Configurar SAML e SCIM com o Microsoft Entra ID e o IAM Identity Center - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar SAML e SCIM com o Microsoft Entra ID e o IAM Identity Center

AWS IAM Identity Center oferece suporte à integração com a Security Assertion Markup Language (SAML) 2.0, bem como ao provisionamento automático (sincronização) de informações de usuários e grupos Microsoft Entra ID (anteriormente conhecido como Azure Active Directory ouAzure AD) para o IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0.

Objetivo

Neste tutorial, você configurará um laboratório de teste e uma conexão SAML e um provisionamento SCIM entre o Microsoft Entra ID e o IAM Identity Center. Durante as etapas iniciais de preparação, você criará um usuário de teste (Nikki Wolf) no Microsoft Entra ID e no IAM Identity Center que será usado para testar a conexão SAML nas duas direções. Posteriormente, como parte das etapas do SCIM, você criará um usuário de teste diferente (Richard Roe) para verificar se os novos atributos do Microsoft Entra ID estão sendo sincronizados com o IAM Identity Center como esperado.

Antes de começar este tutorial, você precisará definir o seguinte:

Estas são considerações importantes sobre o Microsoft Entra ID que podem afetar a forma como você planeja implementar o provisionamento automático com o IAM Identity Center em seu ambiente de produção usando o protocolo SCIM v2.

Provisionamento automático

Antes de começar a implantar o SCIM, é recomendável que você revise as Considerações sobre o uso do provisionamento automático.

Atributos para controle de acesso

Os atributos para controle de acesso são usados em políticas de permissão que determinam quem em sua fonte de identidade pode acessar seus AWS recursos. Se um atributo for removido de um usuário em Microsoft Entra ID, esse atributo não será removido do usuário correspondente no IAM Identity Center. Esta é uma limitação conhecida do Microsoft Entra ID. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.

Grupos aninhados

O serviço de provisionamento de usuários do Microsoft Entra ID não pode ler nem provisionar usuários em grupos aninhados. Somente usuários que são membros imediatos de um grupo atribuído explicitamente podem ser lidos e provisionados. O Microsoft Entra ID não descompacta recursivamente as associações de grupos ou usuários atribuídos indiretamente (usuários ou grupos que são membros de um grupo atribuído diretamente). Para obter mais informações, consulte Assignment-based scoping na documentação do Microsoft. Como alternativa, você pode usar o ID do IAM Identity Center AD Sync para integrar Active Directory grupos com o IAM Identity Center.

Grupos dinâmicos

O serviço de provisionamento de usuários do Microsoft Entra ID não pode ler nem provisionar usuários em grupos dinâmicos. Veja abaixo um exemplo que mostra a estrutura de usuários e grupos ao usar grupos dinâmicos e como eles são exibidos no IAM Identity Center. Esses usuários e grupos foram provisionados do IAM Identity Center do Microsoft Entra ID via SCIM.

Por exemplo, se a estrutura do Microsoft Entra ID para grupos dinâmicos for a seguinte:

  1. Grupo A com membros ua1, ua2

  2. Grupo B com membros ub1

  3. Grupo C com membros uc1

  4. Grupo K com uma regra para incluir membros dos Grupos A, B, C

  5. Grupo L com uma regra para incluir membros do Grupos B e C

Depois que as informações do usuário e do grupo forem provisionadas do Microsoft Entra ID para o IAM Identity Center por meio do SCIM, a estrutura será a seguinte:

  1. Grupo A com membros ua1, ua2

  2. Grupo B com membros ub1

  3. Grupo C com membros uc1

  4. Grupo K com membros ua1, ua2, ub1, uc1

  5. Grupo L com membros ub1, uc1

Ao configurar o provisionamento automático usando grupos dinâmicos, mantenha as seguintes considerações em mente.

