As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Tutoriais sobre fontes de identidade do IAM Identity Center
Você pode conectar sua fonte de identidade existente em sua conta AWS Organizations de gerenciamento a [uma instância organizacional do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Se você não tiver um provedor de identidades existente, poderá criar e gerenciar usuários diretamente no diretório padrão do IAM Identity Center. Você só pode ter uma fonte de identidade por organização.
Os tutoriais desta seção descrevem como configurar uma instância organizacional do IAM Identity Center com uma fonte de identidade comumente usada, criar um usuário administrativo e, se você estiver usando o IAM Identity Center para gerenciar o acesso Contas da AWS, criar e configurar conjuntos de permissões. Se você estiver usando o IAM Identity Center apenas para acessar aplicações, não precisará usar conjuntos de permissões.
Esses tutoriais não descrevem como configurar instâncias de conta do IAM Identity Center. Você pode usar instâncias de conta para atribuir usuários e grupos a aplicações, mas não pode usar esse tipo de instância para gerenciar o acesso dos usuários a Contas da AWS. Para obter mais informações, consulte [Instâncias de conta do Centro de Identidade do IAM](account-instances-identity-center.md).
**nota**
Antes de iniciar qualquer um desses tutoriais, habilite o IAM Identity Center. Para obter mais informações, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
**Topics**
+ [Usar o Active Directory como uma fonte de identidades](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [Configurar SAML e SCIM com o Google Workspace e o IAM Identity Center](gs-gwp.md)
+ [Usar o IAM Identity Center para conectar com a plataforma de diretórios do JumpCloud](jumpcloud-idp.md)
+ [Configurar SAML e SCIM com o Microsoft Entra ID e o IAM Identity Center](idp-microsoft-entra.md)
+ [Configurar SAML e SCIM com o Okta e o IAM Identity Center](gs-okta.md)
+ [Configurar o provisionamento SCIM entre o OneLogin e o IAM Identity Center](onelogin-idp.md)
+ [Usar produtos de Ping Identity com o IAM Identity Center](pingidentity.md)
+ [Configurar acesso de usuário com o diretório padrão do IAM Identity Center](quick-start-default-idc.md)
+ [Vídeos de tutorial](#w2aac15c31)
# Usar o Active Directory como uma fonte de identidades
Se você estiver gerenciando usuários em seu AWS Managed Microsoft AD diretório usando Directory Service ou em seu diretório autogerenciado no Active Directory (AD), você pode alterar sua fonte de identidade do IAM Identity Center para trabalhar com esses usuários. Recomendamos que você considere conectar essa fonte de identidades quando habilitar o IAM Identity Center e escolher a fonte de identidade. Fazer isso antes de criar qualquer usuário e grupo no diretório padrão do Identity Center ajudará você a evitar a configuração adicional necessária se você alterar sua fonte de identidade posteriormente.
Se você quiser usar o Active Directory como a fonte de identidades, a configuração deverá atender aos seguintes pré-requisitos:
+ Se você estiver usando AWS Managed Microsoft AD, deverá habilitar o IAM Identity Center no mesmo Região da AWS local em que seu AWS Managed Microsoft AD diretório está configurado. O IAM Identity Center armazena os dados de atribuição na mesma região do diretório. Para administrar o IAM Identity Center, talvez seja necessário mudar para a região em que o IAM Identity Center está configurado. Além disso, observe que o portal de AWS acesso usa a mesma URL de acesso do seu diretório.
+ Use um Active Directory residente na conta de gerenciamento:
Você deve ter um AD Connector ou AWS Managed Microsoft AD diretório existente configurado e ele deve residir em sua conta AWS Organizations de gerenciamento. AWS Directory Service Você pode conectar somente um diretório do AD Connector ou um diretório por AWS Managed Microsoft AD vez. Se você precisar oferecer suporte a vários domínios ou florestas, use AWS Managed Microsoft AD. Para obter mais informações, consulte:
+ [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md)
+ [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md)
+ Use um Active Directory residente na conta do administrador delegado:
Se você planeja habilitar um administrador delegado do IAM Identity Center e usar o Active Directory como sua fonte de identidade do IAM Identity Center, você pode usar um AD Connector ou AWS Managed Microsoft AD diretório existente configurado no AWS Diretório que reside na conta de administrador delegado.
Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir (pertencer à) conta de membro do administrador delegado do IAM Identity Center, se houver; caso contrário, deverá estar na conta de gerenciamento.
Este tutorial orienta você na configuração básica para usar o Active Directory como uma fonte de identidades do IAM Identity Center.
# Etapa 1: conectar o Active Directory ou outro IdP e especificar um usuário
Se já estiver usando o Active Directory, os tópicos a seguir ajudarão você a conectar o diretório ao IAM Identity Center.
**nota**
Se você planeja conectar um AWS Managed Microsoft AD diretório ou um diretório autogerenciado no Active Directory e não está usando o RADIUS MFA com, AWS Directory Service habilite o MFA no IAM Identity Center.
**AWS Managed Microsoft AD**
1. Revise as orientações em [Diretório Microsoft AD](manage-your-identity-source-ad.md).
1. Siga as etapas em [Conecte um diretório AWS Managed Microsoft AD ao IAM Identity Center](connectawsad.md).
1. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte [Sincronizar um usuário administrativo para o IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
**Diretório autogerenciado no Active Directory**
1. Revise as orientações em [Diretório Microsoft AD](manage-your-identity-source-ad.md).
1. Siga as etapas em [Conecte um diretório autogerenciado no Active Directory ao IAM Identity Center](connectonpremad.md).
1. Configure o Active Directory para sincronizar o usuário ao qual você deseja conceder permissões administrativas no IAM Identity Center. Para obter mais informações, consulte [Sincronizar um usuário administrativo para o IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
## Etapa 2: sincronizar um usuário administrativo com o IAM Identity Center
Após conectar seu diretório ao IAM Identity Center, você pode especificar um usuário ao qual deseja conceder permissões administrativas e, em seguida, sincronizar esse usuário do seu diretório com o IAM Identity Center.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Settings**.
1. Na página **Configurações**, escolha a guia **Identity source**, escolha **Actions** e, em seguida, escolha **Manage Sync**.
1. Na página **Manage Sync**, escolha a guia **Usuários** e **Adicionar usuários e grupos**.
1. Na guia **Usuários**, em **Usuário**, insira o nome do usuário exato e escolha **Adicionar**.
1. Em **Usuários e grupos adicionados**, faça o seguinte:
1. Confirme se o usuário para o qual você deseja conceder permissões administrativas foi especificado.
1. Marque a caixa de seleção à esquerda do nome do usuário.
1. Selecione **Enviar**.
1. Na página **Gerenciar sincronização**, o usuário que você especificou aparece na lista **Usuários no escopo de sincronização**.
1. No painel de navegação, escolha **Users**.
1. Na página **Usuários**, pode levar algum tempo para que o usuário que você especificou apareça na lista. Escolha o ícone de atualização para atualizar a lista de usuários.
Neste momento, seu usuário não tem acesso à conta de gerenciamento. Você configurará o acesso administrativo a essa conta criando um conjunto de permissões administrativas e atribuindo o usuário a esse conjunto de permissões. Para obter mais informações, consulte [Crie um conjunto de permissões](howtocreatepermissionset.md).
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário a partir CyberArk Directory Platform para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
**nota**
CyberArkatualmente não oferece suporte ao SAML Multiple Assertion Consumer Service (ACS) URLs no aplicativo. Centro de Identidade do AWS IAM Esse recurso SAML é necessário para aproveitar totalmente o [suporte multirregional](multi-region-iam-identity-center.md) no IAM Identity Center. Se você planeja replicar o IAM Identity Center para regiões adicionais, saiba que o uso de uma única URL do ACS pode afetar a experiência do usuário nessas regiões adicionais. Sua região principal continuará funcionando normalmente. Recomendamos que você trabalhe com seu fornecedor de IdP para ativar esse recurso. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte [Usando aplicativos AWS gerenciados sem vários ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e. [Conta da AWS resiliência de acesso sem vários ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.
**Topics**
+ [Pré-requisitos](#cyberark-prereqs)
+ [Considerações SCIM](#cyberark-considerations)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#cyberark-step1)
+ [Etapa 2: Configure o provisionamento no CyberArk](#cyberark-step2)
+ [(Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center](#cyberark-step3)
+ [(Opcional) Passar atributos para controle de acesso](#cyberark-passing-abac)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Assinatura ou teste gratuito do CyberArk. Para se inscrever para um teste gratuito, acesse [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua conta do CyberArk com o IAM Identity Center, conforme descrito na [documentação do CyberArk do IAM Identity Center](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Associe o conector do IAM Identity Center às funções, usuários e organizações às quais você deseja permitir acesso a Contas da AWS.
## Considerações SCIM
As seguintes considerações devem ser observadas ao usar a federação do CyberArk para o IAM Identity Center:
+ Somente as funções mapeadas na seção Provisionamento do aplicativo serão sincronizadas com o IAM Identity Center.
+ O script de provisionamento é suportado somente em seu estado padrão. Uma vez alterado, o provisionamento do SCIM pode falhar.
+ Somente um atributo de número de telefone pode ser sincronizado e o padrão é “telefone comercial”.
+ Se o mapeamento de funções no aplicativo IAM Identity Center do CyberArk for alterado, o comportamento abaixo é esperado:
+ Se os nomes das funções forem alterados, não haverá alterações nos nomes dos grupos no IAM Identity Center.
+ Se os nomes dos grupos forem alterados, novos grupos serão criados no IAM Identity Center, os grupos antigos permanecerão, mas não terão membros.
+ O comportamento de sincronização e desprovisionamento do usuário pode ser configurado a partir do aplicativo IAM Identity Center do CyberArk. Certifique-se de configurar o comportamento certo para sua organização. Estas são as opções que você tem:
+ Substitua (ou não) usuários no diretório do Identity Center com o mesmo nome de entidade principal.
+ Desprovisione usuários do IAM Identity Center quando o usuário for removido da função CyberArk.
+ Desprovisione o comportamento do usuário – desative ou exclua.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o aplicativo IAM Identity Center do CyberArk. Essas etapas são descritas no procedimento a seguir.
## Etapa 2: Configure o provisionamento no CyberArk
Use o procedimento a seguir no aplicativo IAM Identity Center do CyberArk para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o aplicativo IAM Identity Center do CyberArk ao seu console de administração do CyberArk em **Aplicativos Web**. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#cyberark-prereqs) e, em seguida, conclua este procedimento para configurar o provisionamento do SCIM.
**Para configurar o provisionamento no CyberArk**
1. Abra o aplicativo IAM Identity Center do CyberArk que você adicionou como parte da configuração do SAML para o CyberArk (**Aplicativos > Aplicativo Web**). Consulte [Pré-requisitos](#cyberark-prereqs).
1. Escolha o aplicativo **IAM Identity Center** e vá para a seção **Provisionamento.**
1. Marque a caixa **Ativar provisionamento para este aplicativo** e escolha **Modo em tempo real**.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL do serviço SCIM**, no aplicativo CyberArk IAM Identity Center, defina o **Tipo de autorização** como **Cabeçalho de autorização**.
1. Defina o **Tipo de cabeçalho** como **Token do portador**.
1. No procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **Token do portador** no aplicativo IAM Identity Center do CyberArk.
1. Clique em **Verificar** para testar e aplicar a configuração.
1. Em **Opções de sincronização**, escolha o comportamento correto para o qual você deseja que o provisionamento de saída do CyberArk funcione. Você pode optar por substituir (ou não) os usuários existentes do IAM Identity Center por um nome de entidade principal semelhante e pelo comportamento de desprovisionamento.
1. Em **Mapeamento de funções**, configure o mapeamento das funções do CyberArk, no campo **Nome**, para o grupo do IAM Identity Center, no **Grupo de destino**.
1. Clique em **Salvar** na parte inferior quando terminar.
1. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do CyberArk aparecerão na página **Usuários**. Agora, esses usuários podem ser atribuídos a contas e se conectar ao IAM Identity Center.
## (Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center
Esse é um procedimento opcional CyberArk caso você opte por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus AWS recursos. Os atributos que você define no CyberArk são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do CyberArk.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário emCyberArk para controle de acesso no IAM Identity Center**
1. Abra o aplicativo IAM Identity Center do CyberArk que você instalou como parte da configuração do SAML para o CyberArk (**Aplicativos > Aplicativo Web**).
1. Acesse a opção **Resposta SAML**.
1. Em **Atributos**, adicione os atributos relevantes à tabela seguindo a lógica abaixo:
1. **Nome do atributo** é o nome do atributo original do CyberArk.
1. O **Valor do atributo** é o nome do atributo enviado na declaração SAML para o IAM Identity Center.
1. Escolha **Salvar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
# Configurar SAML e SCIM com o Google Workspace e o IAM Identity Center
Se sua organização estiver usando, Google Workspace você pode integrar seus usuários Google Workspace no IAM Identity Center para dar a eles acesso aos AWS recursos. Você pode conseguir essa integração alterando sua fonte de identidades do IAM Identity Center, da fonte de identidades padrão do IAM Identity Center para o Google Workspace.
