos con el atributo de origen establecido en `user.mail`.
1. Seleccione **Guardar** y vuelva a intentar iniciar sesión como usuario invitado de Microsoft Entra ID.
### Recursos adicionales
+ Para obtener sugerencias generales acerca de la solución de problemas de SCIM, consulte [Resolución de problemas de IAM Identity Center](troubleshooting.md).
+ Para solucionar problemas de Microsoft Entra ID, consulte la [documentación de Microsoft](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Para obtener más información sobre la federación entre varios Cuentas de AWS, consulte [Proteger Cuentas de AWS con Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Los siguientes recursos pueden ayudarle a solucionar problemas a medida que trabaja con AWS:
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico
# Configuración de SAML y SCIM con Okta e IAM Identity Center
Puede aprovisionar o sincronizar la información de usuarios y grupos desde Okta a IAM Identity Center de forma automática mediante el protocolo del [sistema de administración de identidades entre dominios (SCIM) 2.0](scim-profile-saml.md#scim-profile). Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
Esta conexión se configura en Okta, mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en Okta con los atributos nombrados en IAM Identity Center. Esta asignación vincula los atributos de usuario esperados entre IAM Identity Center y su cuenta de Okta.
Okta admite las siguientes características de aprovisionamiento cuando se conecta al IAM Identity Center a través de SCIM:
+ Crear usuarios: los usuarios asignados a la aplicación IAM Identity Center Okta se aprovisionan en IAM Identity Center.
+ Actualizar los atributos de usuario: los cambios en los atributos de los usuarios que están asignados a la aplicación IAM Identity Center Okta se actualizan en IAM Identity Center.
+ Desactivar usuarios: los usuarios que no están asignados en la aplicación IAM Identity Center Okta están deshabilitados en IAM Identity Center.
+ Transferencia de grupos: los grupos (y sus miembros) de Okta se sincronizan con IAM Identity Center.
**nota**
Para minimizar la sobrecarga administrativa tanto en Okta como en IAM Identity Center, le recomendamos que asigne y *transfiera* grupos en lugar de usuarios individuales.
+ Importar usuarios: los usuarios se pueden importar desde el Centro de identidad de IAM aOkta.
**Objetivo**
En este tutorial, seguirá las indicaciones para configurar una conexión SAML con IAM Identity Center en Okta. Más adelante, sincronizará los usuarios desde Okta mediante SCIM. En este escenario, administrará todos los usuarios y grupos en Okta. Los usuarios inician sesión a través del portal de Okta. Para comprobar que todo está configurado correctamente, tras completar los pasos de configuración, iniciará sesión como Okta usuario y verificará el acceso a AWS los recursos.
Al conectarse al Centro de Identidad de IAM Okta a través de SAML, se admiten las siguientes funciones:
+ Inicio de sesión SAML iniciado por el IdP: los usuarios inician sesión a través del Okta portal y obtienen acceso al Centro de identidades de IAM.
+ Inicio de sesión con SAML iniciado por SP: los usuarios acceden al portal de acceso, que los redirige para iniciar sesión AWS a través del portal. Okta
**nota**
Puede registrarse para obtener una cuenta de Okta ([prueba gratuita](https://www.okta.com/free-trial/)) que tenga instalada la [aplicación IAM Identity Center](https://www.okta.com/integrations/aws-single-sign-on/) de Okta. En el caso de los productos de pago de Okta, es posible que deba confirmar que su licencia de Okta admite la *administración del ciclo de vida* o capacidades similares que permitan el aprovisionamiento saliente. Estas características pueden ser necesarias para configurar SCIM desde Okta a IAM Identity Center.
Si aún no ha habilitado IAM Identity Center, consulte [Activar IAM Identity Center](enable-identity-center.md).
## Consideraciones
+ Antes de configurar el aprovisionamiento de SCIM entre Okta e IAM Identity Center, le recomendamos revisar primero [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations).
+ Todos los usuarios de Okta deben tener un valor especificado para **Nombre**, **Apellidos**, **Nombre de usuario** y **Nombre de visualización**.
+ Cada usuario de Okta tiene un único valor por atributo de datos, como la dirección de correo electrónico o el número de teléfono. Los usuarios que tengan varios valores no se sincronizarán. Si hay usuarios que tienen varios valores en sus atributos, elimine los atributos duplicados antes de intentar aprovisionar el usuario en IAM Identity Center. Por ejemplo, solo se puede sincronizar un atributo de número de teléfono. Como el atributo de número de teléfono predeterminado es “teléfono del trabajo”, utilice el atributo “teléfono del trabajo” para almacenar el número de teléfono del usuario, incluso si el número de teléfono del usuario es un teléfono fijo o móvil.
+ Cuando se utiliza Okta con IAM Identity Center, este se configura generalmente como una aplicación en Okta. Esto le permite configurar varias instancias de IAM Identity Center como múltiples aplicaciones, lo que permite el acceso a varias organizaciones de AWS , dentro de una sola instancia de Okta.
+ Los derechos y los atributos de rol no son compatibles y no se pueden sincronizar con IAM Identity Center.
+ Actualmente, no es posible usar el mismo grupo de Okta para la transferencia de tareas y grupos. Para mantener una pertenencia uniforme a los grupos entre Okta e IAM Identity Center, cree un grupo independiente y configúrelo para enviar grupos a IAM Identity Center.
+ Si ha replicado el Centro de identidades de IAM en otras regiones, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones gestionadas y a través de otras regiones. AWS Cuentas de AWS Para obtener más información, incluidos los requisitos previos, consulte. [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md) Los pasos específicos de Okta se describen en [Oktaconfiguración para acceder a regiones adicionales](#gs-okta-multi-region)
## Paso 1: Okta: obtención de los metadatos de SAML de su cuenta de Okta
1. Inicie sesión en el Okta admin dashboard, expanda **Applications** y, a continuación, seleccione **Applications**.
1. En la página **Applications**, elija **Browse App Catalog** (Examinar catálogo de aplicaciones).
1. En el cuadro de búsqueda ** AWS IAM Identity Center**, escriba y seleccione la aplicación para añadir la aplicación IAM Identity Center.
1. Seleccione la pestaña **Sign On**.
1. En **SAML Signing Certificates**, seleccione **Actions** y, a continuación, **View IdP Metadata**. Se abre una nueva pestaña del navegador en la que se muestra el árbol de documentos de un archivo XML. Seleccione todo el XML de `` a `` y cópielo en un archivo de texto.
1. Guarde el archivo de texto como `metadata.xml`.
Deje el Okta admin dashboard abierto; seguirá usando esta consola en los pasos posteriores.
## Paso 2: IAM Identity Center: configuración de Okta como origen de identidad para IAM Identity Center
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon) como usuario con privilegios administrativos.
1. Elija **Configuración** en el panel de navegación izquierdo.
1. En la página **Configuración**, seleccione **Acciones** y, a continuación, seleccione **Cambiar el origen de identidad**.
1. En **Elegir la fuente de identidad**, seleccione **Proveedor de identidades externo** y, a continuación, **Siguiente**.
1. En **Configurar un proveedor de identidad externo**, haga lo siguiente:
1. En **Metadatos del proveedor de servicios**, copie los siguientes elementos en un archivo de texto para acceder fácilmente a ellos:
+ **URL del Servicio de Consumer Service (ACS) de IAM Identity Center**: puede elegir entre ACS de pila IPv4 única o de doble pila. URLs Además, si su instancia del IAM Identity Center está habilitada en varias regiones, cada región adicional tiene su propio IPv4 ACS exclusivo y de doble pila. URLs Para obtener más información sobre ACS URLs, consulte. [Los puntos finales ACS son el principal y el adicional Regiones de AWS](multi-region-workforce-access.md#acs-endpoints)
+ **URL del emisor de IAM Identity Center**
Necesitará estos valores más adelante en este tutorial.