  • Um grupo dinâmico pode incluir um grupo aninhado. No entanto, o serviço de provisionamento do Microsoft Entra ID não nivela o grupo aninhado. Por exemplo, se a seguinte estrutura do Microsoft Entra ID para grupos dinâmicos:

    • O grupo A é pai do grupo B.

    • O Grupo A tem ua1 como membro.

    • O grupo B tem ub1 como membro.

O grupo dinâmico que inclui o Grupo A incluirá apenas os membros diretos do grupo A (ou seja, ua1). Não incluirá recursivamente membros do grupo B.

  • Os grupos dinâmicos não podem conter outros grupos dinâmicos. Para obter mais informações, consulte Preview limitations na documentação do Microsoft.

Nesta etapa, você aprenderá a instalar e configurar a aplicação empresarial AWS IAM Identity Center e a atribuir acesso a um usuário de teste do Microsoft Entra ID recém-criado.

Step 1.1 >

Etapa 1.1: Configurar o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID

Neste procedimento, você instala o aplicativo AWS IAM Identity Center corporativo emMicrosoft Entra ID. Posteriormente, você precisará desse aplicativo para configurar sua conexão SAML com AWS.

  1. Faça login no Centro de administração do Microsoft Entra como, no mínimo, administrador de aplicações de nuvem.

  2. Navegue até Identidade > Aplicações > Aplicações empresariais e escolha Nova aplicação.

  3. Na página Procurar na galeria do Microsoft Entra, insira AWS IAM Identity Center na caixa de pesquisa.

  4. Selecione AWS IAM Identity Centerentre os resultados.

  5. Escolha Criar.

Step 1.2 >

Etapa 1.2: criar um usuário de teste do Microsoft Entra ID

Nikki Wolf é o nome do usuário de teste do Microsoft Entra ID que você criará neste procedimento.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Usuários > Todos os usuários.

  2. Selecione Novo usuário e escolha Criar novo usuário na parte superior da tela.

  3. Em Nome da entidade principal do usuário, insira NikkiWolf e selecione o domínio e a extensão de sua preferência. Por exemplo, NikkiWolf@exemplo.org.

  4. Em Nome de exibição, insira NikkiWolf.

  5. Em Senha, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.

  6. Escolha Propriedades, em Nome, insira Nikki. Em Sobrenome, insira Wolf.

  7. Selecione Revisar + criar e depois Criar.

Step 1.3

Etapa 1.3: Teste a experiência de Nikki antes de atribuir suas permissões a AWS IAM Identity Center

Neste procedimento, você verificará se Nikki consegue fazer login no portal Minha conta da Microsoft.

  1. No mesmo navegador, abra uma nova guia, acesse a página de login do portal Minha Conta e insira o endereço de e-mail completo da Nikki. Por exemplo, NikkiWolf@exemplo.org.

  2. Quando solicitado, insira a senha de Nikki e escolha Fazer login. Se essa for uma senha gerada automaticamente, será solicitado que você a altere.

  3. Na página Ação necessária, escolha Perguntar mais tarde para ignorar a solicitação de métodos de segurança adicionais.

  4. Na página Minha conta, no painel de navegação esquerdo, escolha Meus aplicativos. Observe que, além dos Complementos, nenhuma aplicação é exibida no momento. Você adicionará uma aplicação do AWS IAM Identity Center que aparecerá aqui em uma etapa posterior.

Step 1.4

Etapa 1.4: atribuir permissões a Nikki no Microsoft Entra ID

Agora que você verificou que Nikki pode acessar com sucesso o portal Minha conta, use este procedimento para atribuir o usuário dela à aplicação AWS IAM Identity Center.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center na lista.

  2. No lado esquerdo, escolha Usuários e grupos.

  3. Escolha Add user/group (Adicionar usuário/grupo). Você pode ignorar a mensagem informando que os grupos não estão disponíveis para atribuição. Este tutorial não usa grupos para atribuição.