**nota**
Google Workspaceatualmente não oferece suporte ao SAML Multiple Assertion Consumer Service (ACS) URLs no aplicativo. Centro de Identidade do AWS IAM Esse recurso SAML é necessário para aproveitar totalmente o [suporte multirregional](multi-region-iam-identity-center.md) no IAM Identity Center. Se você planeja replicar o IAM Identity Center para regiões adicionais, saiba que o uso de uma única URL do ACS pode afetar a experiência do usuário nessas regiões adicionais. Sua região principal continuará funcionando normalmente. Recomendamos que você trabalhe com seu fornecedor de IdP para ativar esse recurso. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte [Usando aplicativos AWS gerenciados sem vários ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e. [Conta da AWS resiliência de acesso sem vários ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
As informações do usuário do Google Workspace são sincronizadas no IAM Identity Center usando o protocolo [System for Cross-domain Identity Management (SCIM) 2.0](scim-profile-saml.md#scim-profile). Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
Você configura essa conexão no Google Workspace usando o endpoint SCIM para o IAM Identity Center e um token ao portador do IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no Google Workspace para os atributos nomeados no IAM Identity Center. Esse mapeamento faz a correspondência dos atributos de usuário esperados entre o IAM Identity Center e o Google Workspace. Para fazer isso, você precisa configurar o Google Workspace como um provedor de identidade e conectá-lo ao IAM Identity Center.
**Objetivo**
As etapas deste tutorial ajudam você a estabelecer a conexão SAML entre Google Workspace e. AWS Posteriormente, você sincronizará os usuários do Google Workspace usando o SCIM. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como Google Workspace usuário e verificará o acesso aos AWS recursos. Observe que este tutorial é baseado em um ambiente de teste de um pequeno diretório do Google Workspace. Estruturas de diretórios, como grupos e unidades organizacionais, não estão incluídas neste tutorial. Depois de concluir este tutorial, seus usuários poderão acessar o portal de AWS acesso com suas Google Workspace credenciais.
**nota**
Para se cadastrar e fazer um teste gratuito do Google Workspace, visite [https://workspace.google.com/](https://workspace.google.com/) no site do Google's.
Se você ainda não habilitou o IAM Identity Center, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
## Considerações
+ Antes de configurar o provisionamento SCIM entre o Google Workspace e o IAM Identity Center, é recomendável que você revise as [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations).
+ Atualmente, a sincronização automática SCIM do Google Workspace está limitada ao provisionamento de usuários. O aprovisionamento automático de grupos não é possível no momento. Os grupos podem ser criados manualmente com o comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) do AWS CLI Identity Store ou a API AWS Identity and Access Management (IAM). [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) Como alternativa, você pode usar [ssosync](https://github.com/awslabs/ssosync) para sincronizar os usuários e grupos do Google Workspace no IAM Identity Center.
+ Todo usuário do Google Workspace deve ter um valor especificado de **Nome**, **Sobrenome**, **Nome de usuário** e **Nome de exibição**.
+ Todo usuário do Google Workspace tem apenas um valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.
+ Os atributos ainda serão sincronizados se o usuário estiver desativado no IAM Identity Center, mas ainda estiver ativo no Google Workspace.
+ Se já houver algum um usuário no diretório do Identity Center com o mesmo nome de usuário e e-mail, ele será substituído e sincronizado usando o SCIM do Google Workspace.
+ Há considerações adicionais ao alterar a fonte de identidades. Para obter mais informações, consulte [Mudar do IAM Identity Center para um IdP externo](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Etapa 1: Google Workspace: configurar a aplicação SAML
1. Faça login no **console do administrador do Google** usando uma conta com privilégios de superadministrador.
1. No painel de navegação esquerdo do **console do administrador do Google**, expanda **Aplicações** e escolha **Aplicações Web e móveis**.
1. Na lista suspensa **Adicionar aplicação**, selecione **Pesquisar aplicações**.
1. Na caixa de pesquisa, insira **Amazon Web Services** e selecione a aplicação **Amazon Web Services (SAML)** na lista.
1. Na página **Detalhes do provedor de identidades do Google - Amazon Web Services**, você pode fazer uma das seguintes alternativas:
1. Baixe os metadados do IdP.
1. Copie o URL do SSO, o URL do ID da entidade e as informações de certificado.
Você precisará do arquivo XML ou das informações de URL da etapa 2.
1. Antes de passar para a próxima etapa no console de administração do Google, deixe essa página aberta e vá para o console do IAM Identity Center.
## Etapa 2: IAM Identity Center e Google Workspace: alterar a fonte de identidades do IAM Identity Center e configurar o Google Workspace como um provedor de identidades SAML
1. Faça login no [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon) usando um perfil com permissões de administrador.
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha **Ações** e depois **Alterar fonte de identidades**.
+ Se ainda não habilitou o IAM Identity Center, consulte [Habilitar o IAM Identity Center](enable-identity-center.md) para obter mais informações. Depois de habilitar e acessar o IAM Identity Center pela primeira vez, você chegará ao **painel** onde poderá selecionar **Escolher a fonte de identidades**.
1. Em **Escolher fonte de identidades**, selecione **Provedor de identidades externo** e escolha **Avançar**.
1. A página **Configurar provedor de identidades externo** é aberta. Para concluir essa página e a página Google Workspace na etapa 1, você precisará fazer o seguinte:
1. Na seção **Metadados do provedor de identidades** do console do **IAM Identity Center**, você precisará fazer uma das seguintes alternativas:
1. Faça o upload dos **metadados SAML do Google** como os **metadados SAML do IdP** no console do IAM Identity Center.
1. Copie e cole o **URL do SSO do Google** no campo **URL de login do IdP**, o **URL do emissor do Google** no campo **URL do emissor do IdP** e carregue o **certificado do Google** como o **certificado do IdP**.
1. Depois de fornecer os metadados do Google na seção **Metadados do provedor de identidades** do console do **IAM Identity Center**, copie o **URL do Assertion Consumer Service (ACS) do IAM Identity Center** e o **URL do emissor do IAM Identity Center**. Você precisará fornecê-los URLs no Google Admin Console na próxima etapa.
1. Deixe a página aberta no console do IAM Identity Center e volte para o console do administrador do Google. Você deve estar na página **Amazon Web Services: detalhes do provedor de serviços**. Selecione **Continuar**.
1. Na página **Detalhes do provedor de serviços**, insira os valores **URL do ACS** e **ID da entidade**. Você copiou esses valores na etapa anterior e eles podem ser encontrados no console do IAM Identity Center.
+ Cole o **URL do Assertion Consumer Service (ACS) do IAM Identity Center** no campo **URL do ACS**
+ Cole o **URL do emissor do IAM Identity Center** no campo **ID da entidade**.
1. Na página **Detalhes do provedor de serviços**, preencha os campos em **ID do nome** como se segue:
+ Em **Formato do ID do nome**, selecione **EMAIL**
+ Em **ID do nome**, selecione **Informações básicas > E-mail principal**
1. Escolha **Continuar**.
1. Na página **Mapeamento de atributos**, em **Atributos**, escolha **ADICIONAR MAPEMENTO** e configure esses campos em **Atributo do Google Directory**:
+ Para o **atributo da aplicação** `https://aws.amazon.com/SAML/Attributes/RoleSessionName`, selecione o campo **Informações básicas, e-mail principal** dos **Atributos do Google Directory**.
+ Para o **atributo da aplicação** do `https://aws.amazon.com/SAML/Attributes/Role`, selecione quaisquer **atributos do Google Directory**. Um atributo do Google Directory poderia ser **Departamento**.
1. Escolha **Concluir**
1. Volte para o console do **IAM Identity Center** e escolha **Avançar**. Na página **Revisar e confirmar**, revise as informações e insira **ACEITAR** no espaço fornecido. Escolha **Alterar origem de identidade**.
Agora você está pronto para habilitar a aplicação Amazon Web Services no Google Workspace para que seus usuários possam ser provisionados para o IAM Identity Center.
## Etapa 3: Google Workspace: habilitar as aplicações
1. Retorne ao **GoogleAdmin Console** e ao seu Centro de Identidade do AWS IAM aplicativo, que podem ser encontrados em **Aplicativos e Aplicativos** **Web e Móveis**.
1. No painel **Acesso de usuários**, ao lado de **Acesso dos usuários**, escolha a seta para baixo para expandir **Acesso dos usuários** para exibir o painel **Status do serviço**.
1. No painel **Status do serviço**, escolha **ATIVADO para todos** e escolha **SALVAR**.
**nota**
Para ajudar a manter o princípio de privilégio mínimo, recomendamos que, após concluir este tutorial, você altere o **Status do serviço** para **DESATIVADO para todos**. O serviço deve ser habilitado apenas para os usuários que precisam acessar o AWS . Você pode usar os grupos ou as unidades organizacionais do Google Workspace para conceder acesso de usuário a um subconjunto específico de usuários.
## Etapa 4: IAM Identity Center: configurar o provisionamento automático do IAM Identity Center
1. Volte para o console do IAM Identity Center.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo **Provisionamento automático de entrada**, copie cada um dos valores para as opções a seguir. Na etapa 5 deste tutorial, você vai inserir esses valores para configurar o provisionamento no Google Workspace.
1. **Endpoint SCIM** - Por exemplo,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Pilha dupla `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, na próxima etapa, você vai configurar o provisionamento automático do Google Workspace.
## Etapa 5: Google Workspace: configurar o provisionamento automático
1. Volte ao console de administrador do Google e à aplicação Centro de Identidade do AWS IAM que podem ser encontrados em **Aplicações** e **Aplicações Web e móveis**. Na seção **Provisionamento automático**, escolha **Configurar provisionamento automático**.
1. No procedimento anterior, você copiou o valor de **Token de acesso** no console do IAM Identity Center. Cole esse valor no campo **Token de acesso** e escolha **Continuar**. Além disso, no procedimento anterior, você copiou o valor de **Endpoint SCIM** no console do IAM Identity Center. Cole esse valor no campo **URL do endpoint** e escolha **Continuar**.
1. Verifique se todos os atributos obrigatórios do IAM Identity Center (os que estão marcados com \$1) estão mapeados para os atributos do Google Cloud Directory. Caso contrário, escolha a seta para baixo e mapeie para o atributo apropriado. Escolha **Continuar**.
1. Na seção **Escopo do provisionamento**, você pode escolher um grupo com o seu diretório do Google Workspace para fornecer acesso à aplicação Amazon Web Services. Pule esta etapa e selecione **Continuar**.
1. Na seção **Desprovisionamento**, você pode escolher como responder aos diferentes eventos que removem o acesso de um usuário. Para cada situação, você pode especificar a quantidade de tempo antes do início do desprovisionamento como:
+ 24 horas
+ 1 dia
+ 7 dias
+ após 30 dias
Cada situação tem uma configuração de tempo para quando suspender o acesso de uma conta e para quando excluir a conta.
**dica**
Sempre defina mais tempo para excluir uma conta de usuário do que para suspender uma conta de usuário.
1. Escolha **Terminar**. Você será levado de volta à página da aplicação Amazon Web Services.
1. Na seção **Provisionamento automático**, ative a chave seletora para alterá-la de **Inativa** para **Ativa**.
**nota**
O controle deslizante de ativação será desativado se o IAM Identity Center não estiver ativado para os usuários. Escolha **Acesso do usuário** e ative o aplicativo para ativar o controle deslizante.
1. Na caixa de diálogo de confirmação, escolha **Ligar**.
1. Para verificar se os usuários estão sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. A página **Usuários** lista os usuários do diretório do Google Workspace que foram criados pelo SCIM. Se os usuários ainda não estiverem listados, pode ser que o provisionamento ainda esteja em andamento. O provisionamento pode levar até 24 horas, embora, na maioria dos casos, seja concluído em minutos. Certifique-se de atualizar a janela do navegador a cada poucos minutos.
Selecione um usuário e visualize seus detalhes. As informações devem corresponder às informações no diretório do Google Workspace.
**Parabéns\$1**
Você configurou com êxito uma conexão SAML entre Google Workspace e AWS e verificou se o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas no **IAM Identity Center**. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo a ele permissões administrativas para a conta de gerenciamento.
## Passagem de atributos para controle de acesso: *opcional*
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Atribuir acesso a Contas da AWS
As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.
**nota**
Para concluir essa etapa, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
### Etapa 1: IAM Identity Center: conceder aos usuários do Google Workspace acesso a contas
1. Volte para o console do **IAM Identity Center**. No painel de navegação do IAM Identity Center, em **Permissões multicontas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, a **Estrutura organizacional** exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione **Atribuir usuários ou grupos**.
1. O fluxo de trabalho **Atribuir usuários e grupos** é exibido. Ele consiste em três etapas:
1. Em **Etapa 1: selecionar usuários e grupos**, escolha o usuário que desempenhará a função de administrador. Escolha **Próximo**.
1. Em **Etapa 2: selecionar conjuntos de permissões**, escolha **Criar conjunto de permissões** para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.
1. Em **Etapa 1: selecionar o tipo de conjunto de permissões**, preencha o seguinte:
+ Em **Tipo de conjunto de permissões**, escolha **Conjunto de permissões predefinido**.
+ Em **Política para conjunto de permissões predefinido**, escolha **AdministratorAccess**.
Escolha **Próximo**.
1. Em **Etapa 2: especificar detalhes do conjunto de permissões**, mantenha as configurações padrão e escolha **Avançar**.
As configurações padrão criam um conjunto de permissões chamado *AdministratorAccess* com a duração da sessão definida em uma hora.
1. Para **a Etapa 3: revisar e criar**, verifique se o **tipo de conjunto de permissões** usa a política AWS gerenciada **AdministratorAccess**. Escolha **Criar**. Na página **Conjuntos de permissões**, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.
1. Na guia **Atribuir usuários e grupos** do navegador, você ainda está na **Etapa 2: selecionar conjuntos de permissões** na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.
1. Na área **Conjuntos de permissões**, escolha o botão **Atualizar**. O conjunto de *AdministratorAccess* permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha **Avançar**.
1. Em **Etapa 3: revisar e enviar**, revise o usuário e o conjunto de permissões selecionados e escolha **Enviar**.
A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.
Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a *AdministratorAccess* função.