1. En **Metadatos del proveedor de identidad**, en **Metadatos SAML del IdP**, seleccione **Elegir archivo** y, a continuación, seleccione el archivo `metadata.xml` que creó en el paso anterior.
1. Elija **Siguiente**.
1. Cuando haya leído el aviso legal, introduzca **ACCEPT** para continuar.
1. Elija **Cambiar fuente de identidad**.
Deje la AWS consola abierta y seguirá utilizándola en el siguiente paso.
1. Vuelva a la pestaña **Iniciar sesión** de la AWS IAM Identity Center aplicación Okta admin dashboard y, a continuación, seleccione **Editar**.
1. En **Advanced Sign-on Settings**, ingrese lo siguiente:
+ En el caso de la **URL de ACS**, introduzca los valores que ha copiado para la URL de **IAM Identity Center Assertion Consumer Service (ACS)**. Puede usar la URL ACS de la región principal como predeterminada para que los usuarios sean redirigidos a la región principal cuando lancen la aplicación Amazon Web Services desde ellaOkta.
+ (Opcional) Si ha replicado el Centro de Identidad de IAM en otras regiones, también puede crear una aplicación de marcadores Okta para el portal de AWS acceso de cada región adicional. Esto permite a sus usuarios acceder al portal de AWS acceso en otras regiones desde. Okta Asegúrese de conceder a sus usuarios permisos para acceder a las aplicaciones de marcadores en Okta las que aparecen. Consulta [Oktala documentación](https://support.okta.com/help/s/article/create-a-bookmark-app) para obtener más información. Si planea replicar el Centro de identidades de IAM en otras regiones más adelante, visite [Oktaconfiguración para acceder a regiones adicionales](#gs-okta-multi-region) para obtener información sobre cómo habilitar el acceso a las regiones adicionales después de esta configuración inicial.
+ En **Issuer URL**, ingrese el valor que ha copiado de **URL del emisor de IAM Identity Center**.
+ En **Application username format**, seleccione una de las opciones del menú.
Asegúrese de que el valor que elija sea único para cada usuario. Para este tutorial, seleccione **Okta username**.
1. Seleccione **Save**.
Ya tiene todo listo para aprovisionar a usuarios desde Okta a IAM Identity Center. Deje el Okta admin dashboard abierto y vuelva a la consola de IAM Identity Center para continuar con el siguiente paso.
## Paso 3: IAM Identity Center and Okta: aprovisionar usuarios de Okta
1. En la consola de IAM Identity Center, en la página **Configuración**, busque el cuadro de información **Aprovisionamiento automático** y, a continuación, seleccione **Habilitar**. Esto habilita el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión de SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático entrante**, copie cada uno de los valores de las siguientes opciones:
1. **Punto final SCIM**: el formato del punto final depende de la configuración:
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Pila doble: https://scim. *us-east-2*.api.aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en Okta más adelante en este tutorial.
1. Seleccione **Cerrar**.
1. Vuelva al Okta admin dashboard y acceda a la aplicación IAM Identity Center.
1. En la página de la **aplicación IAM Identity Center**, seleccione la pestaña **Aprovisionamiento** y, a continuación, en el menú de navegación de la izquierda, en **Configuración**, seleccione **Integración**.
1. Seleccione **Edit** y, a continuación, active la casilla de verificación situada junto a **Enable API integration** para habilitar el aprovisionamiento automático.
1. Configure Okta con los valores de aprovisionamiento de SCIM que copió anteriormente en este paso: AWS IAM Identity Center
1. En el campo **Base URL**, ingrese el valor de **Punto de conexión de SCIM**.
1. En el campo **API Token**, ingrese el valor de **Token de acceso**.
1. Elija **Verificar credenciales de API** para comprobar que las credenciales introducidas son válidas.
Aparecerá el mensaje **AWS IAM Identity Center was verified successfully\$1**.
1. Seleccione **Save**. Pasará a la sección de **Configuración**, con **Integración** seleccionada.
1. En **Configuración**, seleccione **A la aplicación** y, a continuación, active la casilla **Habilitar** para cada una de las características de **Aprovisionar a la aplicación** que desee habilitar. Para este tutorial, seleccione todas las opciones.
1. Seleccione **Save**.
Ya tiene todo listo para sincronizar los usuarios desde Okta con IAM Identity Center.
## Paso 4: Okta: sincronización de los usuarios desde Okta con IAM Identity Center
De forma predeterminada, no hay ningún usuario o grupo asignado a su aplicación IAM Identity Center de Okta. Los grupos de aprovisionamiento aprovisionan a los usuarios que sean miembros del grupo. Complete los siguientes pasos para sincronizar grupos y usuarios con. AWS IAM Identity Center
1. En la página de la **aplicación IAM Identity Center de Okta**, seleccione la pestaña **Tareas**. Puede asignar personas y grupos a la aplicación IAM Identity Center.
1. Para asignar personas:
+ En la página **Assignments**, seleccione **Assign** y, a continuación, seleccione **Assign to people**.
+ Seleccione los usuarios de Okta que desee que tengan acceso a la aplicación IAM Identity Center. Seleccione **Asignar**, luego **Guardar y volver** y, a continuación, seleccione **Terminado**.
Esto inicia el proceso de aprovisionamiento de los usuarios en IAM Identity Center.
1. Para asignar grupos:
+ En la página **Assignments**, seleccione **Assign** y, a continuación, seleccione **Assign to groups**.
+ Seleccione los grupos de Okta que desee que tengan acceso a la aplicación IAM Identity Center. Seleccione **Asignar**, luego **Guardar y volver** y, a continuación, seleccione **Terminado**.
Esto inicia el proceso de aprovisionamiento del usuario o los usuarios en IAM Identity Center.
**nota**
Es posible que deba especificar más atributos para el grupo si no están presentes en todos los registros de usuario. Los atributos especificados para el grupo anularán cualquier valor de atributo individual.
1. Seleccione la pestaña **Transferir grupos.** Elija el grupo de Okta que desee sincronizar con IAM Identity Center. Seleccione **Save**.
El estado del grupo cambia a **Active** después de que el grupo y sus miembros se hayan transferido a IAM Identity Center.
1. Vuelva a la pestaña **Assignments**.
1. Para agregar usuarios individuales de Okta a IAM Identity Center, realice los siguientes pasos:
1. En la página de **tareas**, seleccione **Asignar** y, a continuación, seleccione **Asignar a personas**.
1. Seleccione los usuarios de Okta que desee que tengan acceso a la aplicación IAM Identity Center. Seleccione **Asignar**, luego **Guardar y volver** y, a continuación, seleccione **Terminado**.
Esto inicia el proceso de aprovisionamiento de los usuarios individuales en IAM Identity Center.
**nota**
También puede asignar usuarios y grupos a la AWS IAM Identity Center aplicación, desde la página **Aplicaciones** delOkta admin dashboard. Para ello, seleccione el icono **Settings**, seleccione **Assign to Users** o **Assign to Groups** y, a continuación, especifique el usuario o el grupo.
1. Vuelva a la consola de IAM Identity Center. En el menú de navegación de la izquierda, seleccione **Users**. Debería ver la lista de usuarios rellenada por sus usuarios de Okta.
**¡Enhorabuena\$1**
Ha configurado correctamente una conexión SAML entre Okta AWS y ha comprobado que el aprovisionamiento automático funciona. Ahora puede asignar a estos usuarios cuentas y aplicaciones en **IAM Identity Center**. Para este tutorial, en el siguiente paso designaremos a uno de los usuarios como administrador de IAM Identity Center mediante la concesión de permisos administrativos en la cuenta de administración.
## Paso de atributos para el control de acceso: *opcional*
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Asigne el acceso a Cuentas de AWS
Los siguientes pasos solo son necesarios para conceder acceso Cuentas de AWS únicamente a. Estos pasos no son necesarios para conceder el acceso a AWS las solicitudes.
**nota**
Para completar este paso, necesitará una instancia de organización de IAM Identity Center. Para obtener más información, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md).