  4. Na página Adicionar atribuição, em Usuários, escolha Nenhum selecionado.

  5. Selecione e NikkiWolf, em seguida, escolha Selecionar.

  6. Na página Adicionar tarefa, escolha Atribuir. NikkiWolf agora aparece na lista de usuários atribuídos ao AWS IAM Identity Centeraplicativo.

Nesta etapa, você aprenderá a usar o IAM Identity Center para configurar permissões de acesso (via conjunto de permissões), criar manualmente um usuário Nikki Wolf correspondente e atribuir a ela as permissões necessárias para administrar recursos na AWS.

Step 2.1 >

Etapa 2.1: Criar um conjunto de RegionalAdmin permissões no IAM Identity Center

Esse conjunto de permissões será usado para conceder à Nikki as permissões de AWS conta necessárias para gerenciar regiões a partir da página Conta no AWS Management Console. Todas as outras permissões para visualizar ou gerenciar qualquer outra informação da conta de Nikki são negadas por padrão.

  1. Abra o console do IAM Identity Center.

  2. Em Permissões de várias contas, escolha Conjuntos de permissões.

  3. Escolha Create permission set (Criar conjunto de permissões).

  4. Em Selecionar tipo de conjunto de permissões, selecione Conjunto de permissões personalizado e escolha Avançar.

  5. Selecione Política em linha para expandi-la e crie uma política para o conjunto de permissões usando as seguintes etapas:

    1. Escolha Adicionar nova instrução para criar uma instrução de política.

    2. Em Editar extrato, selecione Conta na lista e escolha as seguintes caixas de seleção.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Ao lado de Add a resource (Adicionar um recurso), escolha Add (Adicionar).

    4. Na página Adicionar recurso, em Tipo de recurso, selecione Todos os recursos e escolha Adicionar recurso. Confirme se a política é semelhante à seguinte:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Escolha Próximo.

  7. Na página Especificar detalhes do conjunto de permissões, em Nome do conjunto de permissões, insira RegionalAdmin e escolha Avançar.

  8. Na página Review and create (Revisar e criar), escolha Create (Criar). Você deve ser RegionalAdminexibido na lista de conjuntos de permissões.

Step 2.2 >

Etapa 2.2: Criar um NikkiWolf usuário correspondente no IAM Identity Center

Como o protocolo SAML não fornece um mecanismo para consultar o IdP (Microsoft Entra ID) e criar usuários automaticamente aqui no IAM Identity Center, use o procedimento a seguir para criar manualmente um usuário no IAM Identity Center que espelhe os principais atributos do usuário Nikki Wolfs no Microsoft Entra ID.

  1. Abra o console do IAM Identity Center.

  2. Escolha Usuários, depois Adicionar usuário e forneça as seguintes informações:

    1. Em nome de usuário e endereço de e-mail, insira o mesmo NikkiWolf@yourcompanydomain.extension que você usou ao criar seu usuário Microsoft Entra ID. Por exemplo, NikkiWolf@exemplo.org.

    2. Confirmar o endereço de e-mail: insira novamente o endereço de e-mail da etapa anterior

    3. Primeiro nome: insira Nikki

    4. Sobrenome: insira Wolf

    5. Nome de exibição: insira Nikki Wolf

  3. Escolha Avançar e depois Adicionar usuário.

  4. Selecione Fechar.

Step 2.3

Etapa 2.3: Atribuir Nikki ao conjunto de RegionalAdmin permissões em IAM Identity Center

Aqui você localiza a região Conta da AWS na qual Nikki administrará as regiões e, em seguida, atribuirá as permissões necessárias para que ela acesse com sucesso o portal de AWS acesso.

  1. Abra o console do IAM Identity Center.

  2. Em Permissões de várias contas, escolha Contas da AWS.

  3. Marque a caixa de seleção ao lado do nome da conta (por exemplo, Sandbox) na qual você deseja conceder à Nikki acesso para gerenciar regiões e, em seguida, escolha Atribuir usuários e grupos.

