Configurar SAML e SCIM com Microsoft Entra ID e Centro IAM de Identidade - AWS IAM Identity Center
Pré-requisitosConsideraçõesEtapa 1: preparar o locatário da MicrosoftEtapa 2: Prepare sua AWS contaEtapa 3: configurar e testar sua SAML conexãoEtapa 4: configurar e testar sua SCIM sincronizaçãoEtapa 5: Configurar ABAC - OpcionalAtribuir acesso a Contas da AWSSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar SAML e SCIM com Microsoft Entra ID e Centro IAM de Identidade

AWS IAM Identity Center suporta a integração com a Security Assertion Markup Language (SAML) 2.0, bem como o provisionamento automático (sincronização) de informações de usuários e grupos do Microsoft Entra ID (anteriormente conhecido como Azure Active Directory or Azure AD) no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0. Para obter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Objetivo

Neste tutorial, você configurará um laboratório de teste e configurará uma SAML conexão e SCIM provisionamento entre Microsoft Entra ID e IAM Identity Center. Durante as etapas iniciais de preparação, você criará um usuário de teste (Nikki Wolf) em ambos Microsoft Entra ID e o IAM Identity Center, que você usará para testar a SAML conexão nas duas direções. Posteriormente, como parte das SCIM etapas, você criará um usuário de teste diferente (Richard Roe) para verificar se os novos atributos no Microsoft Entra ID estão sincronizando com o IAM Identity Center conforme o esperado.

Pré-requisitos

Antes de começar este tutorial, você precisará definir o seguinte:

Considerações

A seguir estão considerações importantes sobre Microsoft Entra ID isso pode afetar a forma como você planeja implementar o provisionamento automático com o IAM Identity Center em seu ambiente de produção usando o protocolo SCIM v2.

Provisionamento automático

Antes de começar a implantaçãoSCIM, recomendamos que você primeiro analiseConsiderações sobre o uso do provisionamento automático.

Atributos para controle de acesso

Os atributos para controle de acesso são usados em políticas de permissão que determinam quem em sua fonte de identidade pode acessar seus AWS recursos. Se um atributo for removido de um usuário no Microsoft Entra ID, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida em Microsoft Entra ID. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.

Grupos aninhados

A ferramenta Microsoft Entra ID o serviço de aprovisionamento de usuários não consegue ler ou provisionar usuários em grupos aninhados. Somente usuários que são membros imediatos de um grupo atribuído explicitamente podem ser lidos e provisionados. Microsoft Entra ID não descompacta recursivamente as associações de grupos ou usuários atribuídos indiretamente (usuários ou grupos que são membros de um grupo atribuído diretamente). Para obter mais informações, consulte Escopo baseado em atribuições no Microsoft documentação. Como alternativa, você pode usar o IAMIdentity Center ID AD Sync para integrar Active Directory grupos com o IAM Identity Center.

Grupos dinâmicos

A ferramenta Microsoft Entra ID o serviço de provisionamento de usuários pode ler e provisionar usuários em grupos dinâmicos. Veja abaixo um exemplo que mostra a estrutura de usuários e grupos ao usar grupos dinâmicos e como eles são exibidos no IAM Identity Center. Esses usuários e grupos foram provisionados a partir de Microsoft Entra ID no IAM Identity Center via SCIM

Por exemplo, se Microsoft Entra ID a estrutura para grupos dinâmicos é a seguinte:

  1. Grupo A com membros ua1, ua2

  2. Grupo B com membros ub1

  3. Grupo C com membros uc1

  4. Grupo K com uma regra para incluir membros dos Grupos A, B, C

  5. Grupo L com uma regra para incluir membros do Grupos B e C

Depois que as informações do usuário e do grupo forem provisionadas do Microsoft Entra ID no IAM Identity Center por meio deSCIM, a estrutura será a seguinte:

  1. Grupo A com membros ua1, ua2

  2. Grupo B com membros ub1

  3. Grupo C com membros uc1

  4. Grupo K com membros ua1, ua2, ub1, uc1

  5. Grupo L com membros ub1, uc1

Ao configurar o provisionamento automático usando grupos dinâmicos, mantenha as seguintes considerações em mente.