**nota**
A sincronização automática SCIM do Google Workspace só é compatível com o provisionamento de usuários. O aprovisionamento automático de grupos não é possível no momento. Você não pode criar grupos para os usuários do Google Workspace usando o Console de gerenciamento da AWS. Depois de provisionar usuários, você pode criar grupos usando o comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) do AWS CLI Identity Store ou a API IAM. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Etapa 2Google Workspace: confirmar o acesso Google Workspace dos usuários aos AWS recursos
1. Faça login no Google usando uma conta de usuário de teste. Para saber como adicionar usuários ao Google Workspace, consulte a [documentação do Google Workspace](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Selecione o ícone do iniciador (waffle) do Google apps.
1. Role para o fim da lista de aplicações em que as aplicações personalizadas do Google Workspace se encontram. A aplicação **Amazon Web Services** é exibida.
1. Escolha a aplicação **Amazon Web Services**. Você está conectado ao portal de AWS acesso e pode ver o Conta da AWS ícone. Expanda esse ícone para ver a lista Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.
1. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de **AdministratorAccess**permissões.
1. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou que o console de gerenciamento e o acesso programático fossem habilitados, assim sendo, essas duas opções estão presentes. Selecione **Console de gerenciamento** para abrir o Console de gerenciamento da AWS.
1. O usuário fez login no console.
## Próximas etapas
Agora que você configurou o Google Workspace como provedor de identidades e provisionou usuários no IAM Identity Center, você pode:
+ Use o comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) do AWS CLI Identity Store ou a API IAM [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)para criar grupos para seus usuários.
Os grupos são úteis ao atribuir acesso a aplicativos Contas da AWS e aplicativos. Em vez de atribuir cada usuário individualmente, você concede permissões a um grupo. Posteriormente, à medida que você adiciona ou remove usuários de um grupo, o usuário obtém ou perde dinamicamente o acesso às contas e aplicações que você atribuiu ao grupo.
+ Configure as permissões baseadas nas funções do trabalho; consulte [Criar um conjunto de permissões](howtocreatepermissionset.md).
Os conjuntos de permissões definem o nível de acesso que os usuários e grupos têm a uma Conta da AWS. Os conjuntos de permissões são armazenados no IAM Identity Center e podem ser provisionados para um ou mais Contas da AWS. Você pode atribuir mais de um conjunto de permissões a um usuário.
**nota**
Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados IdP antigos por outros mais novos. Por exemplo, talvez seja necessário substituir um certificado IdP quando a data de expiração do certificado se aproximar. O processo de substituição de um certificado antigo por um mais recente é conhecido como rodízio de certificados. Certifique-se de revisar como [gerenciar os certificados SAML](managesamlcerts.md) para o Google Workspace.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o Google Workspace, consulte as seguintes seções:
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ Para solução de problemas do Google Workspace, consulte a [documentação da Google Workspace](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico
# Usar o IAM Identity Center para conectar com a plataforma de diretórios do JumpCloud
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário da plataforma de diretórios do JumpCloud para o IAM Identity Center. Esse provisionamento usa o protocolo [Security Assertion Markup Language (SAML](scim-profile-saml.md)) 2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
Você configura essa conexão no JumpCloud usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no JumpCloud para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e JumpCloud.
Este guia é baseado no JumpCloud em junho de 2021. As etapas para versões mais recentes podem variar. Este guia contém algumas notas sobre a configuração da autenticação do usuário por meio do SAML.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do JumpCloud para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.
**Topics**
+ [Pré-requisitos](#jumpcloud-prereqs)
+ [Considerações SCIM](#jumpcloud-scim)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#jumpcloud-step1)
+ [Etapa 2: Configure o provisionamento no JumpCloud](#jumpcloud-step2)
+ [(Opcional) Etapa 3: configure atributos do usuário no JumpCloud para controle de acesso no IAM Identity Center](#jumpcloud-step3)
+ [(Opcional) Passar atributos para controle de acesso](#jumpcloud-passing-abac)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Assinatura ou teste gratuito do JumpCloud. Para se inscrever para um teste gratuito, acesse [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua conta do JumpCloud com o IAM Identity Center, conforme descrito na [documentação do JumpCloud do IAM Identity Center](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO).
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e a Contas da AWS partir dessas regiões. Consulte mais detalhes em [Etapa 3: atualizar a configuração do IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte a JumpCloud documentação para obter detalhes adicionais.
+ Associe o conector do IAM Identity Center aos grupos para os quais você deseja permitir o acesso às contas da AWS .
## Considerações SCIM
As seguintes considerações devem ser observadas ao usar a federação do JumpCloud para o IAM Identity Center.
+ Somente grupos associados ao conector de login AWS único JumpCloud serão sincronizados com o SCIM.
+ Somente um atributo de número de telefone pode ser sincronizado e o padrão é “telefone comercial”.
+ Os usuários no diretório JumpCloud devem ter nomes e sobrenomes configurados para serem sincronizados com o IAM Identity Center com o SCIM.
+ Os atributos ainda serão sincronizados se o usuário estiver desativado no IAM Identity Center, mas ainda estiver ativo no JumpCloud.
+ Você pode optar por ativar a sincronização do SCIM somente para informações do usuário desmarcando a opção “Habilitar gerenciamento de grupos de usuários e associação a grupos” no conector.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o conector IAM Identity Center do JumpCloud. Essas etapas são descritas no procedimento a seguir.
## Etapa 2: Configure o provisionamento no JumpCloud
Use o procedimento a seguir no conector IAM Identity Center do JumpCloud para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o conector IAM Identity Center do JumpCloud ao seu portal e grupos de administração do JumpCloud. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#jumpcloud-prereqs) e conclua este procedimento para configurar o provisionamento do SCIM.
**Para configurar o provisionamento no JumpCloud**
1. Abra o conector do IAM Identity Center do JumpCloud que você instalou como parte da configuração do SAML para o JumpCloud (**Autenticação de usuário** > **IAM Identity Center**). Consulte [Pré-requisitos](#jumpcloud-prereqs).
1. Escolha o conector **do IAM Identity Center** e, em seguida, escolha a terceira guia **Gestão de identidade**.
1. Marque a caixa **Habilitar gerenciamento de grupos de usuários e membros de grupos neste aplicativo** se quiser que os grupos sejam sincronizados com o SCIM.
1. Clique em **Configurar**.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **Base URL** no conector do JumpCloud IAM Identity Center.
1. No procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **Chave token** no conector do IAM Identity Center do JumpCloud.
1. Clique em **Ativar** para aplicar a configuração.
1. Verifique se você tem um indicador verde ao lado do **Single Sign-On ativado**.
1. Vá para a quarta guia **Grupos de usuários** e marque os grupos que você deseja que sejam provisionados com o SCIM.
1. Clique em **Salvar** na parte inferior quando terminar.
1. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do JumpCloud aparecem na página **Usuários**. Esses usuários agora podem ser atribuídos a contas no IAM Identity Center.
## (Opcional) Etapa 3: configure atributos do usuário no JumpCloud para controle de acesso no IAM Identity Center
Esse é um procedimento opcional JumpCloud caso você opte por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus AWS recursos. Os atributos que você define no JumpCloud são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do JumpCloud.
Antes de iniciar esse procedimento, você deve ativar primeiro o recurso [Atributos para controle de acesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html). Para obter mais informações sobre como fazer isso, consulte [Habilitar e configurar atributos para controle de acesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
****Para configurar atributos do usuário em JumpCloud para controle de acesso no IAM Identity Center****
1. Abra o conector do IAM Identity Center do JumpCloud que você instalou como parte da configuração do SAML para o JumpCloud (**Autenticação de usuário** > **IAM Identity Center**).
1. Escolha o conector do **IAM Identity Center**. Em seguida, escolha a segunda guia **IAM Identity Center**.
1. Na parte inferior dessa guia, você tem **Mapeamento de atributos de usuário**, escolha **Adicionar novo atributo** e faça o seguinte: Você deve executar essas etapas para cada atributo que adicionará para uso no IAM Identity Center para controle de acesso.
1. No campo **Nome do atributo do provedor de serviço**, insira `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` Substituir ` AttributeName ` pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. No campo **JumpCloud Nome do atributo**, escolha os atributos do usuário em seu JumpCloud diretório. Por exemplo, **E-mail (trabalho)**.
1. Escolha **Salvar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
# Configurar SAML e SCIM com o Microsoft Entra ID e o IAM Identity Center
Centro de Identidade do AWS IAM oferece suporte à integração com a [Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md), bem como ao [provisionamento automático](provision-automatically.md) (sincronização) de informações de usuários e grupos Microsoft Entra ID (anteriormente conhecido como Azure Active Directory ouAzure AD) para o IAM Identity Center usando o protocolo [System for Cross-domain](scim-profile-saml.md#scim-profile) Identity Management (SCIM) 2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
**Objetivo**
Neste tutorial, você configurará um laboratório de teste e uma conexão SAML e um provisionamento SCIM entre o Microsoft Entra ID e o IAM Identity Center. Durante as etapas iniciais de preparação, você criará um usuário de teste (Nikki Wolf) no Microsoft Entra ID e no IAM Identity Center que será usado para testar a conexão SAML nas duas direções. Posteriormente, como parte das etapas do SCIM, você criará um usuário de teste diferente (Richard Roe) para verificar se os novos atributos do Microsoft Entra ID estão sendo sincronizados com o IAM Identity Center como esperado.
## Pré-requisitos
Antes de começar este tutorial, você precisará definir o seguinte:
+ Um locatário do Microsoft Entra ID. Para obter mais informações, consulte [Guia de início rápido: configurar um locatário](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) na documentação da Microsoft.
+ Uma conta Centro de Identidade do AWS IAM ativada. Para obter mais informações, consulte [O que é o Centro de Identidade do IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
## Considerações
Estas são considerações importantes sobre o Microsoft Entra ID que podem afetar a forma como você planeja implementar o [provisionamento automático](provision-automatically.md) com o IAM Identity Center em seu ambiente de produção usando o protocolo SCIM v2.
**Provisionamento automático**
Antes de começar a implantar o SCIM, é recomendável que você revise as [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations).
**Atributos para controle de acesso**
Os atributos para controle de acesso são usados em políticas de permissão que determinam quem em sua fonte de identidade pode acessar seus AWS recursos. Se um atributo for removido de um usuário em Microsoft Entra ID, esse atributo não será removido do usuário correspondente no IAM Identity Center. Esta é uma limitação conhecida do Microsoft Entra ID. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.
**Grupos aninhados**
O serviço de provisionamento de usuários do Microsoft Entra ID não pode ler nem provisionar usuários em grupos aninhados. Somente usuários que são membros imediatos de um grupo atribuído explicitamente podem ser lidos e provisionados. O Microsoft Entra ID não descompacta recursivamente as associações de grupos ou usuários atribuídos indiretamente (usuários ou grupos que são membros de um grupo atribuído diretamente). Para obter mais informações, consulte [Assignment-based scoping](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) na documentação do Microsoft. Ou então, você pode usar a [Sincronização do AD configurável do IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) para integrar grupos do Active Directory com o IAM Identity Center.
**Grupos dinâmicos**
O serviço de provisionamento de usuários do Microsoft Entra ID não pode ler nem provisionar usuários em [grupos dinâmicos](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Veja abaixo um exemplo que mostra a estrutura de usuários e grupos ao usar grupos dinâmicos e como eles são exibidos no IAM Identity Center. Esses usuários e grupos foram provisionados do IAM Identity Center do Microsoft Entra ID via SCIM.
Por exemplo, se a estrutura do Microsoft Entra ID para grupos dinâmicos for a seguinte:
1. Grupo A com membros ua1, ua2
1. Grupo B com membros ub1
1. Grupo C com membros uc1
1. Grupo K com uma regra para incluir membros dos Grupos A, B, C
1. Grupo L com uma regra para incluir membros do Grupos B e C
Depois que as informações do usuário e do grupo forem provisionadas do Microsoft Entra ID para o IAM Identity Center por meio do SCIM, a estrutura será a seguinte:
1. Grupo A com membros ua1, ua2
1. Grupo B com membros ub1
1. Grupo C com membros uc1
1. Grupo K com membros ua1, ua2, ub1, uc1
1. Grupo L com membros ub1, uc1
Ao configurar o provisionamento automático usando grupos dinâmicos, mantenha as seguintes considerações em mente.
+ Um grupo dinâmico pode incluir um grupo aninhado. No entanto, o serviço de provisionamento do Microsoft Entra ID não nivela o grupo aninhado. Por exemplo, se a seguinte estrutura do Microsoft Entra ID para grupos dinâmicos:
+ O grupo A é pai do grupo B.
+ O Grupo A tem ua1 como membro.
+ O grupo B tem ub1 como membro.
O grupo dinâmico que inclui o Grupo A incluirá apenas os membros diretos do grupo A (ou seja, ua1). Não incluirá recursivamente membros do grupo B.
+ Os grupos dinâmicos não podem conter outros grupos dinâmicos. Para obter mais informações, consulte [ Preview limitations](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) na documentação do Microsoft.
## Etapa 1: preparar o locatário da Microsoft
Nesta etapa, você explicará como instalar e configurar seu aplicativo Centro de Identidade do AWS IAM corporativo e atribuir acesso a um usuário de Microsoft Entra ID teste recém-criado.
------
#### [ Step 1.1 > ]
**Etapa 1.1: Configurar o aplicativo Centro de Identidade do AWS IAM corporativo no Microsoft Entra ID**
Neste procedimento, você instala o aplicativo Centro de Identidade do AWS IAM corporativo emMicrosoft Entra ID. Posteriormente, você precisará desse aplicativo para configurar sua conexão SAML com AWS.
1. Faça login no [Centro de administração do Microsoft Entra](https://entra.microsoft.com/) como, no mínimo, administrador de aplicações de nuvem.
1. Navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Nova aplicação**.
1. Na página **Procurar na galeria do Microsoft Entra**, insira ****Centro de Identidade do AWS IAM**** na caixa de pesquisa.
1. Selecione **Centro de Identidade do AWS IAM** nos resultados.
1. Escolha **Criar**.
------
#### [ Step 1.2 > ]
**Etapa 1.2: criar um usuário de teste do Microsoft Entra ID**
Nikki Wolf é o nome do usuário de teste do Microsoft Entra ID que você criará neste procedimento.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Usuários > Todos os usuários**.
1. Selecione **Novo usuário** e escolha **Criar novo usuário** na parte superior da tela.
1. Em **Nome da entidade principal do usuário**, insira ** **NikkiWolf**** e selecione o domínio e a extensão de sua preferência. Por exemplo, *NikkiWolf*@*example.org*.
1. Em **Nome de exibição**, insira ****NikkiWolf****.
1. Em **Senha**, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.
1. Escolha **Propriedades**, em **Nome**, insira ****Nikki****. Em **Sobrenome**, insira ****Wolf****.
1. Selecione **Revisar \$1 criar** e depois **Criar**.
------
#### [ Step 1.3 ]
**Etapa 1.3: Teste a experiência de Nikki antes de atribuir suas permissões a Centro de Identidade do AWS IAM**
Neste procedimento, você verificará se Nikki consegue fazer login no [portal Minha conta](https://myaccount.microsoft.com/) da Microsoft.
1. No mesmo navegador, abra uma nova guia, vá até a página de login do [portal Minha conta](https://myaccount.microsoft.com/) e insira o endereço de e-mail completo de Nikki. Por exemplo, *NikkiWolf*@*example.org*.
1. Quando solicitado, insira a senha de Nikki e escolha **Fazer login**. Se essa for uma senha gerada automaticamente, será solicitado que você a altere.
1. Na página **Ação necessária**, escolha **Perguntar mais tarde** para ignorar o prompt de métodos de segurança adicionais.
1. Na página **Minha conta**, no painel de navegação esquerdo, escolha **Minhas aplicações**. Observe que, além dos **Complementos**, nenhuma aplicação é exibida no momento. Você adicionará uma aplicação do **Centro de Identidade do AWS IAM** que aparecerá aqui em uma etapa posterior.
------
#### [ Step 1.4 ]
**Etapa 1.4: atribuir permissões a Nikki no Microsoft Entra ID**
Agora que você verificou que Nikki pode acessar com sucesso o **portal Minha conta**, use este procedimento para atribuir o usuário dela à aplicação **Centro de Identidade do AWS IAM**.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM** na lista.
1. No lado esquerdo, escolha **Usuários e grupos**.
1. Escolha **Add user/group** (Adicionar usuário/grupo). Você pode ignorar a mensagem informando que os grupos não estão disponíveis para atribuição. Este tutorial não usa grupos para atribuição.
1. Na página **Adicionar atribuição**, em **Usuários**, escolha **Nenhum selecionado**.
1. Selecione e **NikkiWolf**, em seguida, escolha **Selecionar**.
1. Na página **Adicionar tarefa**, escolha **Atribuir**. NikkiWolf agora aparece na lista de usuários atribuídos ao **Centro de Identidade do AWS IAM**aplicativo.
------
## Etapa 2: Prepare sua AWS conta
Nesta etapa, você aprenderá a usar o **IAM Identity Center** para configurar permissões de acesso (via conjunto de permissões), criar manualmente um usuário Nikki Wolf correspondente e atribuir a ela as permissões necessárias para administrar recursos na AWS.
------
#### [ Step 2.1 > ]
**Etapa 2.1: Criar um conjunto de RegionalAdmin permissões no IAM Identity Center**
Esse conjunto de permissões será usado para conceder à Nikki as permissões de AWS conta necessárias para gerenciar regiões na página **Conta** no Console de gerenciamento da AWS. Todas as outras permissões para visualizar ou gerenciar qualquer outra informação da conta de Nikki são negadas por padrão.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha **Create permission set (Criar conjunto de permissões)**.
1. Em **Selecionar tipo de conjunto de permissões**, selecione **Conjunto de permissões personalizado** e escolha **Avançar**.
1. Selecione **Política em linha** para expandi-la e crie uma política para o conjunto de permissões usando as seguintes etapas:
1. Escolha **Adicionar nova instrução** para criar uma instrução de política.
1. Em **Editar instrução**, selecione **Conta** na lista e escolha as caixas de seleção a seguir.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Ao lado de **Add a resource (Adicionar um recurso)**, escolha **Add (Adicionar)**.
1. Na página **Adicionar recurso**, em **Tipo de recurso**, selecione **Todos os recursos** e escolha **Adicionar recurso**. Confirme se a política é semelhante à seguinte:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Escolha **Próximo**.
1. Na página **Especificar detalhes do conjunto de permissões**, em **Nome do conjunto de permissões**, insira ****RegionalAdmin**** e escolha **Avançar**.
1. Na página **Review and create** (Revisar e criar), escolha **Create** (Criar). Você deve ser **RegionalAdmin**exibido na lista de conjuntos de permissões.
------
#### [ Step 2.2 > ]
**Etapa 2.2: Criar um NikkiWolf usuário correspondente no IAM Identity Center**
Como o protocolo SAML não fornece um mecanismo para consultar o IdP (Microsoft Entra ID) e criar usuários automaticamente aqui no IAM Identity Center, use o procedimento a seguir para criar manualmente um usuário no IAM Identity Center que espelhe os principais atributos do usuário Nikki Wolfs no Microsoft Entra ID.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Usuários**, depois **Adicionar usuário** e forneça as seguintes informações:
1. Para **nome de usuário** e **endereço de e-mail** — insira o mesmo ****NikkiWolf**@ *yourcompanydomain.extension*** que você usou ao criar seu Microsoft Entra ID usuário. Por exemplo, *NikkiWolf*@*example.org*.
1. **Confirmar o endereço de e-mail**: insira novamente o endereço de e-mail da etapa anterior
1. **Primeiro nome**: insira ****Nikki****
1. **Sobrenome**: insira ****Wolf****
1. **Nome de exibição**: insira ****Nikki Wolf****
1. Escolha **Avançar** e depois **Adicionar usuário**.
1. Selecione **Fechar**.
------
#### [ Step 2.3 ]
**Etapa 2.3: Atribuir Nikki ao conjunto de RegionalAdmin permissões em IAM Identity Center**
Aqui você localiza a região Conta da AWS na qual Nikki administrará as regiões e, em seguida, atribuirá as permissões necessárias para que ela acesse com sucesso o portal de AWS acesso.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Marque a caixa de seleção ao lado do nome da conta (por exemplo,*Sandbox*) na qual você deseja conceder à Nikki acesso para gerenciar regiões e, em seguida, escolha **Atribuir usuários e grupos**.
1. Na página **Atribuir usuários e grupos**, escolha a guia **Usuários**, localize e marque a caixa ao lado de Nikki e escolha **Avançar**.
1.
**Example**
1. Na página **Revisar e enviar**, revise as seleções e escolha **Enviar**.
------
## Etapa 3: configurar e testar a conexão SAML
Nesta etapa, você configura sua conexão SAML usando o aplicativo Centro de Identidade do AWS IAM corporativo Microsoft Entra ID junto com as configurações de IdP externo no IAM Identity Center.
------
#### [ Step 3.1 > ]
**Etapa 3.1: coletar os metadados necessários do provedor de serviços do IAM Identity Center**
Nesta etapa, você iniciará o assistente de **alteração da fonte de identidade** no console do IAM Identity Center e recuperará o arquivo de metadados e o URL de login AWS específico que você precisará inserir ao configurar a conexão na próxima etapa. Microsoft Entra ID
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e, em seguida, escolha **Ações > Alterar origem da identidade**.
1. Em **Escolher fonte de identidades**, selecione **Provedor de identidades externo** e escolha **Avançar**.
1. Na página **Configurar provedor de identidade externo**, em **Metadados do provedor de serviços**, escolha **Padrão IPv4** ou **Dual-stack**. Você pode baixar o arquivo de metadados do provedor de serviços depois de concluir a alteração da fonte de identidade.
1. Na mesma seção, localize e copie o valor da **URL de login do Portal de acesso do AWS **. Você precisará inserir esse valor quando solicitado na próxima etapa.
1. Deixe essa página aberta e vá para a próxima etapa (**`Step 3.2`**) para configurar a aplicação Centro de Identidade do AWS IAM corporativa emMicrosoft Entra ID. Posteriormente, você retornará a essa página para concluir o processo.
------
#### [ Step 3.2 > ]
**Etapa 3.2: Configurar o aplicativo Centro de Identidade do AWS IAM corporativo no Microsoft Entra ID**
Esse procedimento estabelece metade da conexão SAML do lado da Microsoft usando os valores do arquivo de metadados e o URL de logon único que você obteve na última etapa.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. No painel esquerdo, selecione **2. Configurar autorização única**.
1. **Na página **Configurar autenticação única com SAML**, escolha SAML**. Na página **Carregar arquivo de metadados**, escolha o ícone de pasta, selecione o arquivo de metadados do provedor de serviços que você baixou na etapa anterior e escolha **Adicionar**.
1. Na página **Configuração básica do SAML**, verifique se os valores do **Identificador** e do URL de **Resposta (URL do Assertion Consumer Service)** agora apontam para os endpoints em. AWS
+ **Identificador** - Esse é o **URL do emissor** do IAM Identity Center. O mesmo valor se aplica independentemente de você usar endpoints IPv4 -only ou dual-stack.
+ **URL de resposta (URL do Assertion Consumer Service)** - Os valores aqui incluem endpoints IPv4 somente e de pilha dupla de todas as regiões habilitadas do seu IAM Identity Center. Você pode usar o URL do ACS da região primária como padrão para que os usuários sejam redirecionados para a região primária ao iniciarem o aplicativo Amazon Web Services a partir de. Microsoft Entra ID Para obter mais informações sobre o ACS URLs, consulte[Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints).
+ (Opcional) Se você replicou o IAM Identity Center para regiões adicionais, você também pode criar um aplicativo de favoritos Microsoft Entra ID para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deMicrosoft Entra ID. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emMicrosoft Entra ID. Consulte a [Microsoft Entra IDdocumentação](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) para obter mais detalhes. Se você planeja replicar o IAM Identity Center para outras regiões posteriormente, visite [Microsoft Entra IDconfiguração para acesso a regiões adicionais](#gs-microsoft-entra-multi-region) para obter orientação sobre como habilitar o acesso às regiões adicionais após essa configuração inicial.
1. Em **URL de login (opcional)**, cole o valor do **URL de login do Portal de acesso do AWS ** que você copiou na etapa anterior (**`Step 3.1`**), escolha **Salvar** e depois **X** para fechar a janela.
1. Se for solicitado que você teste o login único com Centro de Identidade do AWS IAM, escolha **Não, vou** testar mais tarde. Você fará essa verificação em uma etapa posterior.
1. Na página **Configurar logon único com SAML**, na seção **Certificados SAML**, ao lado de **XML dos metadados da federação**, escolha **Baixar** para salvar o arquivo de metadados no sistema. Você precisará inserir esse arquivo quando solicitado na próxima etapa.
------
#### [ Step 3.3 > ]
**Etapa 3.3: configurar o IdP externo do Microsoft Entra ID no Centro de Identidade do AWS IAM**
Aqui, você retornará ao assistente **Alterar fonte de identidades** no console do IAM Identity Center para concluir a segunda metade da conexão SAML na AWS.
1. Retorne à sessão do navegador que você deixou aberta na **`Step 3.1`** no console do IAM Identity Center.
1. Na página **Configurar provedor de identidades externo**, na seção **Metadados do provedor de identidade** em **Metadados SAML do IdP**, escolha o botão **Escolher arquivo** e selecione o arquivo de metadados do provedor de identidades que você baixou do Microsoft Entra ID na etapa anterior e escolha **Abrir**.
1. Escolha **Próximo**.
1. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ****ACCEPT****.
1. Escolha **Alterar fonte de identidades** para aplicar as alterações.
------
#### [ Step 3.4 > ]
**Etapa 3.4: testar se Nikki é redirecionada para o Portal de acesso do AWS **
Neste procedimento, você testará a conexão SAML fazendo login no **portal Minha conta** da Microsoft com as credenciais de Nikki. Depois de autenticado, você selecionará o Centro de Identidade do AWS IAM aplicativo que redirecionará Nikki para o AWS portal de acesso.
1. Vá até página de login do [portal Minha conta](https://myaccount.microsoft.com/) e insira o endereço de e-mail completo de Nikki. Por exemplo, ***NikkiWolf**@**example.org*.
1. Quando solicitado, insira a senha de Nikki e escolha **Fazer login**.
1. Na página **Minha conta**, no painel de navegação esquerdo, escolha **Minhas aplicações**.
1. Na página **Minhas aplicações**, selecione a aplicação denominada **Centro de Identidade do AWS IAM**. Deve ser solicitado que você faça uma autenticação adicional.
1. Na página de login da Microsoft, escolha suas NikkiWolf credenciais. Se a autenticação for solicitada pela segunda vez, escolha suas NikkiWolf credenciais novamente. Isso deve redirecioná-lo automaticamente para o portal de AWS acesso.
**dica**
Se você não for redirecionado com sucesso, verifique se o valor do **URL de login do Portal de acesso do AWS ** inserido na **`Step 3.2`** corresponde ao valor que você copiou da **`Step 3.1`**.
1. Verifique se sua Contas da AWS tela.
**dica**
Se a página estiver vazia e sem Contas da AWS exibição, confirme se Nikki foi atribuída com sucesso ao conjunto de **RegionalAdmin**permissões (consulte **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Etapa 3.5: testar o nível de acesso de Nikki para gerenciar sua Conta da AWS**
Nesta etapa, você verificará o nível de acesso de Nikki para gerenciar as configurações de região para sua Conta da AWS. Nikki deve ter apenas privilégios de administrador suficientes para gerenciar regiões na página **Contas**.