  4. Na página Atribuir usuários e grupos, escolha a guia Usuários, localize e marque a caixa ao lado de Nikki e escolha Avançar.

Nesta etapa, você configura sua conexão SAML usando o aplicativo AWS IAM Identity Center corporativo Microsoft Entra ID junto com as configurações de IdP externo no IAM Identity Center.

Step 3.1 >

Etapa 3.1: coletar os metadados necessários do provedor de serviços do IAM Identity Center

Nesta etapa, você iniciará o assistente Alterar fonte de identidades no console do IAM Identity Center e recuperará o arquivo de metadados e o URL específico de login da AWS que você precisará inserir ao configurar a conexão com o Microsoft Entra ID na próxima etapa.

  1. No console do IAM Identity Center, escolha Configurações.

  2. Na página Configurações, escolha a guia Origem da identidade e, em seguida, escolha Ações > Alterar origem da identidade.

  3. Em Escolher fonte de identidades, selecione Provedor de identidades externo e escolha Avançar.

  4. Na página Configurar provedor de identidade externo, em Metadados do provedor de serviços, escolha Baixar arquivo de metadados para baixar o arquivo XML.

  5. Na mesma seção, localize e copie o valor da URL de login do Portal de acesso do AWS . Você precisará inserir esse valor quando solicitado na próxima etapa.

  6. Deixe essa página aberta e vá para a próxima etapa (Step 3.2) para configurar a aplicação AWS IAM Identity Center corporativa emMicrosoft Entra ID. Posteriormente, você retornará a essa página para concluir o processo.

Step 3.2 >

Etapa 3.2: Configurar o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID

Esse procedimento estabelece metade da conexão SAML do lado da Microsoft usando os valores do arquivo de metadados e o URL de logon único que você obteve na última etapa.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center.

  2. À esquerda, escolha 2. Configure o login único.

  3. Na página Configurar login único com SAML, escolha SAML. Em seguida, escolha Carregar arquivo de metadados, escolha o ícone da pasta, selecione o arquivo de metadados do provedor de serviços que você baixou na etapa anterior e escolha Adicionar.

  4. Na página Configuração básica do SAML, verifique se os valores do Identificador e do URL de Resposta agora apontam para endpoints AWS que começam com. https://<REGION>.signin.aws.amazon.com/platform/saml/

  5. Em URL de login (opcional), cole o valor do URL de login do Portal de acesso do AWS que você copiou na etapa anterior (Step 3.1), escolha Salvar e depois X para fechar a janela.

  6. Se solicitado a testar o login único com AWS IAM Identity Center, escolha Não, vou testar mais tarde. Você fará essa verificação em uma etapa posterior.

  7. Na página Configurar logon único com SAML, na seção Certificados SAML, ao lado de XML dos metadados da federação, escolha Baixar para salvar o arquivo de metadados em seu sistema. Você precisará inserir esse arquivo quando solicitado na próxima etapa.

Step 3.3 >

Etapa 3.3: configurar o IdP externo do Microsoft Entra ID no AWS IAM Identity Center

Aqui, você retornará ao assistente Alterar fonte de identidades no console do IAM Identity Center para concluir a segunda metade da conexão SAML na AWS.

  1. Retorne à sessão do navegador que você deixou aberta na Step 3.1 no console do IAM Identity Center.

  2. Na página Configurar provedor de identidades externo, na seção Metadados do provedor de identidade em Metadados SAML do IdP, escolha o botão Escolher arquivo e selecione o arquivo de metadados do provedor de identidades que você baixou do Microsoft Entra ID na etapa anterior e escolha Abrir.

  3. Escolha Próximo.

  4. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ACCEPT.

