Gerenciar um provedor de identidades externo - AWS IAM Identity Center

Gerenciar um provedor de identidades externo

Com o IAM Identity Center, você pode conectar as identidades existentes da sua força de trabalho de provedores de identidades (IdPs) externos por meio dos protocolos Security Assertion Markup Language (SAML) 2.0 e System for Cross-Domain Identity Management (SCIM). Isso permite que seus usuários façam login no portal de acesso da AWS com suas credenciais corporativas. Eles podem então navegar até suas contas, funções e aplicativos atribuídos hospedados em IdPs externos.

Por exemplo, você pode conectar um IdP externo, como o Okta ou o Microsoft Entra ID (AD), ao IAM Identity Center. Seus usuários podem então entrar no portal de acesso da AWS com suas credenciais do Okta ou Microsoft Entra ID existentes. Para controlar o que os usuários podem fazer após fazerem login, você pode atribuir a eles permissões de acesso centralmente em todas as contas e aplicações da sua organização da AWS. Além disso, os desenvolvedores podem simplesmente fazer login no AWS Command Line Interface (AWS CLI) usando suas credenciais existentes e se beneficiar da geração e rotatividade automáticas de credenciais de curto prazo.

Se você estiver usando um diretório autogerenciado no Active Directory ou em um AWS Managed Microsoft AD, consulte Conectar-se a um diretório Microsoft AD.

nota

O protocolo SAML não fornece uma forma de consultar o IdP para saber mais sobre usuários e grupos. Portanto, você deve informar o IAM Identity Center sobre esses usuários e grupos, provisionando-os no IAM Identity Center.

Provisionamento quando os usuários vêm de um IdP externo

Quando estiver usando um IdP externo, você deverá provisionar todos os usuários e grupos para o IAM Identity Center antes de poder fazer qualquer atribuição a aplicações ou Contas da AWS. Para fazer isso, você pode configurar o Provisionamento de um provedor de identidades externo no IAM Identity Center usando SCIM para usuários e grupos ou usar o Provisionamento manual. Independentemente de como você provisiona usuários, o IAM Identity Center redireciona o AWS Management Console, a linha de comando da interface e a autenticação do aplicativo para seu IdP externo. Em seguida, o IAM Identity Center concede acesso a esses recursos com base nas políticas que você cria no IAM Identity Center. Para obter mais informações sobre provisionamento, consulte Provisionamento de usuários e grupos.