  • Um grupo dinâmico pode incluir um grupo aninhado. No entanto, Microsoft Entra ID o serviço de provisionamento não nivela o grupo aninhado. Por exemplo, se você tiver o seguinte Microsoft Entra ID estrutura para grupos dinâmicos:

    • O grupo A é pai do grupo B.

    • O Grupo A tem ua1 como membro.

    • O grupo B tem ub1 como membro.

O grupo dinâmico que inclui o Grupo A incluirá apenas os membros diretos do grupo A (ou seja, ua1). Não incluirá recursivamente membros do grupo B.

  • Os grupos dinâmicos não podem conter outros grupos dinâmicos. Para obter mais informações, consulte Limitações de visualização no Microsoft documentação.

Etapa 1: preparar o locatário da Microsoft

Nesta etapa, você explicará como instalar e configurar seu aplicativo AWS IAM Identity Center corporativo e atribuir acesso a um aplicativo recém-criado Microsoft Entra ID usuário de teste.

Step 1.1 >

Etapa 1.1: Configurar o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID

Neste procedimento, você instala o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID. Posteriormente, você precisará desse aplicativo para configurar sua SAML conexão com AWS.

  1. Faça login no Centro de administração do Microsoft Entra como, no mínimo, administrador de aplicações de nuvem.

  2. Navegue até Identidade > Aplicações > Aplicações empresariais e escolha Nova aplicação.

  3. Na página Procurar na galeria do Microsoft Entra, insira AWS IAM Identity Center na caixa de pesquisa.

  4. Selecione AWS IAM Identity Center nos resultados.

  5. Escolha Criar.

Step 1.2 >

Etapa 1.2: Criar um usuário de teste no Microsoft Entra ID

Nikki Wolf é o nome do seu Microsoft Entra ID usuário de teste que você criará neste procedimento.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Usuários > Todos os usuários.

  2. Selecione Novo usuário e escolha Criar novo usuário na parte superior da tela.

  3. Em Nome da entidade principal do usuário, insira NikkiWolf e selecione o domínio e a extensão de sua preferência. Por exemplo, NikkiWolf@example.org.

  4. Em Nome de exibição, insira NikkiWolf.

  5. Em Senha, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.

  6. Escolha Propriedades, em Nome, insira Nikki. Em Sobrenome, insira Wolf.

  7. Selecione Revisar + criar e depois Criar.

Step 1.3

Etapa 1.3: Teste a experiência de Nikki antes de atribuir suas permissões a AWS IAM Identity Center

Neste procedimento, você verificará se Nikki consegue fazer login no portal Minha conta da Microsoft.

  1. No mesmo navegador, abra uma nova guia, vá até a página de login do portal Minha conta e insira o endereço de e-mail completo de Nikki. Por exemplo, NikkiWolf@example.org.

  2. Quando solicitado, insira a senha de Nikki e escolha Fazer login. Se essa for uma senha gerada automaticamente, será solicitado que você a altere.

  3. Na página Ação necessária, escolha Perguntar mais tarde para ignorar a solicitação de métodos de segurança adicionais.

  4. Na página Minha conta, no painel de navegação esquerdo, escolha Minhas aplicações. Observe que, além dos Complementos, nenhuma aplicação é exibida no momento. Você adicionará uma aplicação do AWS IAM Identity Center que aparecerá aqui em uma etapa posterior.

Step 1.4

Etapa 1.4: Atribuir permissões à Nikki em Microsoft Entra ID

Agora que você verificou que Nikki pode acessar com sucesso o portal Minha conta, use este procedimento para atribuir o usuário dela à aplicação AWS IAM Identity Center.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center na lista.

  2. No lado esquerdo, escolha Usuários e grupos.

  3. Escolha Add user/group (Adicionar usuário/grupo). Você pode ignorar a mensagem informando que os grupos não estão disponíveis para atribuição. Este tutorial não usa grupos para atribuição.