  5. Escolha Alterar fonte de identidades para aplicar as alterações.

Step 3.4 >

Etapa 3.4: testar se Nikki é redirecionada para o Portal de acesso do AWS

Neste procedimento, você testará a conexão SAML fazendo login no portal Minha conta da Microsoft com as credenciais de Nikki. Depois de autenticado, você selecionará o AWS IAM Identity Center aplicativo que redirecionará Nikki para o AWS portal de acesso.

  1. Vá até página de login do portal Minha conta e insira o endereço de e-mail completo de Nikki. Por exemplo, NikkiWolf@exemplo.org.

  2. Quando solicitado, insira a senha de Nikki e escolha Fazer login.

  3. Na página Minha conta, no painel de navegação esquerdo, escolha Meus aplicativos.

  4. Na página Minhas aplicações, selecione a aplicação denominada AWS IAM Identity Center. Deve ser solicitado que você faça uma autenticação adicional.

  5. Na página de login da Microsoft, escolha suas NikkiWolf credenciais. Se a autenticação for solicitada pela segunda vez, escolha suas NikkiWolf credenciais novamente. Isso deve redirecioná-lo automaticamente para o portal de AWS acesso.

    dica

    Se você não for redirecionado com sucesso, verifique se o valor do URL de login do Portal de acesso do AWS inserido na Step 3.2 corresponde ao valor que você copiou da Step 3.1.

  6. Verifique se você vê um ícone de conta da AWS exibido.

    dica

    Se a página estiver vazia e nenhum ícone de AWS Conta for exibido, confirme se Nikki foi atribuída com sucesso ao conjunto de RegionalAdminpermissões (consulte Step 2.3).

Step 3.5

Etapa 3.5: testar o nível de acesso de Nikki para gerenciar sua Conta da AWS

Nesta etapa, você verificará o nível de acesso de Nikki para gerenciar as configurações de região para sua Conta da AWS. Nikki deve ter apenas privilégios de administrador suficientes para gerenciar regiões na página Contas.

  1. No portal de AWS acesso, escolha o ícone AWS Conta para expandir a lista de contas. Depois de escolher o ícone, os nomes das contas, os IDs das contas e os endereços de e-mail associados às contas nas quais você definiu conjuntos de permissões são exibidos.

  2. Escolha o nome da conta (por exemplo, Sandbox) em que você aplicou o conjunto de permissões (consulte Step 2.3). Isso expandirá a lista de conjuntos de permissões que Nikki pode escolher para gerenciar sua conta.

  3. Em seguida, RegionalAdminescolha Console de gerenciamento para assumir a função que você definiu no conjunto de RegionalAdminpermissões. Isso redirecionará você para a página inicial do AWS Management Console .

  4. No canto superior direito do console, escolha o nome da sua conta e depois Conta. Isso levará você para a página Conta. Observe que todas as outras seções desta página exibem uma mensagem informando que você não tem as permissões necessárias para visualizar ou modificar essas configurações.

  5. Na página Conta, role para baixo até a seção Regiões da AWS . Marque uma caixa de seleção para qualquer região disponível na tabela. Observe que Nikki tem as permissões necessárias para habilitar ou desabilitar a lista de regiões de sua conta como pretendido.

Muito bem!

As etapas de 1 a 3 ajudaram você a implementar e testar com sucesso a conexão SAML. Agora, para concluir o tutorial, recomendamos que você passe para a etapa 4 para implementar o provisionamento automático.

Nesta etapa, você configurará o provisionamento automático (sincronização) das informações de usuário do Microsoft Entra ID para o IAM Identity Center usando o protocolo SCIM v2.0. Você configura essa conexão no Microsoft Entra ID usando seu endpoint SCIM para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center.

Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário no Microsoft Entra ID para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e Microsoft Entra ID.

As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos que residem primariamente no Microsoft Entra ID para o IAM Identity Center usando a aplicação IAM Identity Center no Microsoft Entra ID.

