Pertimbangan untuk mengubah sumber identitas Anda

Penugasan dihapus dan pengguna dan grup dihapus — Mengubah sumber identitas Anda ke Active Directory menghapus pengguna dan grup Anda dari direktori Pusat Identitas. Perubahan ini juga menghapus tugas Anda. Dalam hal ini, setelah Anda mengubah ke Active Directory, Anda harus menyinkronkan pengguna dan grup dari Active Directory ke direktori Pusat Identitas, dan kemudian menerapkan kembali tugas mereka.

Jika Anda memilih untuk tidak menggunakan Active Directory, Anda harus membuat pengguna dan grup di direktori Pusat Identitas, lalu membuat tugas.

Penugasan tidak dihapus saat identitas dihapus — Saat identitas dihapus di direktori Pusat Identitas, tugas yang sesuai juga akan dihapus di Pusat Identitas IAM. Namun di Active Directory, ketika identitas dihapus (baik di Active Directory atau identitas yang disinkronkan), tugas yang sesuai tidak dihapus.

Tidak ada sinkronisasi keluar untuk API — Jika Anda menggunakan Active Directory sebagai sumber identitas, sebaiknya gunakan API Buat, Perbarui, dan Hapus dengan hati-hati. Pusat Identitas IAM tidak mendukung sinkronisasi keluar, sehingga sumber identitas Anda tidak diperbarui secara otomatis dengan perubahan yang Anda buat pada pengguna atau grup yang menggunakan API ini.

URL portal akses akan berubah — Mengubah sumber identitas Anda antara IAM Identity Center dan Active Directory juga mengubah URL untuk portal AWS akses.

Kedaluwarsa sesi pengguna yang ada dapat memakan waktu hingga dua jam - Setelah pengguna dan grup dihapus dari direktori Pusat Identitas, pengguna dengan sesi aktif dapat terus mengakses portal AWS akses dan AWS aplikasi terintegrasi hingga dua jam. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihatOtentikasi di Pusat IAM Identitas.

Penugasan dan keanggotaan berfungsi dengan pernyataan yang benar — tugas pengguna, penugasan grup, dan keanggotaan grup Anda terus berfungsi selama iDP baru mengirimkan pernyataan yang benar (misalnya, NAMEID SAM). Pernyataan ini harus cocok dengan nama pengguna dan grup di Pusat Identitas IAM.

Tidak ada sinkronisasi keluar - Pusat Identitas IAM tidak mendukung sinkronisasi keluar, sehingga IDP eksternal Anda tidak akan diperbarui secara otomatis dengan perubahan pada pengguna dan grup yang Anda buat di Pusat Identitas IAM.

Penyediaan SCIM - jika Anda menggunakan penyediaan SCIM, perubahan pada pengguna dan grup di penyedia identitas Anda hanya tercermin di Pusat Identitas IAM setelah penyedia identitas Anda mengirimkan perubahan tersebut ke Pusat Identitas IAM. Lihat Pertimbangan untuk menggunakan penyediaan otomatis.

Rollback — Anda dapat mengembalikan sumber identitas Anda kembali menggunakan IAM Identity Center kapan saja. Lihat Mengubah dari iDP eksternal ke IAM Identity Center.

Sesi pengguna yang ada dicabut pada durasi sesi kedaluwarsa — Setelah Anda mengubah sumber identitas Anda menjadi penyedia identitas eksternal, sesi pengguna aktif tetap ada selama sisa durasi sesi maksimum yang dikonfigurasi di konsol. Misalnya, jika durasi sesi portal AWS akses disetel ke delapan jam, dan Anda mengubah sumber identitas di jam keempat, sesi pengguna aktif akan bertahan selama empat jam tambahan. Untuk mencabut sesi pengguna, lihat. Hapus sesi pengguna aktif untuk portal AWS akses dan aplikasi AWS terintegrasi

Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center, menggunakan Identity Store API, atau penyediaan SCIM, pengguna dengan sesi aktif dapat terus mengakses portal AWS akses dan AWS aplikasi terintegrasi hingga dua jam.

IAM Identity Center mempertahankan semua tugas Anda.