  4. Na página Adicionar atribuição, em Usuários, escolha Nenhum selecionado.

  5. Selecione e NikkiWolf, em seguida, escolha Selecionar.

  6. Na página Adicionar tarefa, escolha Atribuir. NikkiWolf agora aparece na lista de usuários atribuídos ao AWS IAM Identity Centeraplicativo.

Etapa 2: Prepare sua AWS conta

Nesta etapa, você explicará como usar IAM Identity Centerpara configurar as permissões de acesso (por meio do conjunto de permissões), crie manualmente uma usuária Nikki Wolf correspondente e atribua a ela as permissões necessárias para administrar recursos em. AWS

Step 2.1 >

Etapa 2.1: Criar um conjunto de RegionalAdmin permissões no IAM Identity Center

Esse conjunto de permissões será usado para conceder à Nikki as permissões de AWS conta necessárias para gerenciar regiões na página Conta no AWS Management Console. Todas as outras permissões para visualizar ou gerenciar qualquer outra informação da conta de Nikki são negadas por padrão.

  1. Abra o console do IAM Identity Center.

  2. Em Permissões de várias contas, escolha Conjuntos de permissões.

  3. Escolha Create permission set (Criar conjunto de permissões).

  4. Em Selecionar tipo de conjunto de permissões, selecione Conjunto de permissões personalizado e escolha Avançar.

  5. Selecione Política em linha para expandi-la e crie uma política para o conjunto de permissões usando as seguintes etapas:

    1. Escolha Adicionar nova instrução para criar uma instrução de política.

    2. Em Editar instrução, selecione Conta na lista e escolha as caixas de seleção a seguir.

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. Ao lado de Add a resource (Adicionar um recurso), escolha Add (Adicionar).

    4. Na página Adicionar recurso, em Tipo de recurso, selecione Todos os recursos e escolha Adicionar recurso. Confirme se a política é semelhante à seguinte:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. Escolha Próximo.

  7. Na página Especificar detalhes do conjunto de permissões, em Nome do conjunto de permissões, insira RegionalAdmin e escolha Avançar.

  8. Na página Review and create (Revisar e criar), escolha Create (Criar). Você deve ser RegionalAdminexibido na lista de conjuntos de permissões.

Step 2.2 >

Etapa 2.2: Criar um NikkiWolf usuário correspondente no IAM Identity Center

Como o SAML protocolo não fornece um mecanismo para consultar o IdP (Microsoft Entra ID) e crie usuários automaticamente aqui no IAM Identity Center, use o procedimento a seguir para criar manualmente um usuário no IAM Identity Center que espelhe os principais atributos do usuário de Nikki Wolfs em Microsoft Entra ID.

  1. Abra o console do IAM Identity Center.

  2. Escolha Usuários, depois Adicionar usuário e forneça as seguintes informações:

    1. Para nome de usuário e endereço de e-mail — insira o mesmo NikkiWolf@ yourcompanydomain.extension que você usou ao criar seu Microsoft Entra ID usuário. Por exemplo, NikkiWolf@example.org.

    2. Confirmar o endereço de e-mail: insira novamente o endereço de e-mail da etapa anterior

    3. Primeiro nome: insira Nikki

    4. Sobrenome: insira Wolf

    5. Nome de exibição: insira Nikki Wolf

  3. Escolha Avançar e depois Adicionar usuário.

  4. Selecione Fechar.

Step 2.3

Etapa 2.3: Atribuir Nikki ao conjunto de RegionalAdmin permissões em IAM Identity Center

Aqui você localiza a região Conta da AWS na qual Nikki administrará as regiões e, em seguida, atribuirá as permissões necessárias para que ela acesse com sucesso o portal de AWS acesso.