### Paso 1: IAM Identity Center: conceder a los usuarios de Okta acceso a las cuentas
1. En el panel de navegación del IAM Identity Center, en **Permisos para varias cuentas**, seleccione **Cuentas de AWS**.
1. En la página **Cuentas de AWS**, la opción **Estructura organizativa** muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione **Asignar usuarios o grupos**.
1. Aparecerá el flujo de trabajo **Asignar usuarios y grupos**. Consta de tres pasos:
1. En **Paso 1: selección de usuarios y grupos**, elija el usuario que realizará la función del trabajo de administrador. A continuación, elija **Siguiente**.
1. En **Paso 2: selección de conjuntos de permisos**, elija **Crear conjunto de permisos** para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.
1. En **Paso 1: selección del tipo de conjunto de permisos**, haga lo siguiente:
+ En **Tipo de conjunto de permisos**, seleccione **Conjunto de permisos predefinido**.
+ En **Política para un conjunto de permisos predefinido**, elija **AdministratorAccess**.
Elija **Siguiente**.
1. En **Paso 2: especificación de los detalles del conjunto de permisos**, mantenga la configuración predeterminada y seleccione **Siguiente**.
La configuración predeterminada crea un conjunto de permisos denominado *AdministratorAccess* con una duración de sesión establecida en una hora.
1. En el **paso 3: revisar y crear**, compruebe que el **tipo de conjunto de permisos** utiliza la política AWS gestionada **AdministratorAccess**. Seleccione **Crear**. En la página **Conjuntos de permisos**, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.
En la pestaña **Asignar usuarios y grupos** del navegador, todavía está en **Paso 2: selección de los conjuntos de permisos**, donde empezó el flujo de trabajo de creación de conjuntos de permisos.
En el área **Conjuntos de permisos**, pulse el botón **Actualizar**. El conjunto de *AdministratorAccess* permisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione **Siguiente**.
1. En **Paso 3: revisión y envío**, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione **Enviar**.
La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.
Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el rol. *AdministratorAccess*
### Paso 2Okta: Confirme el acceso de Okta los usuarios a los recursos AWS
1. Inicie sesión con una cuenta de prueba a Okta dashboard.
1. En **Mis aplicaciones**, seleccione el icono de AWS IAM Identity Center.
1. Deberías ver el Cuenta de AWS icono. Amplíe ese icono para ver la lista a la Cuentas de AWS que puede acceder el usuario. En este tutorial, solo trabajó con una cuenta, por lo que al expandir el icono solo se muestra una cuenta.
1. Seleccione la cuenta para ver los conjuntos de permisos disponibles para el usuario. En este tutorial, creó el conjunto de **AdministratorAccess**permisos.
1. Junto al conjunto de permisos hay enlaces para el tipo de acceso disponible para ese conjunto de permisos. Al crear el conjunto de permisos, especificó el acceso tanto al acceso como al Consola de administración de AWS acceso programático. Seleccione **Consola de administración** para abrir la Consola de administración de AWS.
1. El usuario ha iniciado sesión en la Consola de administración de AWS.
También puede utilizar el portal de AWS acceso. Esto le redirige a iniciar sesión a través del Okta portal antes de ir al portal de AWS acceso. Esta ruta sigue el flujo de inicio de sesión SAML iniciado por el SP.
## Oktaconfiguración para acceder a regiones adicionales del Centro de Identidad de IAM (opcional)
Si ha replicado el Centro de Identidad de IAM en otras regiones, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y a Cuentas de AWS través de las regiones adicionales. Los pasos que se indican a continuación le guiarán a lo largo del procedimiento. Para obtener más información sobre este tema, incluidos los requisitos previos, consulte[Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md).
1. Recupere el ACS URLs de las regiones adicionales desde la consola del IAM Identity Center, tal y como se describe en. [Los puntos finales ACS son el principal y el adicional Regiones de AWS](multi-region-workforce-access.md#acs-endpoints)
1. En el panel de navegación del panel de Okta administración, seleccione **Aplicaciones** y, a continuación, vuelva a seleccionar **Aplicaciones** en la lista ampliada.
1. Elija la aplicación de **AWS IAM Identity Center**.
1. Elija la pestaña **Sign On** (Iniciar sesión).
1. En **Configuración avanzada de inicio de sesión** y **otros SSO solicitables URLs**, selecciona **Añadir otro** para cada URL de ACS adicional de la región y pega la URL de ACS en el campo de texto.
1. Cuando termines de añadir el ACS URLs, guarda la aplicación. **AWS IAM Identity Center**
1. Puede crear una aplicación de marcadores Okta para el portal de AWS acceso en cada región adicional. Esto permite a sus usuarios acceder al portal de AWS acceso en otras regiones desdeOkta. Asegúrese de conceder a sus usuarios permisos para acceder a las aplicaciones de marcadores en Okta las que aparecen. Consulta [Oktala documentación](https://support.okta.com/help/s/article/create-a-bookmark-app) para obtener más información.
1. Compruebe que puede iniciar sesión en el portal de AWS acceso de cada región adicional. Navegue hasta el [portal de AWS acceso URLs](multi-region-workforce-access.md#portal-endpoints) o inicie las aplicaciones desde Okta las que se marcan como favoritas.
## Siguientes pasos
Ahora que ha configurado Okta como proveedor de identidades y ha aprovisionado a usuarios en IAM Identity Center, puede hacer lo siguiente:
+ Conceda acceso a Cuentas de AWS, consulte[Asigne el acceso de usuario o grupo a Cuentas de AWS](assignusers.md).
+ Para conceder acceso a las aplicaciones en la nube, consulte [Asignar el acceso de los usuarios a las aplicaciones en la consola de IAM Identity Center](assignuserstoapp.md).
+ Para configurar los permisos en función de los cargos en el trabajo; consulte [Crear un conjunto de permisos](howtocreatepermissionset.md).
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con Okta, consulte las secciones siguientes:
+ [Reaprovisionamiento de usuarios y grupos eliminados de IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Error de aprovisionamiento automático en Okta](#okta-auto-provisioning-error)
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ [Recursos adicionales](#gs-okta-troubleshooting-resources)
### Reaprovisionamiento de usuarios y grupos eliminados de IAM Identity Center
+ Puede recibir el siguiente mensaje de error en la consola de Okta si intenta cambiar un usuario o un grupo en Okta que alguna vez se sincronizó y luego se eliminó del IAM Identity Center:
+ No se AWS IAM Identity Center pudo enviar automáticamente el perfil del usuario *Jane Doe* a la aplicación: se produjo un error al intentar enviar la actualización del perfil de*jane\$1doe@example.com*: No se devolvió ningún usuario para el usuario *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Falta el grupo vinculado en AWS IAM Identity Center. Cambia el grupo vinculado para volver a aumentar las membresías del grupo.
+ También puede recibir el siguiente mensaje de error en los registros del sistema de Okta para los usuarios o grupos del IAM Identity Center sincronizados o eliminados:
+ Error de Okta: Eventfailed application.provision.user.push\$1profile: No se ha devuelto ningún usuario como usuario *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Error de Okta: application.provision.group\$1push.mapping.update.or.delete.failed.with.error: falta un grupo vinculado en. AWS IAM Identity Center Cambia el grupo vinculado para volver a aumentar las membresías del grupo.
**aviso**
Si ha sincronizado Okta e IAM Identity Center mediante SCIM, debe eliminar los usuarios y los grupos de Okta en lugar del IAM Identity Center.
**Resolución de problemas de usuarios eliminados de IAM Identity Center**
Para solucionar este problema con los usuarios eliminados del IAM Identity Center, los usuarios deben eliminarse de Okta. Si fuera necesario, también habría que volver a crear estos usuarios en Okta. Cuando se vuelva a crear el usuario en Okta, también se volverá a aprovisionar en el IAM Identity Center a través de SCIM. Para obtener más información sobre eliminar un usuario, consulte la [documentación de Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm).