Step 4.1 >

Etapa 4.1: criar um segundo usuário de teste no Microsoft Entra ID

Para fins de teste, você criará um novo usuário (Richard Roe) no Microsoft Entra ID. Posteriormente, depois de configurar a sincronização SCIM, você testará se esse usuário e todos os atributos relevantes foram sincronizados com sucesso com o IAM Identity Center.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Usuários > Todos os usuários.

  2. Selecione Novo usuário e escolha Criar novo usuário na parte superior da tela.

  3. Em Nome da entidade principal do usuário, insira RichRoe e selecione o domínio e a extensão de sua preferência. Por exemplo, RichRoe@exemplo.org.

  4. Em Nome de exibição, insira RichRoe.

  5. Em Senha, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.

  6. Selecione Propriedades e forneça os seguintes valores:

    • Nome: insira Richard

    • Sobrenome: insira Roe

    • Cargo: insira Marketing Lead

    • Departamento: insira Sales

    • ID do funcionário: insira 12345

  7. Selecione Revisar + criar e depois Criar.

Step 4.2 >

Etapa 4.2: habilitar provisionamento no IAM Identity Center

Neste procedimento, você usará o console do IAM Identity Center para habilitar o provisionamento automático de usuários e grupos originários do Microsoft Entra ID para o IAM Identity Center.

  1. Abra o console do IAM Identity Center e escolha Configurações no painel de navegação esquerdo.

  2. Na página Configurações, na guia Fonte de identidades, observe que Método de aprovisionamento está definido como Manual.

  3. Localize a caixa de informações Provisionamento automático e escolha Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  4. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los na próxima etapa quando configurar o provisionamento no Microsoft Entra ID.

    1. Endpoint SCIM: por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2/

    2. Token de acesso: escolha Mostrar token para copiar o valor.

  5. Escolha Fechar.

  6. Na guia Fonte de identidades, observe que Método de provisionamento agora está definido como SCIM.

Step 4.3 >

Etapa 4.3: configurar o provisionamento automático no Microsoft Entra ID

Agora que você tem seu usuário de RichRoe teste instalado e habilitou o SCIM no IAM Identity Center, você pode continuar com a configuração das configurações de sincronização do SCIM em. Microsoft Entra ID

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center.

  2. Escolha Provisionamento em Gerenciar e depois escolha Provisionamento novamente.

  3. Em Modo de aprovisionamento, selecione Automático.

  4. Em Credenciais do administrador, em URL do locatário, cole o valor da URL do endpoint SCIM que você copiou anteriormente na Step 4.1. Em Token secreto, cole o valor do token de acesso.

  5. Escolha Test Connection (Testar conexão). Você deve ver uma mensagem indicando que as credenciais testadas foram autorizadas com sucesso a habilitar o provisionamento.

  6. Escolha Salvar.

  7. Em Gerenciar, escolha Usuários e grupos e depois escolha Adicionar usuário/grupo.

  8. Na página Adicionar atribuição, em Usuários, escolha Nenhum selecionado.

  9. Selecione e RichRoe, em seguida, escolha Selecionar.

  10. Na página Add Assignment (Adicionar atribuição), escolha Assign (Atribuir).

  11. Escolha Visão geral e depois Iniciar provisionamento.

Step 4.4

Etapa 4.4: verificar se a sincronização ocorreu

Nesta seção, você verificará se o usuário Richard foi provisionado com sucesso e se todos os atributos são exibidos no IAM Identity Center.

  1. No console do IAM Identity Center, escolha Usuários.

  2. Na página Usuários, você deve ver seu RichRoeusuário exibido. Observe que na coluna Criado por, o valor está definido como SCIM.