  1. Abra o console do IAM Identity Center.

  2. Em Permissões de várias contas, escolha Contas da AWS.

  3. Marque a caixa de seleção ao lado do nome da conta (por exemplo,Sandbox) na qual você deseja conceder à Nikki acesso para gerenciar regiões e, em seguida, escolha Atribuir usuários e grupos.

  4. Na página Atribuir usuários e grupos, escolha a guia Usuários, localize e marque a caixa ao lado de Nikki e escolha Avançar.

Etapa 3: configurar e testar sua SAML conexão

Nesta etapa, você configura sua SAML conexão usando o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID junto com as configurações de IdP externo no IAM Identity Center.

Step 3.1 >

Etapa 3.1: Coletar os metadados necessários do provedor de serviços no IAM Identity Center

Nesta etapa, você iniciará o assistente de alteração da fonte de identidade no console do IAM Identity Center e recuperará o arquivo de metadados e o login AWS específico URL que você precisará inserir ao configurar a conexão com Microsoft Entra ID na próxima etapa.

  1. No console do IAM Identity Center, escolha Configurações.

  2. Na página Configurações, escolha a guia Origem da identidade e, em seguida, escolha Ações > Alterar origem da identidade.

  3. Em Escolher fonte de identidades, selecione Provedor de identidades externo e escolha Avançar.

  4. Na página Configurar provedor de identidade externo, em Metadados do provedor de serviços, escolha Baixar arquivo de metadados para baixar o XML arquivo.

  5. Na mesma seção, localize o URL valor de login do portal de AWS acesso e copie-o. Você precisará inserir esse valor quando solicitado na próxima etapa.

  6. Deixe essa página aberta e vá para a próxima etapa (Step 3.2) para configurar o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID. Posteriormente, você retornará a essa página para concluir o processo.

Step 3.2 >

Etapa 3.2: Configurar o aplicativo AWS IAM Identity Center corporativo no Microsoft Entra ID

Esse procedimento estabelece metade da SAML conexão no lado da Microsoft usando os valores do arquivo de metadados e do Sign-On URL que você obteve na última etapa.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center.

  2. No painel esquerdo, selecione 2. Configurar autorização única.

  3. Na SAML página Configurar login único com, escolha. SAML Na página Carregar arquivo de metadados, escolha o ícone de pasta, selecione o arquivo de metadados do provedor de serviços que você baixou na etapa anterior e escolha Adicionar.

  4. Na página SAMLConfiguração básica, verifique se os URL valores de Identificador e Resposta agora apontam para endpoints AWS que começam comhttps://<REGION>.signin.aws.amazon.com/platform/saml/.

  5. Em Entrar URL (Opcional), cole o URL valor de login do portal de AWS acesso que você copiou na etapa anterior (Step 3.1), escolha Salvar e, em seguida, escolha X para fechar a janela.

  6. Se solicitado a testar o login único com AWS IAM Identity Center, escolha Não, vou testar mais tarde. Você fará essa verificação em uma etapa posterior.

  7. Na SAML página Configurar login único com, na seção SAMLCertificados, ao lado de Metadados da Federação XML, escolha Baixar para salvar o arquivo de metadados em seu sistema. Você precisará inserir esse arquivo quando solicitado na próxima etapa.

Step 3.3 >

Etapa 3.3: Configurar o Microsoft Entra ID entrada de IdP externo AWS IAM Identity Center

Aqui, você retornará ao assistente Alterar fonte de IAM identidade no console do Identity Center para concluir a segunda metade da SAML conexão em AWS.

  1. Retorne à sessão do navegador que você deixou aberta Step 3.1no console do IAM Identity Center.

  2. Na página Configurar provedor de identidade externo, na seção Metadados do provedor de identidade, em Metadados do SAMLIdP, escolha o botão Escolher arquivo e selecione o arquivo de metadados do provedor de identidade que você baixou do Microsoft Entra ID na etapa anterior e, em seguida, escolha Abrir.

  3. Escolha Próximo.

  4. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ACCEPT.