**nota**
Si necesita eliminar el acceso de un usuario de Okta al IAM Identity Center, primero debe eliminarlo de su Group Push y, después, de su grupo de tareas en Okta. De este modo, se garantiza que el usuario deje de pertenecer a su grupo asociado en el IAM Identity Center. Para obtener más información sobre la resolución de problemas de Group Push, consulte la [documentación de Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Resolución de problemas de grupos eliminados de IAM Identity Center**
Para solucionar este problema con los IAM Identity Center eliminados, el grupo debe eliminarse de Okta. Si fuera necesario, estos grupos también deberían volver a crearse en Okta mediante Group Push. Cuando se vuelva a crear el usuario en Okta, también se volverá a aprovisionar en el IAM Identity Center a través de SCIM. Para obtener más información sobre la eliminación de un grupo, consulte la [documentación de Okta](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
### Error de aprovisionamiento automático en Okta
Si recibe un error en Okta:
Falló el aprovisionamiento automático del usuario Jane Doe a la aplicación: no se encontró el usuario coincidente AWS IAM Identity Center
Consulte la [documentación de la Okta](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US) para obtener más información.
### Recursos adicionales
+ Para obtener sugerencias generales acerca de la solución de problemas de SCIM, consulte [Resolución de problemas de IAM Identity Center](troubleshooting.md).
Los siguientes recursos pueden ayudarle a solucionar problemas a medida que trabaja con: AWS
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico
# Configuración del aprovisionamiento de SCIM entre OneLogin e IAM Identity Center
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde OneLogin a IAM Identity Center mediante el protocolo Sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
**nota**
OneLoginactualmente no admite el servicio de consumo de aserciones múltiples (ACS) de SAML URLs en la AWS IAM Identity Center aplicación. Esta función de SAML es necesaria para aprovechar al máximo el [soporte multirregional del IAM Identity Center](multi-region-iam-identity-center.md). Si planea replicar el Centro de Identidad de IAM en otras regiones, tenga en cuenta que el uso de una sola URL de ACS puede afectar a la experiencia del usuario en esas regiones adicionales. Su región principal seguirá funcionando con normalidad. Le recomendamos que trabaje con su proveedor de IdP para habilitar esta función. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte [Uso de aplicaciones AWS gestionadas sin varios ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) y[Cuenta de AWS resiliencia de acceso sin varios ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Esta conexión se configura en OneLogin mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en OneLogin con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y OneLogin.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos de OneLogin a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations).
**Topics**
+ [Requisitos previos](#onelogin-prereqs)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#onelogin-step1)
+ [Paso 2: configure el aprovisionamiento en OneLogin](#onelogin-step2)
+ [(Opcional) Paso 3: configure los atributos de usuario en OneLogin para el control de acceso en IAM Identity Center](#onelogin-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#onelogin-passing-abac)
+ [Resolución de problemas](#onelogin-troubleshooting)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Una cuenta de OneLogin. Si no tiene una cuenta existente, es posible que pueda obtener una cuenta de prueba gratuita o una cuenta de desarrollador en el [sitio web OneLogin](https://www.onelogin.com/free-trial).
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una conexión SAML desde su cuenta de OneLogin a IAM Identity Center. Para obtener más información, consulte [Enabling Single Sign-On Between OneLogin and AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) en el Partner Network Blog de AWS .
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final de SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ha configurado el aprovisionamiento en la consola de IAM Identity Center. Ahora debe realizar las tareas restantes mediante la interfaz de usuario de OneLogin, tal y como se describe en los siguientes procedimientos.
## Paso 2: configure el aprovisionamiento en OneLogin
Utilice el siguiente procedimiento en el portal de administración de OneLogin para habilitar la integración entre IAM Identity Center y la aplicación IAM Identity Center. Este procedimiento supone que ya ha configurado la aplicación de inicio de sesión único para la autenticación SAML AWS . OneLogin Si aún no ha creado esta conexión SAML, hágalo antes de continuar y, a continuación, vuelva aquí para completar el proceso de aprovisionamiento del SCIM. Para obtener más información para configurar SAML con OneLogin, consulte [Enabling Single Sign-On Between OneLogin and AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) en el Partner Network Blog de AWS .
**Cómo configurar el aprovisionamiento en OneLogin**
1. Inicie sesión en OneLogin y vaya a **Aplicaciones > Aplicaciones.**
1. En la página **Aplicaciones**, busque la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center. Selecciónela y, luego, seleccione **Configuración** en el panel de navegación.
1. En el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en IAM Identity Center. Pegue ese valor en el campo **URL base de SCIM** en OneLogin. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **Tokens portadores de SCIM** en OneLogin.
1. Junto a **Conexión API**, haga clic en **Habilitar** y, a continuación, en **Guardar** para completar la configuración.
1. En el panel de navegación, seleccione **Provisioning** (Aprovisionamiento).
1. Seleccione las casillas de verificación **Habilitar el aprovisionamiento**, **Crear usuario**, **Eliminar usuario** y **Actualizar usuario** y, a continuación, seleccione **Guardar**.
1. En el panel de navegación, seleccione **Usuarios**.
1. Haga clic en **Más acciones** y seleccione **Sincronizar inicios** de sesión. Deberías recibir el mensaje *Sincronizar usuarios con single sign-On de AWS *.
1. Vuelva a hacer clic en **Más acciones** y, a continuación, seleccione **Volver** a aplicar las asignaciones de derechos. Debería recibir el mensaje *Se están reaplicando las asignaciones*.
1. En este punto, debería comenzar el proceso de aprovisionamiento. Para confirmarlo, vaya a **Actividad > Eventos** y supervise el progreso. Los eventos de aprovisionamiento correctos, así como los errores, deberían aparecer en la secuencia de eventos.
1. Para comprobar que todos sus usuarios y grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios**. Los usuarios sincronizados de OneLogin aparecerán en la página de **Usuarios**. También puede ver sus grupos sincronizados en la página **Grupos**.
1. ****Para sincronizar automáticamente los cambios de los usuarios con el Centro de identidades de IAM, vaya a la página de **aprovisionamiento**, busque la sección **Requerir la aprobación del administrador antes de realizar esta acción**, anule la selección de **Crear usuario, Eliminar usuario, Actualizar usuario** **y haga clic en Guardar**. and/or ****
## (Opcional) Paso 3: configure los atributos de usuario en OneLogin para el control de acceso en IAM Identity Center
Se trata de un procedimiento opcional OneLogin si decide configurar los atributos que utilizará en el Centro de identidades de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en OneLogin se transfieren en una aserción de SAML a IAM Identity Center. A continuación, deberá crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde OneLogin.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
**Cómo configurar atributos de usuario utilizados en OneLogin para el control de acceso en IAM Identity Center**
1. Inicie sesión en OneLogin y vaya a **Aplicaciones > Aplicaciones.**
1. En la página **Aplicaciones**, busque la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center. Selecciónela y, luego, en el panel de navegación, seleccione **Parámetros**.
1. En la sección **Parámetros obligatorios**, haga lo siguiente para cada atributo que desee utilizar en IAM Identity Center:
1. Elija **\$1**.
1. En **Nombre del campo**, introduzca `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` y sustituya **AttributeName** por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. En **Banderas**, marque la casilla situada junto a **Incluir en la afirmación de SAML** y seleccione **Guardar**.
1. En el campo **Valor**, usa la lista desplegable para elegir los atributos del usuario de OneLogin. Por ejemplo, **Departamento**.
1. Seleccione **Save**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Resolución de problemas
La siguiente información puede ayudarle a solucionar algunos problemas comunes que puede encontrarse a la hora de configurar o utilizar la consola de OneLogin.