Reset paksa kata sandi — Pengguna yang memiliki kata sandi di Pusat Identitas IAM dapat melanjutkan masuk dengan kata sandi lama mereka. Untuk pengguna yang berada di IDP eksternal dan tidak berada di Pusat Identitas IAM, administrator harus memaksa pengaturan ulang kata sandi.

Sesi pengguna yang ada dicabut pada durasi sesi kedaluwarsa — Setelah Anda mengubah sumber identitas Anda ke Pusat Identitas IAM, sesi pengguna aktif tetap ada selama durasi sesi maksimum yang dikonfigurasi di konsol. Misalnya, jika durasi sesi portal AWS akses adalah delapan jam, dan Anda mengubah sumber identitas pada jam keempat, sesi pengguna aktif terus berjalan selama empat jam tambahan. Untuk mencabut sesi pengguna, lihat. Hapus sesi pengguna aktif untuk portal AWS akses dan aplikasi AWS terintegrasi

Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center, menggunakan Identity Store API, atau penyediaan SCIM, pengguna dengan sesi aktif dapat terus mengakses portal AWS akses dan AWS aplikasi terintegrasi hingga dua jam.

Tugas dan keanggotaan bekerja dengan pernyataan yang benar - IAM Identity Center mempertahankan semua tugas Anda. Penugasan pengguna, penugasan grup, dan keanggotaan grup terus berfungsi selama iDP baru mengirimkan pernyataan yang benar (misalnya, NAMEID SAMP).

Pernyataan ini harus cocok dengan nama pengguna di Pusat Identitas IAM saat pengguna Anda mengautentikasi melalui iDP eksternal yang baru.

Penyediaan SCIM - Jika Anda menggunakan SCIM untuk penyediaan ke IAM Identity Center, kami sarankan Anda meninjau informasi khusus IDP dalam panduan ini dan dokumentasi yang disediakan oleh IDP untuk memastikan bahwa penyedia baru cocok dengan pengguna dan grup dengan benar saat SCIM diaktifkan.

Sesi pengguna yang ada dicabut pada durasi sesi kedaluwarsa — Setelah Anda mengubah sumber identitas Anda ke penyedia identitas eksternal yang berbeda, sesi pengguna aktif tetap ada selama durasi sesi maksimum yang dikonfigurasi di konsol. Misalnya, jika durasi sesi portal AWS akses adalah delapan jam, dan Anda mengubah sumber identitas pada jam keempat, sesi pengguna aktif bertahan selama empat jam tambahan. Untuk mencabut sesi pengguna, lihat. Hapus sesi pengguna aktif untuk portal AWS akses dan aplikasi AWS terintegrasi

Jika pengguna dihapus atau dinonaktifkan di konsol IAM Identity Center, menggunakan Identity Store API, atau penyediaan SCIM, pengguna dengan sesi aktif dapat terus mengakses portal AWS akses dan AWS aplikasi terintegrasi hingga dua jam.

Pengguna, grup, dan tugas dihapus - Semua pengguna, grup, dan tugas dihapus dari Pusat Identitas IAM. Tidak ada informasi pengguna atau grup yang terpengaruh baik di IDP eksternal atau Direktori Aktif.

Menyediakan pengguna — Jika Anda mengubah ke iDP eksternal, Anda harus mengonfigurasi Pusat Identitas IAM untuk menyediakan pengguna Anda. Atau, Anda harus secara manual menyediakan pengguna dan grup untuk iDP eksternal sebelum Anda dapat mengonfigurasi tugas.

Buat tugas dan grup — Jika Anda mengubah ke Active Directory, Anda harus membuat tugas dengan pengguna dan grup yang ada di direktori Anda di Active Directory.

Kedaluwarsa sesi pengguna yang ada dapat memakan waktu hingga dua jam - Setelah pengguna dan grup dihapus dari direktori Pusat Identitas, pengguna dengan sesi aktif dapat terus mengakses portal AWS akses dan AWS aplikasi terintegrasi hingga dua jam. Untuk informasi tentang durasi sesi otentikasi dan perilaku pengguna, lihatOtentikasi di Pusat IAM Identitas.