  5. Escolha Alterar fonte de identidades para aplicar as alterações.

Step 3.4 >

Etapa 3.4: testar se Nikki é redirecionada para o Portal de acesso do AWS

Neste procedimento, você testará a SAML conexão entrando no portal Minha Conta da Microsoft com as credenciais de Nikki. Depois de autenticado, você selecionará o AWS IAM Identity Center aplicativo que redirecionará Nikki para o AWS portal de acesso.

  1. Vá até página de login do portal Minha conta e insira o endereço de e-mail completo de Nikki. Por exemplo, NikkiWolf@example.org.

  2. Quando solicitado, insira a senha de Nikki e escolha Fazer login.

  3. Na página Minha conta, no painel de navegação esquerdo, escolha Minhas aplicações.

  4. Na página Minhas aplicações, selecione a aplicação denominada AWS IAM Identity Center. Deve ser solicitado que você faça uma autenticação adicional.

  5. Na página de login da Microsoft, escolha suas NikkiWolf credenciais. Se a autenticação for solicitada pela segunda vez, escolha suas NikkiWolf credenciais novamente. Isso deve redirecioná-lo automaticamente para o portal de AWS acesso.

    dica

    Se você não for redirecionado com sucesso, verifique se o valor de login do portal de AWS acesso inserido Step 3.2corresponde ao URL valor do qual você copiou. Step 3.1

  6. Verifique se sua Contas da AWS tela.

    dica

    Se a página estiver vazia e sem Contas da AWS exibição, confirme se Nikki foi atribuída com sucesso ao conjunto de RegionalAdminpermissões (consulte Step 2.3).

Step 3.5

Etapa 3.5: testar o nível de acesso de Nikki para gerenciar sua Conta da AWS

Nesta etapa, você verificará o nível de acesso de Nikki para gerenciar as configurações de região para sua Conta da AWS. Nikki deve ter apenas privilégios de administrador suficientes para gerenciar regiões na página Contas.

  1. No portal de AWS acesso, escolha a guia Contas para exibir a lista de contas. Os nomes das contasIDs, contas e endereços de e-mail associados a todas as contas nas quais você definiu conjuntos de permissões são exibidos.

  2. Escolha o nome da conta (por exemplo,Sandbox) em que você aplicou o conjunto de permissões (consulte Step 2.3). Isso expandirá a lista de conjuntos de permissões que Nikki pode escolher para gerenciar sua conta.

  3. Em seguida, RegionalAdminescolha Console de gerenciamento para assumir a função que você definiu no conjunto de RegionalAdminpermissões. Isso redirecionará você para a página inicial do AWS Management Console .

  4. No canto superior direito do console, escolha o nome da sua conta e depois Conta. Isso levará você para a página Conta. Observe que todas as outras seções desta página exibem uma mensagem informando que você não tem as permissões necessárias para visualizar ou modificar essas configurações.

  5. Na página Conta, role para baixo até a seção Regiões da AWS . Marque uma caixa de seleção de qualquer região disponível na tabela. Observe que Nikki tem as permissões necessárias para habilitar ou desabilitar a lista de regiões de sua conta como pretendido.

Muito bem!

As etapas 1 a 3 ajudaram você a implementar e testar sua SAML conexão com sucesso. Agora, para concluir o tutorial, recomendamos que você passe para a etapa 4 para implementar o provisionamento automático.

Etapa 4: configurar e testar sua SCIM sincronização

Nesta etapa, você configurará o provisionamento automático (sincronização) das informações do usuário do Microsoft Entra ID no IAM Identity Center usando o protocolo SCIM v2.0. Você configura essa conexão no Microsoft Entra ID usando seu SCIM endpoint para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center.

Ao configurar a SCIM sincronização, você cria um mapeamento dos atributos do usuário no Microsoft Entra ID aos atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e Microsoft Entra ID.

As etapas a seguir explicam como habilitar o provisionamento automático de usuários que residem principalmente em Microsoft Entra ID para o IAM Identity Center usando o aplicativo IAM Identity Center em Microsoft Entra ID.

