Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
¿Qué es IAM Identity Center?
AWS IAM Identity Center es el recomendado Servicio de AWS para gestionar el acceso de los usuarios humanos a AWS los recursos. Es un único lugar en el que puede asignar a los usuarios de su plantilla, que también se conocen como workforce identities, acceso uniforme a varias Cuentas de AWS y aplicaciones. El IAM Identity Center se ofrece sin coste adicional.
Con el IAM Identity Center, puede crear o conectar a los usuarios de la fuerza laboral y gestionar de forma centralizada su acceso a todas sus aplicaciones Cuentas de AWS . Puede utilizar permisos para varias cuentas para asignar a los usuarios de personal a Cuentas de AWS. Puede utilizar las asignaciones de aplicaciones para asignar a sus usuarios el acceso a las aplicaciones AWS gestionadas y gestionadas por los clientes.
nota
Aunque se ha retirado el nombre de servicio AWS Single Sign-On, el término inicio de sesión único se sigue utilizando en esta guía para describir el esquema de autenticación que permite a los usuarios iniciar sesión una vez para acceder a múltiples aplicaciones y sitios web.
Capacidades de IAM Identity Center
IAM Identity Center incluye las siguientes capacidades y características principales:
- Administración de las identidades de la plantilla
-
Los usuarios humanos que crean u operan cargas de trabajo también AWS se conocen como usuarios de la fuerza laboral o identidades de la fuerza laboral. Los usuarios de la fuerza laboral son empleados o contratistas a los que usted permite acceder Cuentas de AWS en su organización y en las aplicaciones empresariales internas. Estas personas pueden ser desarrolladores que crean sus sistemas internos y orientados al cliente o usuarios de las aplicaciones y los sistemas de bases de datos internos. Puede crear usuarios y grupos de personal en el Centro de identidades de IAM o conectarse y sincronizarse con un conjunto de usuarios y grupos existente en su propia fuente de identidad para usarlos en todas sus aplicaciones Cuentas de AWS y en todas sus aplicaciones. Para obtener más información, consulte Administre su fuente de identidad.
- Administración de instancias de IAM Identity Center
-
IAM Identity Center admite dos tipos de instancias: las instancias de organización y las instancias de cuenta. La práctica recomendada es usar una instancia de organización. Es la única instancia que le permite administrar el acceso a las aplicaciones Cuentas de AWS y se recomienda para todo uso de producción de las mismas. Se implementa una instancia de organización en la cuenta AWS Organizations de administración y proporciona un punto único desde el que administrar el acceso de los usuarios en todo el AWS entorno.
Las instancias de cuenta están vinculadas al lugar Cuenta de AWS en el que están habilitadas. Utilice las instancias de cuenta del IAM Identity Center únicamente para admitir despliegues aislados de determinadas aplicaciones AWS gestionadas. Para obtener más información, consulte Administración de las instancias de organización y cuenta de IAM Identity Center.
- Gestione el acceso a múltiples Cuentas de AWS
-
Con los permisos para varias cuentas, puede planificar e implementar de forma centralizada los permisos Cuentas de AWS en varias cuentas a la vez sin necesidad de configurar cada una de sus cuentas manualmente. Puede crear permisos basados en funciones laborales habituales o definir permisos personalizados que se adapten a sus necesidades de seguridad. A continuación, puede asignar esos permisos a los usuarios de personal para controlar su acceso a cuentas específicas.
Esta característica opcional solo está disponible para las instancias de organización. Si utiliza la administración de roles de IAM por cuenta en su entorno, ambos sistemas pueden coexistir. Si quiere probar los permisos de varias cuentas, puede empezar por implementar este sistema de forma limitada y, con el tiempo, migrar cada vez una mayor parte de su entorno para utilizar este sistema.
- Administración del acceso a las aplicaciones
-
IAM Identity Center le permite simplificar la administración del acceso a las aplicaciones. Con IAM Identity Center, puede conceder a los usuarios de la plantilla de IAM Identity Center acceso mediante inicio de sesión único a las aplicaciones.