1. No portal de AWS acesso, escolha a guia **Contas** para exibir a lista de contas. Os nomes das contas IDs, contas e endereços de e-mail associados a todas as contas nas quais você definiu conjuntos de permissões são exibidos.
1. Escolha o nome da conta (por exemplo,*Sandbox*) em que você aplicou o conjunto de permissões (consulte **`Step 2.3`**). Isso expandirá a lista de conjuntos de permissões que Nikki pode escolher para gerenciar sua conta.
1. Em seguida, **RegionalAdmin**escolha **Console de gerenciamento** para assumir a função que você definiu no conjunto de **RegionalAdmin**permissões. Isso redirecionará você para a página inicial do Console de gerenciamento da AWS .
1. No canto superior direito do console, escolha o nome da sua conta e depois **Conta**. Isso levará você para a página **Conta**. Observe que todas as outras seções desta página exibem uma mensagem informando que você não tem as permissões necessárias para visualizar ou modificar essas configurações.
1. Na página **Conta**, role para baixo até a seção **Regiões da AWS **. Marque uma caixa de seleção de qualquer região disponível na tabela. Observe que Nikki tem as permissões necessárias para **habilitar** ou **desabilitar** a lista de regiões de sua conta como pretendido.
**Muito bem\$1**
As etapas de 1 a 3 ajudaram você a implementar e testar com sucesso a conexão SAML. Agora, para concluir o tutorial, recomendamos que você passe para a etapa 4 para implementar o provisionamento automático.
------
## Etapa 4: configurar e testar a sincronização SCIM
Nesta etapa, você configurará o [provisionamento automático](provision-automatically.md) (sincronização) das informações de usuário do Microsoft Entra ID para o IAM Identity Center usando o protocolo SCIM v2.0. Você configura essa conexão no Microsoft Entra ID usando seu endpoint SCIM para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center.
Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário no Microsoft Entra ID para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e Microsoft Entra ID.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos que residem primariamente no Microsoft Entra ID para o IAM Identity Center usando a aplicação IAM Identity Center no Microsoft Entra ID.
------
#### [ Step 4.1 > ]
**Etapa 4.1: criar um segundo usuário de teste no Microsoft Entra ID**
Para fins de teste, você criará um novo usuário (Richard Roe) no Microsoft Entra ID. Posteriormente, depois de configurar a sincronização SCIM, você testará se esse usuário e todos os atributos relevantes foram sincronizados com sucesso com o IAM Identity Center.
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Usuários > Todos os usuários**.
1. Selecione **Novo usuário** e escolha **Criar novo usuário** na parte superior da tela.
1. Em **Nome da entidade principal do usuário**, insira ** **RichRoe**** e selecione o domínio e a extensão de sua preferência. Por exemplo, *RichRoe*@*example.org*.
1. Em **Nome de exibição**, insira ****RichRoe****.
1. Em **Senha**, insira uma senha forte ou selecione o ícone de olho para mostrar a senha que foi gerada automaticamente e copie ou anote o valor exibido.
1. Selecione **Propriedades** e forneça os seguintes valores:
+ **Nome**: insira ****Richard****
+ **Sobrenome**: insira ****Roe****
+ **Cargo**: insira ****Marketing Lead****
+ **Departamento**: insira ****Sales****
+ **ID do funcionário**: insira ****12345****
1. Selecione **Revisar \$1 criar** e depois **Criar**.
------
#### [ Step 4.2 > ]
**Etapa 4.2: habilitar provisionamento no IAM Identity Center**
Neste procedimento, você usará o console do IAM Identity Center para habilitar o provisionamento automático de usuários e grupos originários do Microsoft Entra ID para o IAM Identity Center.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon) e escolha **Configurações** no painel de navegação esquerdo.
1. Na página **Configurações**, na guia **Fonte de identidades**, observe que **Método de aprovisionamento** está definido como **Manual**.
1. Localize a caixa de informações **Provisionamento automático** e escolha **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo **Provisionamento automático de entrada**, copie cada um dos valores para as opções a seguir. Você precisará colá-los na próxima etapa quando configurar o provisionamento no Microsoft Entra ID.
1. **Endpoint SCIM** - Por exemplo,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Pilha dupla: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir.
1. Escolha **Fechar**.
1. Na guia **Fonte de identidades**, observe que **Método de provisionamento** agora está definido como **SCIM**.
------
#### [ Step 4.3 > ]
**Etapa 4.3: configurar o provisionamento automático no Microsoft Entra ID**
Agora que você tem seu usuário de RichRoe teste instalado e habilitou o SCIM no IAM Identity Center, você pode continuar com a configuração das configurações de sincronização do SCIM em. Microsoft Entra ID
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. Escolha **Provisionamento** em **Gerenciar** e depois escolha **Provisionamento** novamente.
1. Em **Modo de aprovisionamento**, selecione **Automático**.
1. Em **Credenciais do administrador**, em **URL do locatário**, cole o valor da URL do **endpoint SCIM** que você copiou anteriormente na **`Step 4.2`**. Em **Token secreto**, cole o valor do **token de acesso**.
1. Escolha **Test Connection (Testar conexão)**. Você deve ver uma mensagem indicando que as credenciais testadas foram autorizadas com sucesso a habilitar o provisionamento.
1. Escolha **Salvar**.
1. Em **Gerenciar**, escolha **Usuários e grupos** e depois escolha **Adicionar usuário/grupo**.
1. Na página **Adicionar atribuição**, em **Usuários**, escolha **Nenhum selecionado**.
1. Selecione e **RichRoe**, em seguida, escolha **Selecionar**.
1. Na página **Add Assignment** (Adicionar atribuição), escolha **Assign** (Atribuir).
1. Escolha **Visão geral** e depois **Iniciar provisionamento**.
------
#### [ Step 4.4 ]
**Etapa 4.4: verificar se a sincronização ocorreu**
Nesta seção, você verificará se o usuário Richard foi provisionado com sucesso e se todos os atributos são exibidos no IAM Identity Center.
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Usuários**.
1. Na página **Usuários**, você deve ver seu **RichRoe**usuário exibido. Observe que na coluna **Criado por**, o valor está definido como **SCIM**.
1. Escolha **RichRoe**, em **Perfil**, verificar se os atributos a seguir foram copiados deMicrosoft Entra ID.
+ **Nome**: ****Richard****
+ **Sobrenome**: ****Roe****
+ **Departamento**: ****Sales****
+ **Cargo**: ****Marketing Lead****
+ **Número do funcionário**: ****12345****
Agora que o usuário de Richard foi criado no IAM Identity Center, você pode atribuí-lo a qualquer conjunto de permissões para poder controlar o nível de acesso que ele tem aos recursos da AWS . Por exemplo, você pode atribuir **RichRoe**ao conjunto de **RegionalAdmin** permissões usado anteriormente para conceder a Nikki as permissões para gerenciar regiões (consulte **`Step 2.3`**) e depois testar seu nível de acesso usando **`Step 3.5`**.
**Parabéns\$1**
Você configurou com êxito uma conexão SAML entre a Microsoft AWS e verificou que o provisionamento automático está funcionando para manter tudo sincronizado. Agora você pode aplicar o que aprendeu para configurar seu ambiente de produção com mais facilidade.
------
## *Etapa 5: configurar ABAC: opcional*
Agora que você configurou o SAML e o SCIM com sucesso, pode optar por configurar o controle de acesso por atributo (ABAC). ABAC é uma estratégia de autorização que define permissões com base em atributos.
Com o Microsoft Entra ID, você pode usar qualquer dos dois métodos a seguir para configurar o ABAC para uso com o IAM Identity Center.
------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]
**Configurar atributos do usuário no Microsoft Entra ID para controle de acesso no IAM Identity Center**
No procedimento a seguir, você determinará quais atributos Microsoft Entra ID devem ser usados pelo IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Depois de definidos, Microsoft Entra ID envie esses atributos para o IAM Identity Center por meio de asserções SAML. Em seguida, você precisará acessar [Crie um conjunto de permissões](howtocreatepermissionset.md) no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do Microsoft Entra ID.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. Escolha **Logon único**.
1. Na seção **Atributos e declarações**, escolha **Editar**.
1. Na página **Atributos e declarações**, faça o seguinte:
1. Escolha **Adicionar nova reivindicação**
1. Em **Nome**, insira `AccessControl:AttributeName`. Substitua *AttributeName* pelo nome do atributo que você espera no IAM Identity Center. Por exemplo, .`AccessControl:Department`
1. Em **Namespace**, insira ****https://aws.amazon.com/SAML/Attributes****.
1. Em **Origem**, escolha **Atributo**.
1. Para **Atributo de fonte**, use a lista suspensa para escolher os atributos do Microsoft Entra ID usuário. Por exemplo, .`user.department`
1. Repita a etapa anterior para cada atributo que você precisa enviar para o IAM Identity Center na declaração SAML.
1. Escolha **Salvar**.
------
#### [ Configure ABAC using IAM Identity Center ]
**Configurar ABAC usando o IAM Identity Center**
Com esse método, você usa o recurso [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Você pode usar esse elemento para passar atributos como tags de sessão na asserção SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par de valores-chave da tag `Department=billing`, use o seguinte atributo:
```
billing
```
Se você precisar adicionar vários atributos, inclua um elemento `Attribute` separado para cada tag.
------
## Atribuir acesso a Contas da AWS
As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.
**nota**
Para concluir essa etapa, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
### Etapa 1: IAM Identity Center: conceder aos usuários do Microsoft Entra ID acesso a contas
1. Volte para o console do **IAM Identity Center**. No painel de navegação do IAM Identity Center, em **Permissões multicontas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, a **Estrutura organizacional** exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione **Atribuir usuários ou grupos**.
1. O fluxo de trabalho **Atribuir usuários e grupos** é exibido. Ele consiste em três etapas:
1. Em **Etapa 1: selecionar usuários e grupos**, escolha o usuário que desempenhará a função de administrador. Escolha **Próximo**.
1. Em **Etapa 2: selecionar conjuntos de permissões**, escolha **Criar conjunto de permissões** para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.
1. Em **Etapa 1: selecionar o tipo de conjunto de permissões**, preencha o seguinte:
+ Em **Tipo de conjunto de permissões**, escolha **Conjunto de permissões predefinido**.
+ Em **Política para conjunto de permissões predefinido**, escolha **AdministratorAccess**.
Escolha **Próximo**.
1. Em **Etapa 2: especificar detalhes do conjunto de permissões**, mantenha as configurações padrão e escolha **Avançar**.
As configurações padrão criam um conjunto de permissões chamado *AdministratorAccess* com a duração da sessão definida em uma hora.
1. Para **a Etapa 3: revisar e criar**, verifique se o **tipo de conjunto de permissões** usa a política AWS gerenciada **AdministratorAccess**. Escolha **Criar**. Na página **Conjuntos de permissões**, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.
1. Na guia **Atribuir usuários e grupos** do navegador, você ainda está na **Etapa 2: selecionar conjuntos de permissões** na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.
1. Na área **Conjuntos de permissões**, escolha o botão **Atualizar**. O conjunto de *AdministratorAccess* permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha **Avançar**.
1. Em **Etapa 3: revisar e enviar**, revise o usuário e o conjunto de permissões selecionados e escolha **Enviar**.
A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.
Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a *AdministratorAccess* função.
### Etapa 2Microsoft Entra ID: confirmar o acesso Microsoft Entra ID dos usuários aos AWS recursos
1. Volte ao console **Microsoft Entra ID** e navegue até a aplicação de login baseada em SAML do IAM Identity Center.
1. Selecione **Usuários e grupos** e selecione **Adicionar usuários ou grupos**. Você adicionará o usuário que criou neste tutorial na Etapa 4 à aplicação Microsoft Entra ID. Ao adicionar o usuário, você permitirá que ele faça login na AWS. Procure o usuário que você criou na Etapa 4. Se você seguiu esta etapa, seria **RichardRoe**.
1. Para uma demonstração, consulte [Federar a instância existente do IAM Identity Center com o Microsoft Entra ID](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)
## Microsoft Entra IDconfiguração para acesso a regiões adicionais do IAM Identity Center - opcional
Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso aos aplicativos AWS gerenciados e Contas da AWS por meio das regiões adicionais. As etapas abaixo orientam você pelo procedimento. Para obter mais detalhes sobre esse tópico, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)
1. Recupere o ACS URLs para as regiões adicionais do console do IAM Identity Center, conforme descrito em. [Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints)
1. No console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade > Aplicações > Aplicações empresariais** e escolha **Centro de Identidade do AWS IAM**.
1. No painel esquerdo, selecione **2. Configurar autorização única**.
1. Na página **Configuração básica do SAML**, na seção URL de **resposta (URL do Assertion Consumer Service), escolha Adicionar URL** **de resposta para cada URL** ACS adicional da região. Você pode manter o URL do ACS da região primária como padrão para que os usuários continuem sendo redirecionados para a região primária ao iniciarem o Centro de Identidade do AWS IAM aplicativo. Microsoft Entra ID
1. Quando terminar de adicionar o ACS URLs, salve o **Centro de Identidade do AWS IAM**aplicativo.
1. Você pode criar um aplicativo de favoritos Microsoft Entra ID para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deMicrosoft Entra ID. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emMicrosoft Entra ID. Consulte a [Microsoft Entra IDdocumentação](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) para obter mais detalhes.