**Los grupos no se aprovisionan en IAM Identity Center**
De forma predeterminada, los grupos no se pueden aprovisionar desde OneLogin a IAM Identity Center. Asegúrese de haber activado el aprovisionamiento de grupos para su aplicación de IAM Identity Center en OneLogin. Para ello, inicie sesión en la consola de administración de OneLogin y compruebe que la opción **Incluir en el aprovisionamiento de usuarios** esté seleccionada en las propiedades de la aplicación IAM Identity Center (**Aplicación IAM Identity Center > Parámetros > Grupos**). Para obtener más información sobre cómo crear grupos en OneLogin, incluida la forma de sincronizar los roles de OneLogin como grupos en SCIM, consulte el [sitio web de OneLogin](https://onelogin.service-now.com/support).
**No se sincroniza nada desde OneLogin a IAM Identity Center, a pesar de que todos los ajustes son correctos**
Además de la nota anterior sobre la aprobación del administrador, tendrá que **volver a aplicar las asignaciones de derechos** para que se apliquen muchos cambios de configuración. Esto se encuentra en **Aplicaciones > Aplicaciones > Aplicación IAM Identity Center > Más acciones**. Puede ver los detalles y los registros de la mayoría de las acciones en OneLogin, incluidos los eventos de sincronización, en **Actividad > Eventos**.
**He eliminado o desactivado un grupo en OneLogin, pero sigue apareciendo en IAM Identity Center**
Actualmente, OneLogin no admite la operación SCIM DELETE para grupos, lo que significa que el grupo sigue existiendo en IAM Identity Center. Por lo tanto, deberá eliminar el grupo directamente de IAM Identity Center para asegurarse de que se eliminen todos los permisos correspondientes en IAM Identity Center para ese grupo.
**He eliminado un grupo del Centro de Identidad de IAM sin eliminarlo primero OneLogin y ahora tengo problemas user/group de sincronización**
Para solucionar esta situación, primero asegúrese de no tener ninguna regla o configuración de aprovisionamiento de grupos redundante en OneLogin. Por ejemplo, un grupo asignado directamente a una aplicación junto con una regla que se publica en el mismo grupo. A continuación, elimine los grupos no deseados de IAM Identity Center. Por último, en OneLogin, **actualice** los derechos (**aplicación IAM Identity Center > Aprovisionamiento > Derechos**) y, a continuación, **vuelva a aplicar las asignaciones de derechos (aplicación IAM Identity Center >Más acciones)**. Para evitar este problema en el futuro, primero realice el cambio para dejar de aprovisionar el grupo en OneLogin y, a continuación, elimine el grupo de IAM Identity Center.
# Uso de productos de Ping Identity con IAM Identity Center
Los siguientes productos de Ping Identity se han probado con IAM Identity Center.
**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)
# PingFederate
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde PingFederate por parte de Ping Identity (de ahora en adelante “Ping”) a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
Esta conexión se configura en PingFederate mediante el punto de conexión SCIM y el token de acceso de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en PingFederate con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y PingFederate.
Esta guía se basa en la versión 10.2 de PingFederate. Los pasos para las versiones más recientes pueden variar. Póngase en contacto con Ping para obtener más información sobre cómo configurar el aprovisionamiento en IAM Identity Center para otras versiones de PingFederate.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos de PingFederate a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
**Topics**
+ [Requisitos previos](#pingfederate-prereqs)
+ [Consideraciones](#pingfederate-considerations)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#pingfederate-step1)
+ [Paso 2: configure el aprovisionamiento en PingFederate](#pingfederate-step2)
+ [(Opcional) Paso 3: Configurar los atributos de usuario en erate para el control de acceso en PingFed el IAM Identity Center](#pingfederate-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#pingfederate-passing-abac)
+ [Resolución de problemas](#pingfederate-troubleshooting)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Un servidor de PingFederate que funcione. Si no tiene una cuenta existente en el server de PingFederate, es posible que pueda obtener una cuenta de prueba gratuita o una cuenta de desarrollador en el sitio web de [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). La versión de prueba incluye licencias y descargas de software y la documentación asociada.
+ Una copia del software IAM Identity Center Connector de PingFederate instalado en su servidor de PingFederate. Para obtener más información sobre cómo obtener este software, consulte [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) en el sitio web de Ping Identity.
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una conexión SAML desde su instancia de PingFederate al IAM Identity Center. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingFederate. En resumen, la ruta recomendada es utilizar el conector de IAM Identity Center para configurar el “SSO del navegador” en PingFederate y utilizar las características de “descarga” e “importación” de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingFederate y IAM Identity Center.
+ Si ha replicado el Centro de identidades de IAM en regiones adicionales, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y Cuentas de AWS desde esas regiones. Para obtener más información, consulte [Paso 3: Actualizar la configuración del IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte la PingFederate documentación para obtener más información.
## Consideraciones
Las siguientes son consideraciones importantes sobre PingFederate que pueden afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.
+ Si se elimina un atributo de un usuario en PingFederate, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en la implementación del aprovisionador de PingFederate’s. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincroniza con IAM Identity Center.
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes mediante la consola administrativa de PingFederate. Los pasos se describen en el siguiente procedimiento.
## Paso 2: configure el aprovisionamiento en PingFederate
Utilice el siguiente procedimiento en el portal de administración de PingFederate para habilitar la integración entre IAM Identity Center y la aplicación IAM Identity Center. En este procedimiento, se presupone que ya ha instalado el software del conector de IAM Identity Center. Si aún no lo ha hecho, consulte los [Requisitos previos](#pingfederate-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM.
**importante**
Si su servidor de PingFederate no se ha configurado previamente para el aprovisionamiento de SCIM saliente, es posible que deba realizar un cambio en el archivo de configuración para habilitar el aprovisionamiento. Para obtener más información, consulte la documentación de Ping. En resumen, debe modificar la configuración de `pf.provisioner.mode` del archivo **pingfederate-/pingfederate/bin/run.properties** a un valor distinto a `OFF` (que es el predeterminado) y reiniciar el servidor si se está ejecutando actualmente. Por ejemplo, puede utilizar `STANDALONE` si actualmente no tiene una configuración de alta disponibilidad con PingFederate.
**Cómo configurar el aprovisionamiento en PingFederate**
1. Inicie sesión en la consola administrativa de PingFederate.
1. Seleccione **Aplicaciones** en la parte superior de la página y, a continuación, haga clic en **SP Connections**.
1. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.
1. Seleccione el **tipo de conexión** en los encabezados de navegación oscuros situados en la parte superior de la página. Debería ver que el **SSO del navegador** ya estaba seleccionado en su configuración anterior de SAML. Si no es así, primero debe completar esos pasos antes de continuar.
1. Seleccione la casilla de verificación **Aprovisionamiento saliente**, elija **IAM Identity Center Cloud Connector** como tipo y haga clic en **Guardar**. Si **IAM Identity CenterCloud Connector** no aparece como opción, asegúrese de haber instalado IAM Identity Center Cloud Connector y de haber reiniciado el servidor de PingFederate.
1. Haga clic en **Siguiente** varias veces hasta llegar a la página **Aprovisionamiento saliente** y, a continuación, haga clic en el botón **Configurar aprovisionamiento.**
1. En el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en IAM Identity Center. Pegue ese valor en el campo **URL de SCIM** en la consola de PingFederate. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **Token de acceso** en la consola de PingFederate. Haga clic en **Guardar**.
1. En la página **Configuración del canal (Configurar canal)**, haga clic en **Crear**.
1. Introduzca un **nombre del canal** para este nuevo canal de aprovisionamiento (por ejemplo **AWSIAMIdentityCenterchannel**) y haga clic en **Siguiente**.
1. En la página **Origen**, elija el **almacén de datos activo** que desee utilizar para la conexión al IAM Identity Center y haga clic en **Siguiente**.
**nota**
Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.
1. En la página **Configuración de origen**, confirme que todos los valores son correctos para la instalación y, a continuación, haga clic en **Siguiente**.
