Considerazioni sulla modifica dell'origine dell'identità

Assegnazioni rimosse e utenti e gruppi eliminati: se si modifica l'origine dell'identità in Active Directory, gli utenti e i gruppi vengono eliminati dalla directory Identity Center. Questa modifica rimuove anche le assegnazioni. In questo caso, dopo il passaggio ad Active Directory, è necessario sincronizzare gli utenti e i gruppi da Active Directory alla directory Identity Center e quindi riapplicare le relative assegnazioni.

Se si sceglie di non utilizzare Active Directory, è necessario creare gli utenti e i gruppi nella directory Identity Center e quindi effettuare le assegnazioni.

Le assegnazioni non vengono eliminate quando le identità vengono eliminate: quando le identità vengono eliminate nella directory Identity Center, le assegnazioni corrispondenti vengono eliminate anche in IAM Identity Center. Tuttavia, in Active Directory, quando le identità vengono eliminate (in Active Directory o nelle identità sincronizzate), le assegnazioni corrispondenti non vengono eliminate.

Nessuna sincronizzazione in uscita per le API: se utilizzi Active Directory come fonte di identità, ti consigliamo di utilizzare le API di creazione, aggiornamento ed eliminazione con cautela. IAM Identity Center non supporta la sincronizzazione in uscita, quindi la tua fonte di identità non si aggiorna automaticamente con le modifiche che apporti agli utenti o ai gruppi utilizzando queste API.

L'URL del portale di accesso cambierà: la modifica della fonte di identità tra IAM Identity Center e Active Directory modifica anche l'URL del portale di accesso. AWS

La scadenza della sessione utente esistente può richiedere fino a due ore: una volta eliminati gli utenti e i gruppi dalla directory di Identity Center, gli utenti con sessioni attive possono continuare ad accedere al portale di AWS accesso e alle AWS applicazioni integrate per un massimo di due ore. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, vedereAutenticazione in IAM Identity Center.

Le assegnazioni e le appartenenze funzionano con le asserzioni corrette: le assegnazioni degli utenti, le assegnazioni ai gruppi e le appartenenze ai gruppi continuano a funzionare finché il nuovo IdP invia le asserzioni corrette (ad esempio, SAML NameID). Queste asserzioni devono corrispondere ai nomi utente e ai gruppi in IAM Identity Center.

Nessuna sincronizzazione in uscita: IAM Identity Center non supporta la sincronizzazione in uscita, quindi il tuo IdP esterno non si aggiornerà automaticamente con le modifiche agli utenti e ai gruppi che apporti in IAM Identity Center.

Provisioning SCIM: se utilizzi il provisioning SCIM, le modifiche agli utenti e ai gruppi nel tuo provider di identità si riflettono solo in IAM Identity Center dopo che il provider di identità ha inviato tali modifiche a IAM Identity Center. Per informazioni, consulta Considerazioni sull'utilizzo del provisioning automatico.

Rollback: puoi ripristinare la tua origine di identità all'utilizzo di IAM Identity Center in qualsiasi momento. Per informazioni, consulta Passaggio da un IdP esterno a IAM Identity Center.

Le sessioni utente esistenti vengono revocate alla scadenza della durata della sessione: una volta modificata la fonte di identità con un provider di identità esterno, le sessioni utente attive persistono per il resto della durata massima della sessione configurata nella console. Ad esempio, se la durata della sessione del portale di AWS accesso è impostata su otto ore e l'origine dell'identità è stata modificata nella quarta ora, le sessioni utente attive persistono per altre quattro ore. Per revocare le sessioni utente, vedere. Elimina le sessioni utente attive per il portale di AWS accesso e le applicazioni AWS integrate

Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center, utilizzando le API Identity Store o il provisioning SCIM, gli utenti con sessioni attive possono continuare ad accedere al portale di accesso e alle AWS AWS applicazioni integrate per un massimo di due ore.

IAM Identity Center conserva tutte le tue assegnazioni.

Reimpostazione forzata della password: gli utenti che avevano password in IAM Identity Center possono continuare ad accedere con le vecchie password. Per gli utenti che si trovavano nell'IdP esterno e non erano in IAM Identity Center, un amministratore deve forzare la reimpostazione della password.

Le sessioni utente esistenti vengono revocate alla scadenza della durata della sessione: una volta modificata la fonte di identità in IAM Identity Center, le sessioni utente attive persistono per la durata residua della durata massima della sessione configurata nella console. Ad esempio, se la durata della sessione del portale di AWS accesso è di otto ore e hai cambiato l'origine dell'identità alla quarta ora, le sessioni utente attive continuano a funzionare per altre quattro ore. Per revocare le sessioni utente, vedere. Elimina le sessioni utente attive per il portale di AWS accesso e le applicazioni AWS integrate

Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center, utilizzando le API Identity Store o il provisioning SCIM, gli utenti con sessioni attive possono continuare ad accedere al portale di accesso e alle AWS AWS applicazioni integrate per un massimo di due ore.

Le assegnazioni e le iscrizioni funzionano con le asserzioni corrette: IAM Identity Center conserva tutte le tue assegnazioni. Le assegnazioni degli utenti, le assegnazioni ai gruppi e le appartenenze ai gruppi continuano a funzionare finché il nuovo IdP invia le asserzioni corrette (ad esempio, SAML NameID).

Queste asserzioni devono corrispondere ai nomi utente in IAM Identity Center quando gli utenti si autenticano tramite il nuovo IdP esterno.

Provisioning SCIM: se utilizzi SCIM per il provisioning in IAM Identity Center, ti consigliamo di consultare le informazioni specifiche dell'IdP contenute in questa guida e la documentazione fornita dall'IdP per garantire che il nuovo provider abbini correttamente utenti e gruppi quando SCIM è abilitato.

Le sessioni utente esistenti vengono revocate alla scadenza della durata della sessione: una volta modificata l'origine dell'identità con un provider di identità esterno diverso, le sessioni utente attive persistono per la durata residua della durata massima della sessione configurata nella console. Ad esempio, se la durata della sessione del portale di AWS accesso è di otto ore e l'origine dell'identità è stata modificata alla quarta ora, le sessioni utente attive persistono per altre quattro ore. Per revocare le sessioni utente, vedere. Elimina le sessioni utente attive per il portale di AWS accesso e le applicazioni AWS integrate

Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center, utilizzando le API Identity Store o il provisioning SCIM, gli utenti con sessioni attive possono continuare ad accedere al portale di accesso e alle AWS AWS applicazioni integrate per un massimo di due ore.

Utenti, gruppi e assegnazioni vengono eliminati: tutti gli utenti, i gruppi e le assegnazioni vengono eliminati da IAM Identity Center. Nessuna informazione sull'utente o sul gruppo è interessata né nell'IdP esterno né in Active Directory.

Provisioning degli utenti: se passi a un IdP esterno, devi configurare IAM Identity Center per effettuare il provisioning dei tuoi utenti. In alternativa, è necessario effettuare manualmente il provisioning degli utenti e dei gruppi per l'IdP esterno prima di poter configurare le assegnazioni.

Creare assegnazioni e gruppi: se si passa ad Active Directory, è necessario creare assegnazioni con gli utenti e i gruppi presenti nella directory in Active Directory.

La scadenza delle sessioni utente esistenti può richiedere fino a due ore: una volta eliminati gli utenti e i gruppi dalla directory di Identity Center, gli utenti con sessioni attive possono continuare ad accedere al portale di AWS accesso e alle AWS applicazioni integrate per un massimo di due ore. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, vedereAutenticazione in IAM Identity Center.