  3. Escolha RichRoe, em Perfil, verificar se os atributos a seguir foram copiados deMicrosoft Entra ID.

    • Nome: Richard

    • Sobrenome: Roe

    • Departamento: Sales

    • Cargo: Marketing Lead

    • Número do funcionário: 12345

    Agora que o usuário de Richard foi criado no IAM Identity Center, você pode atribuí-lo a qualquer conjunto de permissões para poder controlar o nível de acesso que ele tem aos recursos da AWS . Por exemplo, você pode atribuir RichRoeao conjunto de RegionalAdmin permissões usado anteriormente para conceder a Nikki as permissões para gerenciar regiões (consulte Step 2.3) e depois testar seu nível de acesso usando Step 3.5.

Parabéns!

Você configurou com êxito uma conexão SAML entre a Microsoft AWS e verificou que o provisionamento automático está funcionando para manter tudo sincronizado. Agora você pode aplicar o que aprendeu para configurar seu ambiente de produção com mais facilidade.

Se você estiver enfrentando problemas com usuários do Microsoft Entra ID que não estão sincronizando com o IAM Identity Center, talvez seja devido a um problema de sintaxe que o IAM Identity Center sinalizou que acontece quando um novo usuário está sendo adicionado ao IAM Identity Center. Você pode confirmar isso verificando os eventos com falha registrados nos logs de auditoria do Microsoft Entra ID, como uma 'Export'. O Motivo do status para este evento indicará:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Você também pode verificar se AWS CloudTrail o evento falhou. Isso pode ser feito pesquisando no console do Histórico de Eventos ou CloudTrail usando o seguinte filtro:

"eventName":"CreateUser"

O erro no CloudTrail evento indicará o seguinte:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

Em última análise, essa exceção significa que um dos valores passados do Microsoft Entra ID continha mais valores do que previsto. A solução aqui é revisar os atributos do usuário em Microsoft Entra ID, garantindo que nenhum contenha valores duplicados. Um exemplo comum de valores duplicados é ter vários valores presentes para números de contato, como celular, trabalho e fax. Embora sejam valores separados, todos eles são passados para o IAM Identity Center sob o atributo ascendente único PhoneNumbers.

Para obter dicas de solução de problemas em geral, consulte Solução de problemas do IAM Identity Center.

Agora que você configurou o SAML e o SCIM com sucesso, pode optar por configurar o controle de acesso por atributo (ABAC). ABAC é uma estratégia de autorização que define permissões com base em atributos.

Com o Microsoft Entra ID, você pode usar qualquer dos dois métodos a seguir para configurar o ABAC para uso com o IAM Identity Center.

Configure user attributes in Microsoft Inserir ID for access control in IAM Identity Center

Configure os atributos do usuário Microsoft Entra ID para controle de acesso no IAM Identity Center

No procedimento a seguir, você determinará quais atributos Microsoft Entra ID devem ser usados pelo IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Depois de definidos, Microsoft Entra ID envie esses atributos para o IAM Identity Center por meio de asserções SAML. Em seguida, você precisará acessar Criar um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do Microsoft Entra ID.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center.

  2. Escolha Logon único.

  3. Na seção Atributos e declarações, escolha Editar.

  4. Na página Atributos e declarações, faça o seguinte:

    1. Escolha Adicionar nova reivindicação

    2. Em Nome, insira AccessControl:AttributeName. AttributeNameSubstitua pelo nome do atributo que você espera no IAM Identity Center. Por exemplo, AccessControl:Department.

    3. Em Namespace, insira https://aws.amazon.com/SAML/Attributes.

    4. Em Origem, escolha Atributo.

    5. Para Atributo de fonte, use a lista suspensa para escolher os atributos do Microsoft Entra ID usuário. Por exemplo, user.department.

  5. Repita a etapa anterior para cada atributo que você precisa enviar para o IAM Identity Center na declaração SAML.

  6. Escolha Salvar.

Configure ABAC using IAM Identity Center

Configurar o ABAC usando o IAM Identity Center

Com esse método, você usa o recurso Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Você pode usar esse elemento para passar atributos como tags de sessão na asserção SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par de valores-chave da tag Department=billing, use o seguinte atributo:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento Attribute separado para cada tag.