1. En la página **Ubicación de origen**, introduzca la configuración adecuada para su origen de datos y, a continuación, haga clic en **Siguiente**. Por ejemplo, si utiliza Active Directory como directorio LDAP:
1. Introduzca el **DN base** de su bosque de AD (por ejemplo, **DC=myforest,DC=mydomain,DC=com**).
1. En **Usuarios > DN de grupo**, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. Si no existe ese grupo único, créelo en AD, vuelva a esta configuración y, a continuación, introduzca el DN correspondiente.
1. Especifique si desea buscar subgrupos (**Búsqueda anidada**) y cualquier **filtro** LDAP necesario.
1. En **Usuarios > DN de grupo**, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. En muchos casos, puede ser el mismo DN que especificó en la sección **Usuarios**. Introduzca los valores **búsqueda anidada** y **filtro** según sea necesario.
1. En la página **Asignación de atributos**, asegúrese de lo siguiente y, a continuación, haga clic en **Siguiente**:
1. El campo **userName** debe asignarse a un **atributo** con formato de correo electrónico (user@domain.com). También debe coincidir con el valor que el usuario utilizará para iniciar sesión en Ping. Este valor, a su vez, se rellena en la notificación del `nameId` de SAML durante la autenticación federada y se utiliza para hacer coincidir con el usuario de IAM Identity Center. Por ejemplo, cuando utilice Active Directory, puede optar por especificar el `UserPrincipalName` como **userName**.
1. Los demás campos con un sufijo **\$1** deben asignarse a atributos que no sean nulos para los usuarios.
1. En la página **Activación y resumen**, defina el **estado del canal** como **Activo** para que la sincronización comience inmediatamente después de guardar la configuración.
1. Confirme que todos los valores de configuración de la página son correctos y haga clic en **Listo**.
1. En la página **Administrar canales**, haga clic en **Guardar**.
1. En este punto, comienza el aprovisionamiento. Para confirmar la actividad, puede ver el archivo **provisioner.log**, que se encuentra de forma predeterminada en el directorio **pingfederate-/pingfederate/log** de su servidor de PingFederate.
1. Para comprobar que los usuarios y los grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios.** Los usuarios sincronizados de PingFederate aparecerán en la página de **Usuarios**. También puede ver sus grupos sincronizados en la página **Grupos**.
## (Opcional) Paso 3: Configurar los atributos de usuario en erate para el control de acceso en PingFed el IAM Identity Center
Se trata de un procedimiento opcional PingFederate si decide configurar los atributos que utilizará en el Centro de identidades de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en PingFederate se transfieren en una aserción de SAML a IAM Identity Center. A continuación, deberá crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde PingFederate.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
**Cómo configurar atributos de usuario utilizados en PingFederate para el control de acceso en IAM Identity Center**
1. Inicie sesión en la consola administrativa de PingFederate.
1. Seleccione **Aplicaciones** en la parte superior de la página y, a continuación, haga clic en **SP Connections**.
1. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.
1. Seleccione el **tipo de conexión** en los encabezados de navegación oscuros situados en la parte superior de la página. A continuación, haga clic en **Configurar el SSO del navegador.**
1. En la página **Configurar el SSO del navegador**, seleccione **Creación de aserciones** y, a continuación, haga clic en **Configurar creación de aserciones**.
1. En la página **Configurar la creación de aserciones**, elija **Contrato de atributos**.
1. En la página **Contrato de atributos**, en la sección **Ampliar el contrato**, añada un nuevo atributo siguiendo estos pasos:
1. En el cuadro de texto, introduzca `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, sustituya **AttributeName** por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. En **Formato de nombre de atributo**, elija **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Elija **Añadir**, y a continuación, elija **Siguiente**.
1. En la página de **asignación de fuentes de autenticación**, elija la instancia de adaptador configurada con su aplicación.
1. En la página **Cumplimiento del contrato de atributo**, elija el **origen** (*almacén de datos*) y el **valor** (*atributo del almacén de datos*) para el **contrato de atributo** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
**nota**
Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.
1. Haga clic en **Siguiente** varias veces hasta llegar a la página de **activación y resumen** y, a continuación, haga clic en **Guardar**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con PingFederate, consulte las secciones siguientes:
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obtener más información acerca de PingFederate, consulte la [documentación de PingFederate](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html).
Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con: AWS
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico
# PingOne
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde PingOne por parte de Ping Identity (de ahora en adelante “Ping”) a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Esta conexión se configura en PingOne mediante el punto de conexión SCIM y el token de acceso de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en PingOne con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y PingOne.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios de PingOne a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
**Topics**
+ [Requisitos previos](#pingone-prereqs)
+ [Consideraciones](#pingone-considerations)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#pingone-step1)
+ [Paso 2: configure el aprovisionamiento en PingOne](#pingone-step2)
+ [(Opcional) Paso 3: configure los atributos de usuario en PingOne para el control de acceso en IAM Identity Center](#pingone-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#pingone-passing-abac)
+ [Resolución de problemas](#pingone-troubleshooting)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Una suscripción o una prueba gratuita de PingOne, con funciones de autenticación federada y aprovisionamiento. Para obtener más información acerca de cómo obtener una prueba gratuita, consulte el sitio web de [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html).
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ La aplicación IAM Identity Center PingOne se agregó a su portal de administración de PingOne. Puede obtener la aplicación IAM Identity Center PingOne en el catálogo de aplicaciones de PingOne. Para obtener información general, consulte [Add an application from the Application Catalog](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) del sitio web de Ping Identity.
+ Una conexión SAML desde su instancia de PingOne a IAM Identity Center. Una vez que la aplicación IAM Identity Center de PingOne se haya agregado a su portal de administración de PingOne, debe usarla para configurar una conexión SAML desde su instancia de PingOne a IAM Identity Center. Utilice las características de “descarga” e “importación” de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingOne y IAM Identity Center. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingOne.
+ Si ha replicado el Centro de Identidad de IAM en otras regiones, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y Cuentas de AWS desde esas regiones. Para obtener más información, consulte [Paso 3: Actualizar la configuración del IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte la PingOne documentación para obtener más información.
## Consideraciones
Las siguientes son consideraciones importantes sobre PingOne que pueden afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.
+ PingOne no admite el aprovisionamiento de grupos a través de SCIM. Póngase en contacto con Ping para obtener la información más reciente sobre el apoyo grupal en SCIM para PingOne.
+ Los usuarios pueden seguir aprovisionándose desde PingOne después de deshabilitar el aprovisionamiento en el portal de administración de PingOne. Si necesita finalizar el aprovisionamiento inmediatamente, elimine el token portador de SCIM correspondiente y and/or desactívelo [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md) en el Centro de Identidad de IAM.
+ Si se elimina un atributo de un usuario en PingOne, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en la implementación del aprovisionador de PingOne’s. Si se modifica un atributo, el cambio se sincronizará con IAM Identity Center.
+ Las siguientes son notas importantes sobre la configuración de SAML en PingOne:
+ IAM Identity Center solo es compatible con `emailaddress` como formato de `NameId`. **Esto significa que debe elegir un atributo de usuario que sea único en su directorioPingOne, que no sea nulo y que tenga el formato de email/UPN (por ejemplo, user@domain.com) para su mapeo de SAML\$1SUBJECT.** PingOne El **correo electrónico (trabajo)** es un valor razonable para probar las configuraciones con el directorio integrado de PingOne.
+ Es posible que los usuarios de PingOne con una dirección de correo electrónico que contenga un carácter **\$1** no puedan iniciar sesión en IAM Identity Center debido a errores como `'SAML_215'` o `'Invalid input'`. Para solucionar este problema, en PingOne, seleccione la opción **Avanzada** para la asignación de **SAML\$1SUBJECT** en las **asignaciones de atributos**. A continuación, defina el **formato de ID de nombre para enviarlo a SP:** para **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress** en el menú desplegable.
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final de SCIM:** por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes con la aplicación IAM Identity Center de PingOne. Estos pasos se explican en el procedimiento siguiente.
