Provisionando um provedor de identidade externo no IAM Identity Center usando SCIM

Se você estiver provisionando um endereço de e-mail principal, esse valor de atributo deverá ser exclusivo para cada usuário. Em alguns casos IdPs, o endereço de e-mail principal pode não ser um endereço de e-mail real. Por exemplo, pode ser um nome principal universal (UPN) que se parece apenas com um e-mail. Eles IdPs podem ter um endereço de e-mail secundário ou “outro” que contém o endereço de e-mail real do usuário. Você deve configurar SCIM em seu IdP para mapear o endereço de e-mail exclusivo não NULL para o atributo de endereço de e-mail principal do IAM Identity Center. E você deve mapear o identificador de login exclusivo não NULL do usuário para o atributo de nome de usuário do IAM Identity Center. Verifique se o seu IdP tem um valor único que seja o identificador de login e o nome de e-mail do usuário. Nesse caso, você pode mapear esse campo IdP para o e-mail principal do IAM Identity Center e para o nome de usuário do IAM Identity Center.

Para que a SCIM sincronização funcione, cada usuário deve ter um valor especificado para nome, sobrenome, nome de usuário e nome de exibição. Se algum desses valores estiver ausente de um usuário, esse usuário não será provisionado.

Se você precisar usar aplicativos de terceiros, primeiro precisará mapear o atributo de SAML assunto de saída para o atributo de nome de usuário. Se o aplicativo de terceiros precisar de um endereço de e-mail roteável, você deverá fornecer o atributo de e-mail ao seu IdP.

SCIMos intervalos de provisionamento e atualização são controlados pelo seu provedor de identidade. As alterações nos usuários e grupos em seu provedor de identidade só são refletidas no IAM Identity Center depois que seu provedor de identidade envia essas alterações para o IAM Identity Center. Consulte seu provedor de identidades para obter detalhes sobre a frequência das atualizações de usuários e grupos.

Atualmente, atributos de vários valores (como vários e-mails ou números de telefone de um determinado usuário) não são provisionados com. SCIM As tentativas de sincronizar atributos de vários valores no IAM Identity Center com falharão. SCIM Para evitar falhas, certifique-se de que somente um único valor seja passado para cada atributo. Se você tiver usuários com atributos de vários valores, remova ou modifique os mapeamentos de atributos duplicados em seu IdP para a SCIM conexão com o Identity Center. IAM

Verifique se o externalId SCIM mapeamento em seu IdP corresponde a um valor exclusivo, sempre presente e com menor probabilidade de ser alterado para seus usuários. Por exemplo, seu IdP pode fornecer um identificador objectId garantido ou outro que não seja afetado por alterações nos atributos do usuário, como nome e e-mail. Nesse caso, você pode mapear esse valor para o SCIM externalId campo. Isso garante que seus usuários não percam AWS direitos, atribuições ou permissões se você precisar alterar o nome ou o e-mail deles.

Usuários que ainda não foram atribuídos a um aplicativo ou que Conta da AWS não podem ser provisionados no IAM Identity Center. Para sincronizar usuários e grupos, certifique-se de que eles estejam atribuídos ao aplicativo ou a outra configuração que represente a conexão do seu IdP com o IAM Identity Center.

O comportamento de desprovisionamento de usuários é gerenciado pelo provedor de identidades e pode variar de acordo com sua implementação. Consulte seu provedor de identidades para obter detalhes sobre desprovisionamento de usuários.

Depois de configurar o provisionamento automático SCIM para seu IdP, você não pode mais adicionar ou editar usuários no console do IAM Identity Center. Se precisar adicionar ou modificar um usuário, você deve fazer isso a partir do seu IdP externo ou da fonte de identidade.