Conecte-se a um provedor de identidades externo - AWS IAM Identity Center
Provisionamento quando os usuários vêm de um IdP externoComo se conectar a um provedor de identidades externo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte-se a um provedor de identidades externo

Se você estiver usando um diretório autogerenciado no Active Directory ou em um AWS Managed Microsoft AD, consulteConectar-se a um diretório Microsoft AD. Para outros provedores de identidade externos (IdPs), você pode usar AWS IAM Identity Center para autenticar identidades IdPs por meio do padrão Security Assertion Markup Language (SAML) 2.0. Isso permite que seus usuários entrem no portal de AWS acesso com suas credenciais corporativas. Eles podem então navegar até suas contas, funções e aplicativos atribuídos hospedados externamente IdPs.

Por exemplo, você pode conectar um IdP externo, como o Okta ou o Microsoft Entra ID (AD), ao IAM Identity Center. Seus usuários podem então entrar no portal de AWS acesso com suas Microsoft Entra ID credenciais Okta ou existentes. Para controlar o que seus usuários podem fazer depois de entrarem, você pode atribuir a eles permissões de acesso centralmente em todas as contas e aplicativos AWS da sua organização. Além disso, os desenvolvedores podem simplesmente entrar no AWS Command Line Interface (AWS CLI) usando suas credenciais existentes e se beneficiar da geração e rotação automáticas de credenciais de curto prazo.

O protocolo SAML não fornece uma forma de consultar o IdP para aprender sobre usuários e grupos. Portanto, você deve informar o IAM Identity Center sobre esses usuários e grupos, provisionando-os no IAM Identity Center.

Provisionamento quando os usuários vêm de um IdP externo

Ao usar um IdP externo, você deve provisionar todos os usuários e grupos aplicáveis no IAM Identity Center antes de poder fazer qualquer atribuição ou aplicativo. Contas da AWS Para fazer isso, você pode configurar o Provisionamento automático para usuários e grupos ou usar o Provisionamento manual. Independentemente de como você provisiona usuários, o IAM Identity Center redireciona a interface da AWS Management Console linha de comando e a autenticação do aplicativo para seu IdP externo. Em seguida, o IAM Identity Center concede acesso a esses recursos com base nas políticas que você cria no IAM Identity Center. Para obter mais informações sobre provisionamento, consulte Provisionamento de usuários e grupos.

Como se conectar a um provedor de identidades externo

Há step-by-step tutoriais disponíveis para os apoiados: IdPs

Existem diferentes pré-requisitos, considerações e procedimentos de provisionamento para os diferentes dispositivos externos suportados. IdPs O procedimento a seguir apresenta uma visão geral do procedimento usado com todos os provedores de identidades externos.

Conectar-se a um provedor de identidades externo

  1. Abra o console do IAM Identity Center.

  2. Escolha Configurações.

  3. Na página Configurações, escolha a guia Origem da identidade e, em seguida, escolha Ações > Alterar origem da identidade.

  4. Em Escolher fonte de identidade, selecione Escolher fonte de identidade e, depois, Próximo.

  5. Em Configurar provedor de identidades externo, faça o seguinte:

    1. Em Metadados do provedor de serviços, escolha Baixar arquivo de metadados para baixar o arquivo de metadados e salvá-lo em seu sistema. O arquivo de metadados SAML do IAM Identity Center é exigido pelo seu provedor de identidades externo.

    2. Em Metadados do provedor de identidades, selecione Escolher arquivo e localize o arquivo de metadados que você baixou do seu provedor de identidades externo. Em seguida, faça upload do arquivo. Esse arquivo de metadados contém o certificado x509 público necessário usado para confiar em mensagens enviadas do IdP.

    3. Escolha Próximo.

    Importante

    Alterar sua fonte para ou do Active Directory remove todas as atribuições existentes de usuários e grupos. Você deve reaplicar manualmente os exercícios depois de alterar sua fonte com sucesso.

  6. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ACEITAR.

  7. Escolha Alterar origem de identidade. Uma mensagem de status informa que você alterou com sucesso a fonte de identidades.

Tópicos