1. Verifique se você pode entrar no portal de AWS acesso em cada região adicional. Navegue até o [portal de AWS acesso URLs](multi-region-workforce-access.md#portal-endpoints) ou inicie os aplicativos de Microsoft Entra ID favoritos em.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o Microsoft Entra ID, consulte as seguintes seções:
+ [Problemas de sincronização com o Microsoft Entra ID e o IAM Identity Center](#entra-scim-troubleshooting)
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ [Recursos adicionais do](#entra-scim-troubleshooting-resources)
### Problemas de sincronização com o Microsoft Entra ID e o IAM Identity Center
Se você estiver enfrentando problemas com usuários do Microsoft Entra ID que não estão sincronizando com o IAM Identity Center, talvez seja devido a um problema de sintaxe que o IAM Identity Center sinalizou que acontece quando um novo usuário está sendo adicionado ao IAM Identity Center. Você pode confirmar isso verificando os eventos com falha registrados nos logs de auditoria do Microsoft Entra ID, como uma `'Export'`. O **Motivo do status** para este evento indicará:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Você também pode verificar se AWS CloudTrail o evento falhou. Isso pode ser feito pesquisando no console do **Histórico de Eventos** ou CloudTrail usando o seguinte filtro:
```
"eventName":"CreateUser"
```
O erro no CloudTrail evento indicará o seguinte:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
Em última análise, essa exceção significa que um dos valores passados do Microsoft Entra ID continha mais valores do que previsto. A solução é revisar os atributos do usuário no Microsoft Entra ID, garantindo que nenhum deles contenha valores duplicados. Um exemplo comum de valores duplicados é ter vários valores presentes para números de contato, como **celular**, **trabalho** e **fax**. Embora sejam valores separados, todos eles são passados para o IAM Identity Center sob o atributo ascendente único **PhoneNumbers**.
Para obter dicas de solução de problemas em geral, consulte [Solução de problemas](troubleshooting.md#issue2).
### Sincronização da conta de convidado do Microsoft Entra ID
Se você quiser sincronizar os usuários convidados do Microsoft Entra ID com o IAM Identity Center, consulte o procedimento a seguir.
O e-mail dos usuários convidados do Microsoft Entra ID é diferente do de outros usuários do Microsoft Entra ID. Essa diferença causa problemas ao tentar sincronizar usuários convidados do Microsoft Entra ID com o IAM Identity Center. Por exemplo, veja o seguinte endereço de e-mail de um usuário convidado:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
O IAM Identity Center não espera que o endereço de e-mail contenha o *\$1EXT\$1@domain* formato.
1. Faça login no console do [Centro de administração do Microsoft Entra](https://entra.microsoft.com/), navegue até **Identidade** > **Aplicativos** > **Aplicativos empresariais** e escolha **Centro de Identidade do AWS IAM**
1. Navegue até a guia **Autenticação única** no painel esquerdo.
1. Selecione **Editar**, que aparece ao lado de **Atributos e declarações do usuário**.
1. Selecione **Identificador exclusivo do usuário (ID do nome)** após **Declarações obrigatórias**.
1. Você criará duas condições de declaração para usuários e usuários convidados do Microsoft Entra ID:
1. Para usuários do Microsoft Entra ID, crie um tipo de usuário para membros com o atributo de origem definido como ` user.userprincipalname`.
1. Para usuários convidados do Microsoft Entra ID, crie um tipo de usuário para convidados externos com o atributo de origem definido como `user.mail`.
1. Selecione **Salvar** e tente fazer login novamente como usuário convidado do Microsoft Entra ID.
### Recursos adicionais do
+ Para obter dicas de solução de problemas em geral, consulte [Solução de problemas do IAM Identity Center](troubleshooting.md).
+ Para solução de problemas do Microsoft Entra ID, consulte a [documentação da Microsoft](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Para saber mais sobre a federação entre vários Contas da AWS, consulte [Protegendo Contas da AWS com Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico
# Configurar SAML e SCIM com o Okta e o IAM Identity Center
Você pode provisionar ou sincronizar informações de usuários e grupos do Okta para o IAM Identity Center automaticamente usando o protocolo [System for Cross-domain Identity Management (SCIM) 2.0](scim-profile-saml.md#scim-profile). Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
Para configurar essa conexão no Okta, você usa seu endpoint SCIM para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário no Okta para os atributos nomeados no IAM Identity Center. Esse mapeamento compara os atributos de usuário esperados entre o IAM Identity Center e a sua conta da Okta.
O Okta oferece suporte aos seguintes recursos de provisionamento quando conectado ao IAM Identity Center por meio do SCIM:
+ Criar usuários: os usuários atribuídos à aplicação IAM Identity Center no Okta são provisionados no IAM Identity Center.
+ Atualizar atributos do usuário – As alterações de atributos para usuários atribuídos ao aplicativo IAM Identity Center no Okta são atualizadas no IAM Identity Center.
+ Desativar usuários – Os usuários que não estão atribuídos ao aplicativo IAM Identity Center no Okta são desativados no IAM Identity Center.
+ Push de grupo – Os grupos (e seus membros) no Okta são sincronizados com o IAM Identity Center.
**nota**
Para minimizar a sobrecarga administrativa no Okta e no IAM Identity Center, recomendamos que você atribua e *envie por push* para grupos em vez de usuários individuais.
+ Importar usuários — Os usuários podem ser importados do IAM Identity Center para Okta o.
**Objetivo**
Neste tutorial, você aprenderá passo a passo como configurar uma conexão SAML com o Okta IAM Identity Center. Posteriormente, você sincronizará os usuários do Okta usando o SCIM. Nesse cenário, você gerencia todos os usuários e grupos no Okta. Os usuários fazem login pelo Portal de acesso do Okta. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como Okta usuário e verificará o acesso aos AWS recursos.
Os seguintes recursos são compatíveis ao se conectar Okta ao IAM Identity Center por meio do SAML:
+ Login SAML iniciado pelo IdP — Os usuários fazem login por meio do Okta portal e obtêm acesso ao IAM Identity Center.
+ Login SAML iniciado pelo SP — Os usuários acessam o portal de AWS acesso, que os redireciona para entrar pelo portal. Okta
**nota**
Você pode se cadastrar em uma conta do Okta ([teste gratuito](https://www.okta.com/free-trial/)) que tem a [aplicação IAM Identity Center](https://www.okta.com/integrations/aws-single-sign-on/) do Okta's instalada. Para produtos da Okta pagos, talvez seja necessário confirmar se sua licença do Okta é compatível com *gerenciamento do ciclo de vida* ou recursos similares que permitam o provisionamento externo. Esses recursos podem ser necessários para configurar o SCIM do Okta para o IAM Identity Center.
Se você ainda não habilitou o IAM Identity Center, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
## Considerações
+ Antes de configurar o provisionamento SCIM entre o Okta e o IAM Identity Center, é recomendável que você revise as [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations).
+ Todo usuário do Okta deve ter um valor especificado de **Nome**, **Sobrenome**, **Nome de usuário** e **Nome de exibição**.
+ Todo usuário do Okta tem apenas um valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.
+ Ao usar o Okta com o IAM Identity Center, IAM Identity Center geralmente é configurado como uma aplicação no Okta. Isso permite que você configure várias instâncias do IAM Identity Center como várias aplicações, permitindo acesso a várias organizações da AWS em uma única instância do Okta.
+ Os direitos e os atributos de perfil não são compatíveis e não podem ser sincronizados com o IAM Identity Center.
+ Atualmente não é possível usar o mesmo grupo do Okta para atribuições e envio automático de grupos. Para manter as associações dos grupos consistentes entre o Okta e o IAM Identity Center, crie um grupo separado e configure-o para enviar automaticamente os grupos para o IAM Identity Center.
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e Contas da AWS por meio de regiões adicionais. Para obter mais detalhes, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md) As etapas específicas do Okta são descritas em [Oktaconfiguração para acesso a regiões adicionais](#gs-okta-multi-region)
## Etapa 1: Okta: obter os metadados SAML da sua conta da Okta
1. Faça login no Okta admin dashboard, expanda **Aplicações** e selecione **Aplicações**.
1. Na página **Applications** (Aplicações), escolha **Browse App Catalog** (Navegar pelo App Catalog).
1. Na caixa de pesquisa ** Centro de Identidade do AWS IAM**, digite e selecione o aplicativo para adicionar o aplicativo IAM Identity Center.
1. Selecione a guia **Fazer login**.
1. Em **Certificados de assinatura SAML**, selecione **Ações** e depois **Visualizar metadados do IdP.** Uma nova guia de navegador é aberta mostrando a árvore de documentos de um arquivo XML. Selecione todo o XML de `` a `` e copie-o em um arquivo de texto.
1. Salve o arquivo de texto como `metadata.xml`.
Deixe o Okta admin dashboard aberto, pois você continuará usando esse console em etapas posteriores.
## Etapa 2: IAM Identity Center: configurar o Okta como fonte de identidades para o IAM Identity Center
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon) como um usuário com privilégios administrativos.
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha **Ações** e depois **Alterar fonte de identidades**.
1. Em **Escolher fonte de identidade**, selecione **Escolher fonte de identidade** e, depois, **Próximo**.
1. Em **Configurar provedor de identidades externo**, faça o seguinte:
1. Em **Metadados do provedor** de serviços, copie os seguintes itens em um arquivo de texto para facilitar o acesso:
+ **URL do IAM Identity Center Assertion Consumer Service (ACS)** — Você pode escolher entre ACS IPv4 somente e ACS de pilha dupla. URLs Além disso, se sua instância do IAM Identity Center estiver habilitada em várias regiões, cada região adicional terá seu próprio IPv4 ACS de pilha dupla e somente. URLs Para obter mais informações sobre o ACS URLs, consulte[Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints).
+ **URL do emissor do IAM Identity Center**
Você vai precisar desses valores mais adiante neste tutorial.
1. Em **Metadados do provedor de identidades**, em **Metadados do IdP SAML**, selecione **Escolher arquivo** e selecione o arquivo `metadata.xml` que você criou no procedimento anterior.
1. Escolha **Próximo**.
1. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira **ACEITAR**.
1. Escolha **Alterar origem de identidade**.
Deixe o AWS console aberto, você continuará usando esse console na próxima etapa.
1. Volte para Okta admin dashboard e selecione a guia **Entrar do Centro de Identidade do AWS IAM aplicativo e, em** seguida, selecione **Editar**.
1. Em **Configurações avançadas de login**, insira o seguinte:
+ Para o **URL do ACS**, insira os valores que você copiou para o URL **do IAM Identity Center Assertion Consumer Service (ACS**). Você pode usar o URL do ACS da região primária como padrão para que os usuários sejam redirecionados para a região primária ao iniciarem o aplicativo Amazon Web Services a partir de. Okta
+ (Opcional) Se você replicou o IAM Identity Center para regiões adicionais, você também pode criar um aplicativo de favoritos Okta para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deOkta. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emOkta. Consulte a [Oktadocumentação](https://support.okta.com/help/s/article/create-a-bookmark-app) para obter mais detalhes. Se você planeja replicar o IAM Identity Center para outras regiões posteriormente, visite [Oktaconfiguração para acesso a regiões adicionais](#gs-okta-multi-region) para obter orientação sobre como habilitar o acesso às regiões adicionais após essa configuração inicial.
+ Em **URL do emissor**, insira o valor que você copiou para **URL do emissor do IAM Identity Center**
+ Em **Formato de nome de usuário da aplicação**, selecione uma das opções do menu.
Certifique-se de que o valor escolhido seja exclusivo de cada usuário. Para este tutorial, selecione o **Nome de usuário do Okta**
1. Escolha **Salvar**.
Agora você está pronto para provisionar usuários do Okta no IAM Identity Center. Deixe o Okta admin dashboard aberto e volte para o console do IAM Identity Center para o realizar a próxima etapa.
## Etapa 3: IAM Identity Center e Okta: provisionar usuários do Okta
1. Na página **Configurações** do console do IAM Identity Center, localize a caixa de informações **Provisionamento automático** e escolha **Habilitar**. Isso habilita o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e as informações do token de acesso.
1. Na caixa de diálogo **Provisionamento automático de entrada**, copie os valores para as seguintes opções:
1. **Endpoint SCIM** - O formato do endpoint depende da sua configuração:
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
+ Pilha dupla: https://scim. *us-east-2*.api.aws/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar o provisionamento automático no Okta mais adiante neste tutorial.
1. Escolha **Fechar**.
1. Volte para o Okta admin dashboard e navegue até a aplicação IAM Identity Center.
1. Na página **Aplicação do IAM Identity Center**, escolha a guia **Provisionamento** e, no painel de navegação esquerdo, em **Configurações**, escolha **Integração**.
1. Escolha **Editar** e marque a caixa de seleção ao lado de **Habilitar integração de API** para habilitar o provisionamento automático.
1. Configure Okta com os valores de provisionamento do SCIM Centro de Identidade do AWS IAM que você copiou anteriormente nesta etapa:
1. No campo **URL da base**, insira o valor do **Endpoint SCIM**.
1. No campo **Token da API**, insira o valor do **Token de acesso**.
1. Escolha **Testar credenciais da API** para verificar se as credenciais inseridas são válidas.
A mensagem **O Centro de Identidade do AWS IAM foi verificado com sucesso\$1** é exibida.
1. Escolha **Salvar**. Você é levado para a seção **Configurações**, com a opção **Integração** selecionada.
1. Em **Configurações**, escolha **Para aplicação** e marque a caixa de seleção **Habilitar** para cada um dos atributos de **Provisionamento para aplicação** que você deseja habilitar. Para este tutorial, selecione todas as opções.
1. Escolha **Salvar**.
Agora você está pronto para sincronizar os usuários do Okta com o IAM Identity Center.