Step 4.1 >

Etapa 4.1: Criar um segundo usuário de teste no Microsoft Entra ID

Para fins de teste, você criará um novo usuário (Richard Roe) em Microsoft Entra ID. Posteriormente, depois de configurar a SCIM sincronização, você testará se esse usuário e todos os atributos relevantes foram sincronizados com êxito com o IAM Identity Center.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Usuários > Todos os usuários.

  2. Selecione Novo usuário e escolha Criar novo usuário na parte superior da tela.

  3. Em Nome da entidade principal do usuário, insira RichRoe e selecione o domínio e a extensão de sua preferência. Por exemplo, RichRoe@example.org.

  4. Em Nome de exibição, insira RichRoe.

  5. Em Senha, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.

  6. Selecione Propriedades e forneça os seguintes valores:

    • Nome: insira Richard

    • Sobrenome: insira Roe

    • Cargo: insira Marketing Lead

    • Departamento: insira Sales

    • ID do funcionário: insira 12345

  7. Selecione Revisar + criar e depois Criar.

Step 4.2 >

Etapa 4.2: Habilitar o provisionamento automático no Identity Center IAM

Neste procedimento, você usará o console do IAM Identity Center para habilitar o provisionamento automático de usuários e grupos provenientes de Microsoft Entra ID no IAM Identity Center.

  1. Abra o console do IAM Identity Center e escolha Configurações no painel de navegação esquerdo.

  2. Na página Configurações, na guia Fonte de identidades, observe que Método de aprovisionamento está definido como Manual.

  3. Localize a caixa de informações Provisionamento automático e escolha Habilitar. Isso ativa imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do SCIM endpoint e do token de acesso.

  4. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los na próxima etapa ao configurar o provisionamento no Microsoft Entra ID.

    1. SCIMendpoint - Por exemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Essa é a única vez em que você pode obter o SCIM endpoint e o token de acesso. Certifique-se de copiar esses valores antes de prosseguir.

  5. Escolha Fechar.

  6. Na guia Fonte de identidade, observe que o método de provisionamento agora está definido como. SCIM

Step 4.3 >

Etapa 4.3: Configurar o provisionamento automático no Microsoft Entra ID

Agora que você tem seu usuário de RichRoe teste instalado e habilitado SCIM no IAM Identity Center, você pode continuar com a configuração das configurações de SCIM sincronização no Microsoft Entra ID.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center.

  2. Escolha Provisionamento em Gerenciar e depois escolha Provisionamento novamente.

  3. Em Modo de aprovisionamento, selecione Automático.

  4. Em Credenciais do administrador, em Locatário, URL cole o URL valor do SCIMendpoint que você copiou anteriormente. Step 4.2 Em Token secreto, cole o valor do token de acesso.

  5. Escolha Test Connection (Testar conexão). Você deve ver uma mensagem indicando que as credenciais testadas foram autorizadas com sucesso a habilitar o provisionamento.

  6. Escolha Salvar.

  7. Em Gerenciar, escolha Usuários e grupos e depois escolha Adicionar usuário/grupo.

  8. Na página Adicionar atribuição, em Usuários, escolha Nenhum selecionado.

  9. Selecione e RichRoe, em seguida, escolha Selecionar.

  10. Na página Add Assignment (Adicionar atribuição), escolha Assign (Atribuir).

  11. Escolha Visão geral e depois Iniciar provisionamento.

Step 4.4

Etapa 4.4: verificar se a sincronização ocorreu

Nesta seção, você verificará se o usuário de Richard foi provisionado com sucesso e se todos os atributos são exibidos no IAM Identity Center.

  1. No console do IAM Identity Center, escolha Usuários.

  2. Na página Usuários, você deve ver seu RichRoeusuário exibido. Observe que na coluna Criado por, o valor está definido como SCIM.