## Paso 2: configure el aprovisionamiento en PingOne
Utilice el siguiente procedimiento en la aplicación IAM Identity Center PingOne para habilitar el aprovisionamiento con IAM Identity Center. En este procedimiento se presupone que ya ha añadido la aplicación PingOne de IAM Identity Center a la consola de administración del portal de PingOne. Si aún no lo ha hecho, consulte los [Requisitos previos](#pingone-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM.
**Cómo configurar el aprovisionamiento en PingOne**
1. Abra la aplicación IAM Identity Center PingOne que instaló como parte de la configuración de SAML para PingOne (**Aplicaciones** > **Mis aplicaciones**). Consulte [Requisitos previos](#pingone-prereqs).
1. Desplácese hasta el final de la página. En **Aprovisionamiento de usuarios**, elija el enlace **completo** para acceder a la configuración de aprovisionamiento de usuarios de su conexión.
1. En la página de **instrucciones de aprovisionamiento**, seleccione **Continuar** con el siguiente paso.
1. En el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en IAM Identity Center. Pegue ese valor en el campo **URL de SCIM** de la aplicación PingOne de IAM Identity Center. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **ACCESS\$1TOKEN** en la aplicación de PingOne de IAM Identity Center.
1. Para **REMOVE\$1ACTION**, elija **Desactivada** o **Eliminada** (consulte el texto de descripción de la página para obtener más información).
1. En la página de **asignación de atributos**, elija un valor para usarlo en la afirmación **SAML\$1SUBJECT** (`NameId`), siguiendo las instrucciones de [Consideraciones](#pingone-considerations) que aparecen anteriormente en esta página. A continuación elija **Continuar con el paso siguiente**.
1. En la página **Personalización de la aplicación IAM Identity Center PingOne**, realice los cambios de personalización que desee (opcional) y haga clic en **Continuar con el siguiente paso**.
1. En la página **Acceso grupal**, seleccione los grupos que contienen los usuarios que desea habilitar para el aprovisionamiento y el inicio de sesión único en IAM Identity Center. Elija **Continuar con el paso siguiente**.
1. Desplácese hasta el final de la página y seleccione **Finalizar** para iniciar el aprovisionamiento.
1. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios.** Los usuarios sincronizados de PingOne aparecerán en la página **Usuarios**. Estos usuarios ahora pueden asignarse a cuentas en IAM Identity Center.
Recuerde que PingOne no admite el aprovisionamiento de grupos o la pertenencia a grupos a través de SCIM. Póngase en contacto con la asistencia de Ping para obtener más información.
## (Opcional) Paso 3: configure los atributos de usuario en PingOne para el control de acceso en IAM Identity Center
Se trata de un procedimiento opcional PingOne si decide configurar los atributos del Centro de Identidad de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en PingOne se transfieren en una aserción de SAML a IAM Identity Center. A continuación, debe crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde PingOne.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
**Cómo configurar atributos de usuario utilizados en PingOne para el control de acceso en IAM Identity Center**
1. Abra la aplicación IAM Identity Center PingOne que instaló como parte de la configuración de SAML para PingOne (**Aplicaciones > Mis aplicaciones**).
1. Elija **Editar** y, a continuación, elija **Continuar con el siguiente paso** hasta llegar a la página **Asignaciones de atributos**.
1. En la página **Asignaciones de atributos**, elija **Añadir nuevo atributo**. A continuación, siga estos pasos para cada atributo que vaya a añadir para su uso en IAM Identity Center para el control de acceso.
1. En el campo **Atributo de la aplicación**, introduzca `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`. Sustituya *AttributeName* por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.
1. En el campo del **atributo o valor lineal del puente de identidades**, elija los atributos de usuario de su directorio de PingOne. Por ejemplo, **Correo electrónico (trabajo)**.
1. Elija **Siguiente** y, a continuación, haga clic en **Terminar**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con PingOne, consulte las secciones siguientes:
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obtener más información acerca de PingOne, consulte la [documentación de PingOne](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).
Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con: AWS
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico
# Configuración del acceso de los usuarios con el directorio predeterminado de IAM Identity Center
Cuando se habilita IAM Identity Center por primera vez, se configura de manera automática con un directorio de Identity Center como origen de identidad predeterminado, por lo que no tiene que seleccionar uno. Si su organización utiliza otro proveedor de identidades, como Microsoft Active Directory, Microsoft Entra ID o Okta, considere la posibilidad de integrar ese origen de identidad con IAM Identity Center en lugar de utilizar la configuración predeterminada.
**Objetivo**
En este tutorial, utilizará el directorio predeterminado como origen de identidad y una instancia de organización de IAM Identity Center para configurar y probar un usuario administrativo. Este usuario administrativo crea y administra usuarios y grupos y concede el AWS acceso con conjuntos de permisos. En los siguientes pasos, creará lo siguiente:
+ Un usuario administrativo llamado *Nikki Wolf*
+ Un grupo llamado *Admin team*
+ Un conjunto de permisos denominado *AdminAccess*
Para comprobar que todo se creó correctamente, deberá iniciar sesión y establecer la contraseña del usuario administrativo. Tras completar este tutorial, puede utilizar el usuario administrativo para agregar más usuarios a IAM Identity Center, crear conjuntos de permisos adicionales y configurar el acceso organizativo a las aplicaciones. Como alternativa, si desea conceder a los usuarios el acceso a la aplicación, puede seguir el [paso 1](#gs-qs-step1) de este procedimiento y [configurar el acceso a la aplicación](manage-your-applications.md).
## Requisitos previos
Para completar este tutorial, necesita los siguientes requisitos previos:
+ [Activar IAM Identity Center](enable-identity-center.md) y tener una [instancia de organización de IAM Identity Center](organization-instances-identity-center.md).
+ Si tiene una [instancia de cuenta](account-instances-identity-center.md) de IAM Identity Center, puede crear usuarios y grupos, así como concederles acceso a las aplicaciones. Para obtener más información, consulte [Application access](manage-your-applications.md).
+ Inicie sesión en la consola del IAM Identity Center Consola de administración de AWS y acceda a ella de la siguiente manera:
+ **Nuevo para AWS (usuario root)**: inicie sesión como propietario de la cuenta seleccionando el **usuario Cuenta de AWS root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
+ Si **ya lo utilizas AWS (credenciales de IAM)**: inicia sesión con tus credenciales de IAM con permisos administrativos.
+ [Para obtener más ayuda para iniciar sesión en Consola de administración de AWS, consulte AWS Sign-In la Guía.](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ Puede configurar la autenticación multifactor para los usuarios de IAM Identity Center. Para obtener más información, consulte [Configuración de la MFA en IAM Identity Center](mfa-configure.md).
## Paso 1: adición de un usuario
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación de IAM Identity Center, seleccione **Usuarios** y, a continuación, seleccione **Agregar usuario**.
1. En la página **Especificar los detalles del usuario**, rellene la siguiente información:
+ **Nombre de usuario**: para este tutorial, introduzca*nikkiw*.
Al crear los usuarios, seleccione nombres de usuario que sean fáciles de recordar. Sus usuarios deben recordar el nombre de usuario para iniciar sesión en el portal de AWS acceso y no pueden cambiarlo más adelante.
+ **Contraseña**: seleccione **Enviar un correo electrónico a este usuario con las instrucciones de configuración de la contraseña (recomendado)**.
Esta opción envía al usuario un correo electrónico de Amazon Web Services, con el asunto **Invitación para unirse a IAM Identity Center**. El correo electrónico proviene de `no-reply@signin.aws` o `no-reply@login.awsapps.com`. Agregue estas direcciones de correo electrónico a su lista de remitentes aprobados.
+ **Dirección de correo electrónico**: ingrese una dirección de correo electrónico del usuario en la que pueda recibir el correo electrónico. A continuación, vuelva a escribirla para confirmarla. Cada usuario debe tener una dirección de correo electrónico única.
+ En **Nombre**, ingrese el nombre del usuario. En este tutorial, escriba *Nikki*.
+ En **Apellido**, ingrese el apellido del usuario. En este tutorial, escriba *Wolf*.