## Etapa 4: Okta: sincronizar os usuários do Okta com o IAM Identity Center
Por padrão, nenhum usuário ou grupo está atribuído à aplicação IAM Identity Center do Okta. Os grupos de aprovisionamento provisionam os usuários que são membros do grupo. Conclua as etapas a seguir para sincronizar grupos e usuários com Centro de Identidade do AWS IAM.
1. Na página **Aplicação do IAM Identity Center do Okta**, escolha a guia **Atribuições**. Você pode atribuir pessoas e grupos à aplicação IAM Identity Center.
1. Para atribuir pessoas:
+ Na página **Atribuições**, escolha **Atribuir** e, em depois, escolha **Atribuir a pessoas**.
+ Escolha os usuários do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha **Atribuir**, **Salvar e voltar** e escolha **Concluído**.
Isso inicia o processo de provisionamento de usuários para o IAM Identity Center.
1. Para atribuir grupos:
+ Na página **Atribuições**, escolha **Atribuir** e depois **Atribuir a grupos**.
+ Escolha os grupos do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha **Atribuir**, **Salvar e voltar** e escolha **Concluído**.
Isso inicia o processo de provisionamento dos usuários do grupo no IAM Identity Center.
**nota**
Talvez seja necessário especificar atributos adicionais para o grupo se eles não estiverem presentes em todos os registros de usuário. Os atributos especificados para o grupo substituirão os valores dos atributos individuais.
1. Escolha a guia **Enviar por push para grupos**. Escolha o grupo do Okta que você deseja sincronizar com o IAM Identity Center. Escolha **Salvar**.
O status do grupo muda para **Ativo** depois que o grupo e seus membros são enviados automaticamente para o IAM Identity Center.
1. Volte para a guia **Atribuições**.
1. Para adicionar usuários individuais do Okta ao IAM Identity Center, use as seguintes etapas:
1. Na página **Atribuições**, escolha **Atribuir** e, em seguida, escolha **Atribuir a pessoas**.
1. Escolha os usuários do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha **Atribuir**, **Salvar e voltar** e escolha **Concluído**.
Isso inicia o processo de provisionamento de usuários individuais para o IAM Identity Center.
**nota**
Você também pode atribuir usuários e grupos ao Centro de Identidade do AWS IAM aplicativo, na página **Aplicativos** doOkta admin dashboard. Para fazer isso, selecione o ícone de **Configurações** e escolha **Atribuir a usuários** ou **Atribuir a grupos** e especifique o usuário ou o grupo.
1. Volte para o console do IAM Identity Center. No painel de navegação esquerdo, selecione **Usuários**. Você deve ver a lista de usuários preenchida com seus usuários do Okta.
**Parabéns\$1**
Você configurou com êxito uma conexão SAML entre Okta e AWS e verificou se o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas no **IAM Identity Center**. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo a ele permissões administrativas para a conta de gerenciamento.
## Passagem de atributos para controle de acesso: *opcional*
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Atribuir acesso a Contas da AWS
As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.
**nota**
Para concluir essa etapa, você precisará de uma instância de organização do IAM Identity Center. Para obter mais informações, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
### Etapa 1: IAM Identity Center: conceder aos usuários do Okta acesso a contas
1. No painel de navegação do IAM Identity Center, em **Permissões multicontas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, a **Estrutura organizacional** exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione **Atribuir usuários ou grupos**.
1. O fluxo de trabalho **Atribuir usuários e grupos** é exibido. Ele consiste em três etapas:
1. Em **Etapa 1: selecionar usuários e grupos**, escolha o usuário que desempenhará a função de administrador. Escolha **Próximo**.
1. Em **Etapa 2: selecionar conjuntos de permissões**, escolha **Criar conjunto de permissões** para abrir uma nova guia que orienta você pelas três sub-etapas da criação de um conjunto de permissões.
1. Em **Etapa 1: selecionar o tipo de conjunto de permissões**, preencha o seguinte:
+ Em **Tipo de conjunto de permissões**, escolha **Conjunto de permissões predefinido**.
+ Em **Política para conjunto de permissões predefinido**, escolha **AdministratorAccess**.
Escolha **Próximo**.
1. Em **Etapa 2: especificar detalhes do conjunto de permissões**, mantenha as configurações padrão e escolha **Avançar**.
As configurações padrão criam um conjunto de permissões chamado *AdministratorAccess* com a duração da sessão definida em uma hora.
1. Para **a Etapa 3: revisar e criar**, verifique se o **tipo de conjunto de permissões** usa a política AWS gerenciada **AdministratorAccess**. Escolha **Criar**. Na página **Conjuntos de permissões**, é exibida uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.
Na guia **Atribuir usuários e grupos** do navegador, você ainda está na **Etapa 2: selecionar conjuntos de permissões** na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.
Na área **Conjuntos de permissões**, escolha o botão **Atualizar**. O conjunto de *AdministratorAccess* permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha **Avançar**.
1. Na **Etapa 3: revisar e enviar**, revise o usuário e o conjunto de permissões selecionados e escolha **Enviar**.
A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.
Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a *AdministratorAccess* função.
### Etapa 2Okta: confirmar o acesso Okta dos usuários aos AWS recursos
1. Faça login usando uma conta de teste no Okta dashboard.
1. Em **Minhas aplicações**, selecione o ícone do Centro de Identidade do AWS IAM.
1. Você deve ver o Conta da AWS ícone. Expanda esse ícone para ver a lista Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.
1. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de **AdministratorAccess**permissões.
1. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou o acesso tanto ao acesso programático Console de gerenciamento da AWS quanto ao acesso programático. Selecione **Console de gerenciamento** para abrir o Console de gerenciamento da AWS.
1. O usuário faz login no Console de gerenciamento da AWS.
Você também pode usar o portal de AWS acesso. Isso redireciona você para entrar pelo Okta portal antes de levá-lo ao portal de AWS acesso. Esse caminho segue o fluxo de login do SAML iniciado pelo SP.
## Oktaconfiguração para acesso a regiões adicionais do IAM Identity Center - opcional
Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso aos aplicativos AWS gerenciados e Contas da AWS por meio das regiões adicionais. As etapas abaixo orientam você pelo procedimento. Para obter mais detalhes sobre esse tópico, incluindo os pré-requisitos, consulte. [Usando o IAM Identity Center em vários Regiões da AWS](multi-region-iam-identity-center.md)
1. Recupere o ACS URLs para as regiões adicionais do console do IAM Identity Center, conforme descrito em. [Endpoints ACS no primário e adicional Regiões da AWS](multi-region-workforce-access.md#acs-endpoints)
1. No painel de navegação do painel de Okta administração, escolha **Aplicativos** e, em seguida, **Aplicativos** novamente na lista expandida.
1. Escolha o aplicativo do **Centro de Identidade do AWS IAM**.
1. Escolha a guia **Fazer logon**.
1. **Em Configurações avançadas de login** e Outro **SSO solicitável URLs**, escolha **Adicionar outro** para o URL do ACS de cada região adicional e cole o URL do ACS no campo de texto.
1. Quando terminar de adicionar o ACS URLs, salve o **Centro de Identidade do AWS IAM**aplicativo.
1. Você pode criar um aplicativo de favoritos Okta para o portal de AWS acesso em cada região adicional. Isso permite que seus usuários acessem o portal de AWS acesso em regiões adicionais a partir deOkta. Certifique-se de conceder aos seus usuários permissões para acessar os aplicativos de favoritos emOkta. Consulte a [Oktadocumentação](https://support.okta.com/help/s/article/create-a-bookmark-app) para obter mais detalhes.
1. Verifique se você pode entrar no portal de AWS acesso em cada região adicional. Navegue até o [portal de AWS acesso URLs](multi-region-workforce-access.md#portal-endpoints) ou inicie os aplicativos de Okta favoritos em.
## Próximas etapas
Agora que você configurou o Okta como provedor de identidades e provisionou usuários no IAM Identity Center, você pode:
+ Conceda acesso a Contas da AWS, veja[Atribuir acesso de usuário ou grupo a Contas da AWS](assignusers.md).
+ Conceder acesso a aplicações na nuvem, consulte [Atribuir acesso de usuário às aplicações no console do IAM Identity Center](assignuserstoapp.md).
+ Configure as permissões de acordo com as funções, consulte [Criar um conjunto de permissões](howtocreatepermissionset.md).
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o Okta, consulte as seguintes seções:
+ [Reprovisionamento de usuários e grupos excluídos do IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Erro de provisionamento automático no Okta](#okta-auto-provisioning-error)
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ [Recursos adicionais do](#gs-okta-troubleshooting-resources)
### Reprovisionamento de usuários e grupos excluídos do IAM Identity Center
+ Você poderia receber a seguinte mensagem de erro no console do Okta se estivesse tentando alterar um usuário ou grupo do Okta que já foi sincronizado e depois excluído do IAM Identity Center:
+ Centro de Identidade do AWS IAM Falha no envio automático do perfil do usuário *Jane Doe* para o aplicativo: Erro ao tentar enviar a atualização do perfil para*jane\$1doe@example.com*: Nenhum usuário retornou para o usuário *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ O grupo vinculado está ausente em Centro de Identidade do AWS IAM. Altere o grupo vinculado para retomar o envio automático de associações ao grupo.
+ Você também poderia receber a seguinte mensagem de erro nos logs de sistemas do Okta para usuários ou grupos do IAM Identity Center sincronizados e excluídos:
+ Erro Okta: eventfailed application.provision.user.push\$1profile: Nenhum usuário retornou para o usuário *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Erro Okta: application.provision.group\$1push.mapping.update.or.delete.failed.with.error: o grupo vinculado está ausente. Centro de Identidade do AWS IAM Altere o grupo vinculado para retomar o envio automático de associações ao grupo.
**Atenção**
Usuários e grupos devem ser excluídos do Okta em vez do IAM Identity Center se você tiver sincronizado o Okta com o IAM Identity Center usando SCIM.
**Solução de problemas de usuários excluídos do IAM Identity Center**
Para resolver esse problema de usuários excluídos do IAM Identity Center, os usuários devem ser excluídos do Okta. Se necessário, esses usuários também deveriam ser recriados no Okta. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um usuário, consulte a [documentação do Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm).
**nota**
Se você precisar remover o acesso de um usuário do Okta ao IAM Identity Center, primeiro remova-o do envio automático de grupo e depois do grupo de atribuição no Okta. Isso garante que o usuário seja removido da sua associação ao grupo correspondente no IAM Identity Center. Para obter mais informações sobre solução de problemas de envio automático de grupo, consulte a [documentação do Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Solução de problemas de grupos do IAM Identity Center excluídos**
Para resolver esse problema de grupos do IAM Identity Center excluídos, os usuários devem ser excluídos do Okta. Se necessário, esses grupos também precisariam ser recriados no Okta usando o envio automático de grupo. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um grupo, consulte a [documentação do Okta](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
### Erro de provisionamento automático no Okta
Se você recebeu um a seguinte mensagem de erro no Okta:
Falha no provisionamento automático da usuária Jane Doe para o aplicativo: usuário correspondente Centro de Identidade do AWS IAM não encontrado
Consulte a [documentação do Okta](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US) para obter mais informações.
### Recursos adicionais do
+ Para obter dicas de solução de problemas em geral, consulte [Solução de problemas do IAM Identity Center](troubleshooting.md).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico
# Configurar o provisionamento SCIM entre o OneLogin e o IAM Identity Center
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) de informações de usuários e grupos do seu OneLogin no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
**nota**
OneLoginatualmente não oferece suporte ao SAML Multiple Assertion Consumer Service (ACS) URLs no aplicativo. Centro de Identidade do AWS IAM Esse recurso SAML é necessário para aproveitar totalmente o [suporte multirregional](multi-region-iam-identity-center.md) no IAM Identity Center. Se você planeja replicar o IAM Identity Center para regiões adicionais, saiba que o uso de uma única URL do ACS pode afetar a experiência do usuário nessas regiões adicionais. Sua região principal continuará funcionando normalmente. Recomendamos que você trabalhe com seu fornecedor de IdP para ativar esse recurso. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte [Usando aplicativos AWS gerenciados sem vários ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e. [Conta da AWS resiliência de acesso sem vários ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Você configura essa conexão em OneLogin usando seu endpoint SCIM para o IAM Identity Center e um token portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no OneLogin para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e OneLogin.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do OneLogin para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes.
**Topics**
+ [Pré-requisitos](#onelogin-prereqs)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#onelogin-step1)
+ [Etapa 2: Configure o provisionamento no OneLogin](#onelogin-step2)
+ [(Opcional) Etapa 3: configure atributos do usuário no OneLogin para controle de acesso no IAM Identity Center](#onelogin-step3)
+ [(Opcional) Passar atributos para controle de acesso](#onelogin-passing-abac)
+ [Solução de problemas](#onelogin-troubleshooting)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Uma conta do OneLogin. Se você não tiver uma conta existente, poderá obter uma conta de teste gratuita ou de desenvolvedor no [site do OneLogin](https://www.onelogin.com/free-trial).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua conta do OneLogin com o IAM Identity Center. Para obter mais informações, consulte [Habilitando o login único entre OneLogin e AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) no blog AWS Partner Network.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Você já configurou provisionamento no console do IAM Identity Center. Agora você precisa executar as tarefas restantes usando o console administrativo OneLogin conforme descrito no procedimento a seguir.
## Etapa 2: Configure o provisionamento no OneLogin
Use o procedimento a seguir no console de admin do OneLogin para permitir a integração entre o IAM Identity Center e o aplicativo IAM Identity Center. Esse procedimento pressupõe que você já tenha configurado o aplicativo AWS Single Sign-On OneLogin para autenticação SAML. Se você ainda não criou essa conexão SAML, faça isso antes de continuar e depois volte aqui para concluir o processo de provisionamento do SCIM. Para obter mais informações sobre como configurar o SAML com OneLogin, consulte [Habilitando o login único entre OneLogin e AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) no AWS Partner Network Blog.