- AWS aplicaciones gestionadas
-
AWS proporciona aplicaciones como Amazon Redshift Amazon Managed Grafana y Amazon Monitron, que se integran con IAM Identity Center. Estas aplicaciones pueden utilizar IAM Identity Center para la autenticación, los servicios de directorio y la propagación de identidades de confianza. Los usuarios se benefician de una experiencia uniforme de inicio de sesión único y, como las aplicaciones comparten una visión común de los usuarios, los grupos y la pertenencia a los grupos, los usuarios también tienen una experiencia uniforme al compartir los recursos de la aplicación con otros. Puede configurar las aplicaciones AWS gestionadas para que funcionen con el IAM Identity Center directamente desde las consolas de aplicaciones correspondientes o mediante las API.
- Aplicaciones administradas por el cliente
-
Puede conceder a los usuarios de la plantilla de IAM Identity Center acceso mediante inicio de sesión único a las aplicaciones compatibles con la federación de identidades con SAML 2.0. Muchas de las aplicaciones de SAML 2.0 más utilizadas, como Salesforce y Microsoft 365, funcionan con IAM Identity Center y están disponibles en el catálogo de aplicaciones de la consola de IAM Identity Center. Se trata de una característica opcional que puede resultar útil si utiliza este tipo de aplicaciones y crea sus usuarios y grupos en IAM Identity Center o si utiliza Microsoft Active Directory Domain Services como origen de identidad.
- Propagación de identidad de confianza en aplicaciones
-
La propagación de identidades fiable proporciona una experiencia de inicio de sesión único optimizada para los usuarios de herramientas de consulta y aplicaciones de inteligencia empresarial (BI) que necesitan acceder a los datos de los servicios. AWS La administración del acceso a los datos se basa en la identidad del usuario, por lo que los administradores pueden conceder el acceso en función de la pertenencia actual de los usuarios a grupos y usuarios. El acceso de los usuarios a AWS los servicios y otros eventos se registra en registros y eventos específicos del servicio, de modo que CloudTrail los auditores sepan qué acciones han realizado los usuarios y a qué recursos han accedido.
- AWS acceda al portal para sus usuarios
-
El portal de AWS acceso es un portal web sencillo que proporciona a sus usuarios un acceso perfecto a todas sus aplicaciones Cuentas de AWS y aplicaciones asignadas.
Cambio de nombre de IAM Identity Center
El 26 de julio de 2022, se cambió el nombre de AWS Single Sign-On a. AWS IAM Identity Center Para los clientes actuales, la siguiente tabla pretende describir algunos de los cambios de términos más comunes que se han actualizado en esta guía como consecuencia del cambio de nombre.
| Término antiguo | Término actual |
|---|---|
| AWS Usuario de SSO o usuario de SSO | usuario de personal o usuario |
| AWS Portal de usuario o portal de usuario de SSO | AWS portal de acceso |
| AWS Aplicaciones integradas en SSO | AWS aplicaciones gestionadas |
| AWS directorio SSO | Directorio de Identity Center |
| AWS Almacén de SSO o almacén de identidades de AWS SSO | Almacén de identidades utilizado de IAM Identity Center |
En la siguiente tabla se describen los cambios aplicables en las guías de referencia de usuarios, desarrolladores y de API que también se produjeron como resultado de este cambio de nombre.
| Guía anterior | Guía actual |
|---|---|
| AWS Guía del usuario de inicio de sesión único | Guía del usuario de IAM Identity Center |
| AWS Guía para desarrolladores de implementación de SCIM con inicio de sesión único | Guía para desarrolladores de implementación de IAM Identity Center SCIM |
| AWS Guía de referencia de la API de inicio de sesión único | Referencia de IAM Identity Center API |
| AWS Guía de referencia de la API de Single Sign-On Identity Store | Referencia de Identity Store API |
| AWS Guía de referencia de la API OIDC de inicio de sesión único | Referencia de IAM Identity Center OIDC API |
| AWS Guía de referencia de la API del portal de inicio de sesión único | Referencia de IAM Identity Center Portal API |
Los espacios de nombres antiguos siguen siendo los mismos
Los espacios de nombres de sso y identitystore API, junto con los siguientes espacios de nombres relacionados, permanecen sin cambios por motivos de compatibilidad con versiones anteriores.
-
Comandos de la CLI
-
Políticas administradas que contienen prefijos de
AWSSSOyAWSIdentitySync -
Puntos de conexión de servicio que contienen
ssoeidentitystore -
Recursos de AWS CloudFormation contienen prefijos de
AWS::SSO -
Rol vinculado al servicio que contiene
AWSServiceRoleForSSO -
URL de consola que contienen
ssoysinglesignon -
URL de documentación que contienen
singlesignon