+ **Nombre de visualización**: el valor predeterminado es el nombre y apellido del usuario. Si desea cambiar el nombre de visualización, puede ingresar otro nombre. El nombre de visualización está visible en el portal de inicio de sesión y en la lista de usuarios.
+ Complete la información opcional si lo desea. No se usa durante este tutorial y puede cambiarla más adelante.
1. Elija **Siguiente**. Aparece la página **Agregar usuario a grupos**. Vamos a crear un grupo al que asignarle permisos administrativos en lugar de dárselos directamente*Nikki*.
Seleccione **Crear grupo**.
Se abre una nueva pestaña del navegador para mostrar la página **Crear grupo**.
1. En **Detalles del grupo**, en **Nombre del grupo**, ingrese un nombre para el grupo. Recomendamos un nombre de grupo que identifique el rol del grupo. En este tutorial, escriba *Admin team*.
1. Seleccione **Crear grupo**.
1. Cierre la pestaña **Grupos** del navegador para volver a la pestaña **Agregar usuario** del navegador.
1. En el área **Grupos**, seleccione el botón **Actualizar**. El *Admin team* grupo aparece en la lista.
Seleccione la casilla de verificación situada junto a y*Admin team*, a continuación, elija **Siguiente**.
1. En la página **Revisar y agregar usuario**, confirme lo siguiente:
+ La información principal aparece tal y como quería.
+ En Grupos se muestra el usuario agregado al grupo que ha creado
Si desea realizar cambios, seleccione **Editar**. Cuando todos los detalles sean correctos, seleccione **Agregar usuario**.
Un mensaje de notificación le informará de que se ha agregado el usuario.
A continuación, añadirá permisos administrativos para que el *Admin team* grupo *Nikki* tenga acceso a los recursos.
## Paso 2: adición de permisos administrativos
**importante**
Siga estos pasos solo si ha activado una [instancia de organización de IAM Identity Center](identity-center-instances.md).
1. En el panel de navegación del IAM Identity Center, en **Permisos para varias cuentas**, seleccione **Cuentas de AWS**.
1. En la página **Cuentas de AWS**, la opción **Estructura organizativa** muestra la organización con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione **Asignar usuarios o grupos**.
1. Aparecerá el flujo de trabajo **Asignar usuarios y grupos**. Consta de tres pasos:
1. Para el **paso 1: Seleccione los usuarios y los grupos**, elija el *Admin team* grupo que ha creado. A continuación, elija **Siguiente**.
1. En **Paso 2: selección de conjuntos de permisos**, elija **Crear conjunto de permisos** para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.
1. En **Paso 1: selección del tipo de conjunto de permisos**, haga lo siguiente:
+ En **Tipo de conjunto de permisos**, seleccione **Conjunto de permisos predefinido**.
+ En **Política para un conjunto de permisos predefinido**, elija **AdministratorAccess**.
Elija **Siguiente**.
1. En **Paso 2: especificación de los detalles del conjunto de permisos**, mantenga la configuración predeterminada y seleccione **Siguiente**.
La configuración predeterminada crea un conjunto de permisos denominado *AdministratorAccess* con una duración de sesión establecida en una hora. Puede cambiar el nombre del conjunto de permisos al introducir un nombre nuevo en el campo **Nombre del conjunto de permisos**.
1. En el **paso 3: revisar y crear**, compruebe que el **tipo de conjunto de permisos** utiliza la política AWS gestionada **AdministratorAccess**. Seleccione **Crear**. En la página **Conjuntos de permisos**, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.
En la pestaña **Asignar usuarios y grupos** del navegador, todavía está en **Paso 2: selección de los conjuntos de permisos**, donde empezó el flujo de trabajo de creación de conjuntos de permisos.
En el área **Conjuntos de permisos**, pulse el botón **Actualizar**. El conjunto de *AdministratorAccess* permisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione **Siguiente**.
1. En la página **Paso 3: Revisar y enviar las tareas**, confirme que el *Admin team* grupo y el conjunto de *AdministratorAccess* permisos están seleccionados y, a continuación, seleccione **Enviar**.
La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.
Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado.
**¡Enhorabuena\$1**
Ha configurado correctamente su primer usuario, grupo y conjunto de permisos.
En la siguiente parte de este tutorial, probará el *Nikki's* acceso iniciando sesión en el portal de AWS acceso con sus credenciales administrativas y configurando su contraseña. Cierre la sesión de la consola.
## Paso 3: Probar el acceso de los usuarios
Ahora que *Nikki Wolf* es un usuario de su organización, puede iniciar sesión y acceder a los recursos para los que tiene permiso de acuerdo con su conjunto de permisos. Para comprobar que el usuario está configurado correctamente, en el siguiente paso utilizarás *Nikki's* las credenciales para iniciar sesión y configurar su contraseña. Cuando agregaste el usuario *Nikki Wolf* en el paso 1, elegiste *Nikki* recibir un correo electrónico con las instrucciones para configurar la contraseña. Es hora de abrir el correo electrónico y hacer lo siguiente:
1. En el correo electrónico, seleccione el enlace **Aceptar la invitación** para aceptar la invitación.
**nota**
El correo electrónico también incluye el nombre de *Nikki's* usuario y la URL del portal de AWS acceso que utilizarán para iniciar sesión en la organización. Registre esta información para usarla más adelante.
Accederá a la página de **registro de nuevos usuarios**, donde podrá establecer la *Nikki's* contraseña y [registrar su dispositivo MFA](enable-mfa.md).
1. Tras configurar la *Nikki's* contraseña, accederá a la página de **inicio de sesión**. Ingresa *nikkiw* y selecciona **Siguiente**, luego ingresa la *Nikki's* contraseña y selecciona **Iniciar sesión**.
1. Se abre el portal de AWS acceso y muestra la organización y las aplicaciones a las que puede acceder.
Seleccione la organización para ampliarla en una lista y, a Cuentas de AWS continuación, seleccione la cuenta para ver las funciones que puede utilizar para acceder a los recursos de la cuenta.
Cada conjunto de permisos tiene dos métodos de administración que puede utilizar: **rol** o **claves de acceso**.
+ **Rol**, por ejemplo*AdministratorAccess*: abre el AWS Console Home.
+ **Claves de acceso**: proporcionan credenciales que puede usar con el AWS CLI o y el AWS SDK. Incluye la información para usar credenciales de corta duración que se actualizan automáticamente o claves de acceso de corta duración. Para obtener más información, consulte [Obtener las credenciales de usuario del IAM Identity Center para o AWS CLI AWS SDKs](howtogetcredentials.md).
1. Elija el enlace del **rol** para iniciar sesión en AWS Console Home.
Has iniciado sesión y has accedido a la AWS Console Home página. Explore la consola y confirme que tiene el acceso que esperaba.
## Siguientes pasos
Ahora que ha creado un usuario administrativo en IAM Identity Center, puede hacer lo siguiente:
+ [Asignar aplicaciones](manage-your-applications.md)
+ [Agregar otros usuarios](addusers.md)
+ [Asignar usuarios a las cuentas](assignusers.md)
+ [Configurar conjuntos de permisos adicionales](howtocreatepermissionset.md)
**nota**
Puede asignar varios conjuntos de permisos al mismo usuario. Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo al mismo usuario. De esta forma, podrá acceder a la suya únicamente Cuenta de AWS con los permisos que necesite, en lugar de con permisos administrativos.
Una vez que los usuarios [acepten la invitación](howtoactivateaccount.md) para activar su cuenta e inicien sesión en el portal de AWS acceso, los únicos elementos que aparecen en el Cuentas de AWS portal son los roles y las aplicaciones a los que están asignados.
## Tutoriales de vídeo
Como recurso adicional, puede utilizar estos tutoriales en video para obtener más información sobre la configuración de proveedores de identidad externos:
+ [Migración entre proveedores de identidad externos en AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [Federar su instancia existente con AWS IAM Identity CenterMicrosoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)