Considerações para alterar sua fonte de identidade

Atribuições removidas e usuários e grupos excluídos: alterar sua fonte de identidade para o Active Directory exclui seus usuários e grupos do diretório do Identity Center. Essa alteração também remove suas atribuições. Nesse caso, depois de mudar para o Active Directory, você deve sincronizar seus usuários e grupos do Active Directory no diretório do Identity Center e, em seguida, reaplicar suas atribuições.

Se você optar por não usar o Active Directory, deverá criar seus usuários e grupos no diretório do Identity Center e, em seguida, fazer as atribuições.

As atribuições não são excluídas quando as identidades são excluídas: quando as identidades são excluídas no diretório do Identity Center, as atribuições correspondentes também são excluídas no IAM Identity Center. No entanto, no Active Directory, quando as identidades são excluídas (no Active Directory ou nas identidades sincronizadas), as atribuições correspondentes não são excluídas.

Sem sincronização de saída para APIs: se você usa o Active Directory como sua fonte de identidade, recomendamos que utilize as APIs Criar, Atualizar e Excluir com cuidado. O IAM Identity Center não oferece suporte à sincronização de saída, portanto, sua fonte de identidade não é atualizada automaticamente com as alterações que você faz nos usuários ou grupos usando essas APIs.

A URL do portal de acesso mudará — Alterar sua fonte de identidade entre o IAM Identity Center e o Active Directory também altera a URL do portal de AWS acesso.

A expiração da sessão de usuário existente pode levar até duas horas — Depois que os usuários e grupos são excluídos do diretório do Identity Center, os usuários com sessões ativas podem continuar acessando o portal de AWS acesso e os AWS aplicativos integrados por até duas horas. Para obter informações sobre a duração da sessão de autenticação e o comportamento do usuário, consulteAutenticação no IAM Identity Center.

As atribuições e associações funcionam com as afirmações corretas — suas atribuições de usuário, atividades em grupo e associações em grupo continuam funcionando, desde que o novo IdP envie as afirmações corretas (por exemplo, SAML NameIDs). Essas afirmações devem corresponder aos nomes de usuário e grupos no IAM Identity Center.

Sem sincronização de saída — o IAM Identity Center não oferece suporte à sincronização de saída, portanto, seu IdP externo não será atualizado automaticamente com as alterações feitas nos usuários e grupos que você fizer no IAM Identity Center.

Provisionamento do SCIM — se você estiver usando o provisionamento do SCIM, as alterações nos usuários e grupos no seu provedor de identidade serão refletidas somente no IAM Identity Center depois que seu provedor de identidade enviar essas alterações para o IAM Identity Center. Consulte Considerações sobre o uso do provisionamento automático.

Reversão — você pode reverter sua fonte de identidade para usar o IAM Identity Center a qualquer momento. Consulte Mudar de um IdP externo para o IAM Identity Center.

As sessões de usuário existentes são revogadas na expiração da duração da sessão — Depois que você altera sua fonte de identidade para um provedor de identidade externo, as sessões ativas do usuário persistem pelo restante da duração máxima da sessão configurada no console. Por exemplo, se a duração da sessão do portal de AWS acesso for definida como oito horas e você tiver alterado a fonte de identidade na quarta hora, as sessões de usuário ativas persistirão por mais quatro horas. Para revogar sessões de usuário, consulteExclua sessões de usuário ativas para o AWS portal de acesso e AWS aplicativos integrados.

Se os usuários forem excluídos ou desativados no console do IAM Identity Center, usando as APIs do Identity Store ou o provisionamento do SCIM, os usuários com sessões ativas poderão continuar acessando o portal de AWS acesso e os AWS aplicativos integrados por até duas horas.

O IAM Identity Center preserva todas as suas atribuições.

Forçar a redefinição de senha: os usuários que tinham senhas no IAM Identity Center podem continuar fazendo login com suas senhas antigas. Para usuários que estavam no IdP externo e não estavam no IAM Identity Center, um administrador deve forçar uma redefinição de senha.

As sessões de usuário existentes são revogadas no vencimento da duração da sessão — Depois que você altera sua fonte de identidade para o IAM Identity Center, as sessões ativas do usuário persistem pela duração restante da sessão máxima configurada no console. Por exemplo, se a duração da sessão do portal de AWS acesso for de oito horas e você tiver alterado a fonte de identidade na quarta hora, as sessões de usuário ativas continuarão sendo executadas por mais quatro horas. Para revogar sessões de usuário, consulteExclua sessões de usuário ativas para o AWS portal de acesso e AWS aplicativos integrados.

Se os usuários forem excluídos ou desativados no console do IAM Identity Center, usando as APIs do Identity Store ou o provisionamento do SCIM, os usuários com sessões ativas poderão continuar acessando o portal de AWS acesso e os AWS aplicativos integrados por até duas horas.

Atribuições e associações funcionam com afirmações corretas: o IAM Identity Center preserva todos as suas atribuições. As atribuições do usuário, as atribuições de grupo e as associações de grupos continuam funcionando, desde que o novo IdP envie as afirmações corretas (por exemplo, SAML NameIDs).

Essas afirmações devem corresponder aos nomes de usuário no IAM Identity Center quando seus usuários se autenticam por meio do novo IdP externo.

Provisionamento do SCIM — Se você estiver usando o SCIM para provisionamento no IAM Identity Center, recomendamos que você revise as informações específicas do IdP neste guia e a documentação fornecida pelo IdP para garantir que o novo provedor corresponda corretamente aos usuários e grupos quando o SCIM estiver ativado.

As sessões de usuário existentes são revogadas na expiração da duração da sessão — Depois que você altera sua fonte de identidade para um provedor de identidade externo diferente, as sessões ativas do usuário persistem pelo restante da duração máxima da sessão configurada no console. Por exemplo, se a duração da sessão do portal de AWS acesso for de oito horas e você tiver alterado a fonte de identidade na quarta hora, as sessões de usuário ativas persistirão por mais quatro horas. Para revogar sessões de usuário, consulteExclua sessões de usuário ativas para o AWS portal de acesso e AWS aplicativos integrados.

Se os usuários forem excluídos ou desativados no console do IAM Identity Center, usando as APIs do Identity Store ou o provisionamento do SCIM, os usuários com sessões ativas poderão continuar acessando o portal de AWS acesso e os AWS aplicativos integrados por até duas horas.

Usuários, grupos e atribuições são excluídos: todos os usuários, grupos e atribuições são excluídos do IAM Identity Center. Nenhuma informação de usuário ou grupo é afetada no IdP externo ou no Active Directory.

Provisionamento de usuários: se você mudar para um IdP externo, deverá configurar o IAM Identity Center para provisionar seus usuários. Como alternativa, você deve provisionar manualmente os usuários e grupos para o IdP externo antes de poder configurar as atribuições.

Criar atribuições e grupos: se você mudar para o Active Directory, deverá criar atribuições com os usuários e grupos que estão no seu diretório no Active Directory.

A expiração das sessões de usuário existentes pode levar até duas horas — Depois que os usuários e grupos são excluídos do diretório do Identity Center, os usuários com sessões ativas podem continuar acessando o portal de AWS acesso e os AWS aplicativos integrados por até duas horas. Para obter informações sobre a duração da sessão de autenticação e o comportamento do usuário, consulteAutenticação no IAM Identity Center.