  3. Escolha RichRoe, em Perfil, verificar se os seguintes atributos foram copiados de Microsoft Entra ID.

    • Nome: Richard

    • Sobrenome: Roe

    • Departamento: Sales

    • Cargo: Marketing Lead

    • Número do funcionário: 12345

    Agora que o usuário de Richard foi criado no IAM Identity Center, você pode atribuí-lo a qualquer conjunto de permissões para poder controlar o nível de acesso que ele tem aos seus AWS recursos. Por exemplo, você pode atribuir RichRoeao conjunto de RegionalAdmin permissões usado anteriormente para conceder a Nikki as permissões para gerenciar regiões (consulte Step 2.3) e depois testar seu nível de acesso usando Step 3.5.

Parabéns!

Você configurou com êxito uma SAML conexão entre a Microsoft AWS e verificou que o provisionamento automático está funcionando para manter tudo sincronizado. Agora você pode aplicar o que aprendeu para configurar seu ambiente de produção com mais facilidade.

Etapa 5: Configurar ABAC - Opcional

Agora que você configurou SAML eSCIM, opcionalmente, pode optar por configurar o controle de acesso baseado em atributos (). ABAC ABACé uma estratégia de autorização que define permissões com base em atributos.

With Microsoft Entra ID, você pode usar um dos dois métodos a seguir para configurar ABAC para uso com o IAM Identity Center.

Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center

Configurar atributos do usuário em Microsoft Entra ID para controle de acesso no IAM Identity Center

No procedimento a seguir, você determinará quais atributos em Microsoft Entra ID deve ser usado pelo IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Uma vez definido, Microsoft Entra ID envia esses atributos para o IAM Identity Center por meio de SAML afirmações. Em seguida, você precisará, Criar um conjunto de permissões no IAM Identity Center, gerenciar o acesso com base nos atributos dos quais você passou. Microsoft Entra ID.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

  1. No console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicações > Aplicações empresariais e escolha AWS IAM Identity Center.

  2. Escolha Logon único.

  3. Na seção Atributos e declarações, escolha Editar.

  4. Na página Atributos e declarações, faça o seguinte:

    1. Escolha Adicionar nova reivindicação

    2. Em Nome, insira AccessControl:AttributeName. AttributeNameSubstitua pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, AccessControl:Department.

    3. Em Namespace, insira https://aws.amazon.com/SAML/Attributes.

    4. Em Origem, escolha Atributo.

    5. Para o atributo Source, use a lista suspensa para escolher Microsoft Entra ID atributos do usuário. Por exemplo, user.department.

  5. Repita a etapa anterior para cada atributo que você precisa enviar ao IAM Identity Center na SAML declaração.

  6. Escolha Salvar.

Configure ABAC using IAM Identity Center

Configurar ABAC usando o IAM Identity Center

Com esse método, você usa o Atributos para controle de acesso recurso no IAM Identity Center para passar um Attribute elemento com o Name atributo definido comohttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Você pode usar esse elemento para passar atributos como tags de sessão na SAML declaração. Para obter mais informações sobre tags de sessão, consulte Transmitir tags de sessão AWS STS no Guia IAM do usuário.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par de valores-chave da tag Department=billing, use o seguinte atributo:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento Attribute separado para cada tag.

Atribuir acesso a Contas da AWS

As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.

Etapa 1: IAM Identity Center: Grant Microsoft Entra ID acesso dos usuários às contas

  1. Retorne ao console do IAM Identity Center. No painel de navegação do IAM Identity Center, em Permissões de várias contas, escolha. Contas da AWS

  2. Na página Contas da AWS, a Estrutura organizacional exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

  3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

    1. Em Etapa 1: selecionar usuários e grupos, escolha o usuário que desempenhará a função de administrador. Escolha Próximo.

    2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

        • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

        • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

        Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

        As configurações padrão criam um conjunto de permissões chamado AdministratorAccess com a duração da sessão definida em uma hora.

      3. Para a Etapa 3: revisar e criar, verifique se o tipo de conjunto de permissões usa a política AWS gerenciada AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      4. Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      5. Na área Conjuntos de permissões, escolha o botão Atualizar. O conjunto de AdministratorAccess permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

    3. Em Etapa 3: revisar e enviar, revise o usuário e o conjunto de permissões selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a AdministratorAccess função.

Etapa 2: Microsoft Entra ID: Confirmar Microsoft Entra ID acesso dos usuários aos AWS recursos

  1. Retorne ao Microsoft Entra IDconsole e navegue até seu aplicativo de login SAML baseado no IAM Identity Center.

  2. Selecione Usuários e grupos e selecione Adicionar usuários ou grupos. Você adicionará o usuário que você criou neste tutorial na Etapa 4 ao Microsoft Entra ID aplicativo. Ao adicionar o usuário, você permitirá que ele faça login. AWS Procure o usuário que você criou na Etapa 4. Se você seguisse esta etapa, seriaRichardRoe.

    1. Para uma demonstração, consulte Federar sua instância existente do IAM Identity Center com Microsoft Entra ID

Solução de problemas

Para fins gerais SCIM e de SAML solução de problemas com Microsoft Entra ID, consulte as seções a seguir:

Problemas de sincronização com Microsoft Entra ID e Centro IAM de Identidade

Se você estiver tendo problemas com Microsoft Entra ID usuários que não estão sincronizando com o IAM Identity Center, pode ser devido a um problema de sintaxe que o IAM Identity Center sinalizou quando um novo usuário está sendo adicionado ao IAM Identity Center. Você pode confirmar isso verificando o Microsoft Entra ID registros de auditoria para eventos com falha, como um'Export'. O Motivo do status para este evento indicará:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

Você também pode verificar se AWS CloudTrail o evento falhou. Isso pode ser feito pesquisando no console do Histórico de Eventos ou CloudTrail usando o seguinte filtro:

"eventName":"CreateUser"

O erro no CloudTrail evento indicará o seguinte:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

Em última análise, essa exceção significa que um dos valores passados de Microsoft Entra ID continha mais valores do que o previsto. A solução é revisar os atributos do usuário no Microsoft Entra ID, garantindo que nenhum contenha valores duplicados. Um exemplo comum de valores duplicados é ter vários valores presentes para números de contato, como celular, trabalho e fax. Embora sejam valores separados, todos eles são passados para o IAM Identity Center sob o atributo pai único phoneNumbers.

Para obter dicas gerais SCIM de solução de problemas, consulte Solução de problemas.

Microsoft Entra ID Sincronização da conta de convidado

Se você quiser sincronizar seu Microsoft Entra ID usuários convidados do IAM Identity Center, consulte o procedimento a seguir.

Microsoft Entra ID o e-mail dos usuários convidados é diferente de Microsoft Entra ID usuários. Essa diferença causa problemas ao tentar sincronizar Microsoft Entra ID usuários convidados com o IAM Identity Center. Por exemplo, veja o seguinte endereço de e-mail de um usuário convidado:

exampleuser_domain.com#EXT@domain.onmicrosoft.com.

IAMO Identity Center espera que o endereço de e-mail de um usuário não contenha o EXT@domain formato.

  1. Faça login no console do Centro de administração do Microsoft Entra, navegue até Identidade > Aplicativos > Aplicativos empresariais e escolha AWS IAM Identity Center

  2. Navegue até a guia Autenticação única no painel esquerdo.

  3. Selecione Editar, que aparece ao lado de Atributos e declarações do usuário.

  4. Selecione Identificador exclusivo do usuário (ID do nome) após Declarações obrigatórias.

  5. Você criará duas condições de reclamação para seu Microsoft Entra ID usuários e usuários convidados:

    1. Para Microsoft Entra ID usuários, crie um tipo de usuário para membros com o atributo de origem definido como user.userprincipalname.

    2. Para Microsoft Entra ID usuários convidados, crie um tipo de usuário para convidados externos com o atributo de origem definido comouser.mail.

    3. Selecione Salvar e tente entrar novamente como Microsoft Entra ID usuário convidado.

Recursos adicionais

Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:

  • AWS re:Post- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.

  • AWS Support: obter suporte técnico