**Para configurar o provisionamento no OneLogin**
1. Faça login em OneLogin, e em seguida navegue até **Aplicativos > Aplicativos**.
1. Na página **Aplicativos**, pesquise o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center. Escolha isso e depois escolha **Configuração** no painel de navegação.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL base do SCIM** em OneLogin. Além disso, no procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **SCIM Bearer Token** no OneLogin.
1. Ao lado de **Conexão de API**, clique em **Ativar** e, em seguida, clique em **Salvar** para concluir a configuração.
1. No painel de navegação, escolha **Provisioning** (Provisionamento).
1. **Marque as caixas de seleção **Ativar provisionamento**, **Criar usuário**, **Excluir usuário** e **Atualizar usuário** e, em seguida, escolha Salvar.**
1. No painel de navegação, escolha **Users**.
1. Clique em **Mais ações** e escolha **Sincronizar logins**. Você deve receber a mensagem *Sincronizando usuários com AWS login único*.
1. Clique em **Mais ações** novamente e escolha **Reaplicar mapeamentos de direitos**. Você deve receber a mensagem *Mapeamentos estão sendo reaplicados*.
1. Nesse ponto, o processo de provisionamento deve começar. Para confirmar isso, navegue até **Atividade > Eventos** e monitore o progresso. Eventos de provisionamento bem-sucedidos, bem como erros, devem aparecer no fluxo de eventos.
1. Para verificar se seus usuários e grupos foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Seus usuários sincronizados do OneLogin aparecem na página **Usuários**. Você também pode ver seus grupos sincronizados na página **Grupos**.
1. **Para sincronizar automaticamente as alterações do usuário no IAM Identity Center, navegue até a página **Provisionamento**, localize a seção **Exigir aprovação do administrador antes que essa ação seja executada**, desmarque **Criar usuário, Excluir usuário****, and/or **Atualizar usuário**** e clique em Salvar.**
## (Opcional) Etapa 3: configure atributos do usuário no OneLogin para controle de acesso no IAM Identity Center
Esse é um procedimento opcional OneLogin se você optar por configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define no OneLogin são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos que você passou do OneLogin.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário em OneLogin para controle de acesso no IAM Identity Center**
1. Faça login em OneLogin, e em seguida navegue até **Aplicativos > Aplicativos**.
1. Na página **Aplicativos**, pesquise o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center. Selecione e, depois, escolha **Parâmetros** na barra de navegação à esquerda.
1. Na seção **Parâmetros obrigatórios**, faça o seguinte para cada atributo que você deseja usar no IAM Identity Center:
1. Escolha **\$1**.
1. Em **Nome do campo**, insira `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, e substitua **AttributeName** pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, .`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`
1. Em **Sinalizadores**, marque a caixa ao lado de **Incluir na declaração SAML** e escolha **Salvar**.
1. No campo **Valor**, use a lista suspensa para escolher os atributos do usuário OneLogin. Por exemplo, **Departamento**.
1. Escolha **Salvar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Solução de problemas
O seguinte pode ajudá-lo a solucionar alguns problemas comuns que você pode encontrar ao configurar o provisionamento automático com o OneLogin.
**Os grupos não são provisionados para o IAM Identity Center**
Por padrão, os grupos não podem ser provisionados a partir do IAM Identity Center do OneLogin. Certifique-se de ter habilitado o provisionamento de grupos para seu aplicativo IAM Identity Center no OneLogin. Para fazer isso, faça login no console de administrador do OneLogin e verifique se a opção **Incluir no provisionamento de usuários** está selecionada nas propriedades do aplicativo IAM Identity Center (aplicativo IAM Identity Center **> Parâmetros > Grupos**). [Para obter mais detalhes sobre como criar grupos no OneLogin, incluindo como sincronizar funções do OneLogin como grupos no SCIM, consulte o site do OneLogin site.](https://onelogin.service-now.com/support)
**Nada é sincronizado do OneLogin para o IAM Identity Center, apesar de todas as configurações estarem corretas**
Além da observação acima sobre a aprovação do administrador, você precisará **reaplicar os mapeamentos de direitos** para que muitas alterações de configuração entrem em vigor. Isso pode ser encontrado em **Aplicativos > Aplicativos > Aplicativo IAM Identity Center > Mais ações**. Você pode ver detalhes e registros da maioria das ações no OneLogin, incluindo eventos de sincronização, em **Atividade > Eventos**.
**Excluí ou desativei um grupo no OneLogin, mas ele ainda aparece no IAM Identity Center**
Atualmente, o OneLogin não suporta a operação SCIM DELETE para grupos, o que significa que o grupo continua existindo no IAM Identity Center. Portanto, você deve remover o grupo diretamente do IAM Identity Center para garantir que todas as permissões correspondentes no IAM Identity Center desse grupo sejam removidas.
**Excluí um grupo no IAM Identity Center sem primeiro excluí-lo OneLogin e agora estou tendo problemas de user/group sincronização**
Para corrigir essa situação, primeiro verifique se você não tem nenhuma regra ou configuração redundante de provisionamento de grupos. no OneLogin Por exemplo, um grupo atribuído diretamente a um aplicativo junto com uma regra que publica no mesmo grupo. Em seguida, exclua todos os grupos indesejáveis no IAM Identity Center. Por fim, no OneLogin, **atualize** os direitos (**aplicativo IAM Identity Center > Provisionamento > Direitos**) e, em seguida, **reaplique os mapeamentos de direitos (Aplicativo IAM Identity Center > Mais ações)**. Para evitar esse problema no futuro, primeiro faça a alteração para parar de provisionar o grupo no OneLogin, em seguida, exclua o grupo do IAM Identity Center.
# Usar produtos de Ping Identity com o IAM Identity Center
Os produtos Ping Identity a seguir foram testados com o IAM Identity Center.
**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)
# PingFederate
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário e grupo a partir do produto PingFederate do Ping Identity (doravante “Ping“) para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
Você configura essa conexão no PingFederate usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no PingFederate para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e PingFederate.
Este guia é baseado na versão 10.2 do PingFederate. As etapas para outras versões podem variar. Entre em contato com o Ping para obter mais informações sobre como configurar o provisionamento no IAM Identity Center para outras versões do PingFederate.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do PingFederate para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.
**Topics**
+ [Pré-requisitos](#pingfederate-prereqs)
+ [Considerações](#pingfederate-considerations)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#pingfederate-step1)
+ [Etapa 2: Configure o provisionamento no PingFederate](#pingfederate-step2)
+ [(Opcional) Etapa 3: configurar os atributos do usuário em PingFed erate para controle de acesso no IAM Identity Center](#pingfederate-step3)
+ [(Opcional) Passar atributos para controle de acesso](#pingfederate-passing-abac)
+ [Solução de problemas](#pingfederate-troubleshooting)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Um servidor do PingFederate em funcionamento. Se você não tiver um servidor do PingFederate, poderá obter uma conta de teste gratuita ou de desenvolvedor no site do [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). O teste inclui licenças e downloads de software e documentação associada.
+ Uma cópia do software IAM Identity Center Connector do PingFederate instalado em seu servidor do PingFederate. Para obter mais informações sobre como obter esse software, consulte [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) no site Ping Identity.
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua instância do PingFederate com o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingFederate. Em resumo, o caminho recomendado é usar o IAM Identity Center Connector para configurar o “SSO do navegador” no PingFederate, usando os recursos de “baixar” e “importar” metadados em ambas as extremidades para trocar metadados SAML entre o PingFederate e o IAM Identity Center.
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e a Contas da AWS partir dessas regiões. Consulte mais detalhes em [Etapa 3: atualizar a configuração do IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte a PingFederate documentação para obter detalhes adicionais.
## Considerações
A seguir estão considerações importantes sobre o PingFederate que podem afetar a forma como você implementa o provisionamento com o IAM Identity Center.
+ Se um atributo (como um número de telefone) for removido de um usuário no armazenamento de dados configurado no PingFederate, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingFederate’s. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, você deve concluir as tarefas restantes usando o console administrativo do PingFederate. As etapas estão descritas no procedimento a seguir.
## Etapa 2: Configure o provisionamento no PingFederate
Use o procedimento a seguir no console administrativo do PingFederate para permitir a integração entre o IAM Identity Center e o IAM Identity Center Connector. Esse procedimento pressupõe que você já instalou o software do IAM Identity Center Connector. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#pingfederate-prereqs) e conclua este procedimento para configurar o provisionamento do SCIM.
**Importante**
Se seu servidor do PingFederate não tiver sido configurado anteriormente para provisionamento SCIM de saída, talvez seja necessário fazer uma alteração no arquivo de configuração para habilitar o provisionamento. Para obter mais informações, consulte a documentação do Ping. Em resumo, você deve modificar a configuração `pf.provisioner.mode` no arquivo **pingfederate-/pingfederate/bin/run.properties** com um valor diferente de `OFF` (que é o padrão) e reiniciar o servidor se ele estiver em execução. Por exemplo, você pode optar por usar `STANDALONE` se não tiver uma configuração de alta disponibilidade no PingFederate.
**Para configurar o provisionamento no PingFederate**
1. Faça login no console administrativo do PingFederate.
1. Selecione **Aplicativos** na parte superior da página e clique em **Conexões SP**.
1. Localize o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center e clique no nome da conexão.
1. Selecione **Tipo de conexão** nos cabeçalhos de navegação escuros próximos à parte superior da página. Você verá o **SSO do navegador** já selecionado na configuração anterior do SAML. Caso contrário, você deve concluir essas etapas primeiro antes de continuar.
1. Marque a caixa de seleção **Provisionamento de saída**, escolha **IAM Identity Center Cloud Connector** como o tipo e clique em **Salvar**. Se o **IAM Identity Center Cloud Connector** não aparecer como uma opção, verifique se você instalou o IAM Identity Center Connector e reiniciou seu servidor do PingFederate.
1. Clique em **Próximo** repetidamente até chegar à página **Provisionamento de saída** e, em seguida, clique no botão **Configurar provisionamento**.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL do SCIM** no PingFederate console. Além disso, no procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **Token de acesso** no PingFederate console. Clique em **Salvar**.
1. Na página **Configuração de canais (Configurar canais)**, clique em **Criar**.
1. Insira o **Nome de canal** desse novo canal de provisionamento (como**AWSIAMIdentityCenterchannel**) e clique em **Próximo.**
1. Na página **Fonte**, escolha o **Armazenamento de dados ativo** que você deseja usar para sua conexão com o IAM Identity Center e clique em **Próximo**.
**nota**
Se você ainda não configurou uma fonte de dados, faça isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.
1. Na página **Configurações de fonte**, confirme se todos os valores estão corretos para sua instalação e clique em **Próximo**.
1. Na página **Localização da Fonte**, insira as configurações apropriadas à sua fonte de dados e clique em **Próximo**. Por exemplo, se estiver usando o Active Directory como um diretório LDAP:
1. Insira o **DN base** da sua floresta do AD (por exemplo, **DC=myforest,DC=mydomain,DC=com**).
1. Em **Usuários > DN do Grupo**, especifique um único grupo que contenha todos os usuários que você deseja provisionar para o IAM Identity Center. Se esse grupo único não existir, crie esse grupo no AD, retorne a essa configuração e insira o DN correspondente.
1. **Especifique se deseja pesquisar subgrupos (**Pesquisa aninhada**) e qualquer filtro LDAP necessário.**
1. Em **Grupos > DN do Grupo**, especifique um único grupo que contenha todos os grupos que você deseja provisionar para o IAM Identity Center. Em muitos casos, esse pode ser o mesmo DN que você especificou na seção **Usuários**. Insira os valores de **Pesquisa aninhada** e **Filtro** conforme necessário.
1. Na página **Mapeamento de atributos**, verifique o seguinte e clique em **Próximo**:
1. O campo **Nome de usuário** deve ser mapeado para um **Atributo** formatado como um e-mail (user@domain.com). Ele também deve corresponder ao valor que o usuário usará para fazer login no Ping. Esse valor, por sua vez, é preenchido na declaração SAML `nameId` durante a autenticação federada e usado para corresponder ao usuário no IAM Identity Center. Por exemplo, ao usar o Active Directory, você pode optar por especificar o `UserPrincipalName` como o **Nome de usuário**.
1. Outros campos com o sufixo **\$1** devem ser mapeados para atributos que não sejam nulos para seus usuários.
1. Na página **Ativação e resumo**, defina o **Status do canal** como **Ativo** para fazer com que a sincronização comece imediatamente após a configuração ser salva.
1. Confirme se todos os valores de configuração na página estão corretos e clique em **Concluído**.
1. Na página **Gerenciar canais**, clique em **Salvar**.
1. Nesse ponto, o provisionamento começa. Para confirmar a atividade, você pode visualizar o arquivo **provisioner.log**, localizado por padrão no diretório **pingfederate-/pingfederate/log** do seu servidor do PingFederate.
1. Para verificar se os usuários e grupos foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do PingFederate aparecem na página **Usuários**. Você também pode ver os grupos sincronizados na página **Grupos**.
## (Opcional) Etapa 3: configurar os atributos do usuário em PingFed erate para controle de acesso no IAM Identity Center
Esse é um procedimento opcional PingFederate se você optar por configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define no PingFederate são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos que você passou do PingFederate.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário em PingFederate para controle de acesso no IAM Identity Center**
1. Faça login no console administrativo do PingFederate.
1. Escolha **Aplicativos** na parte superior da página e clique em **Conexões SP**.
1. Localize o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center e clique no nome da conexão.
1. Selecione **SSO do navegador** nos cabeçalhos de navegação escuros próximos à parte superior da página. Em seguida, clique em **Configurar SSO do navegador**.
1. Na página **Configurar SSO do Navegador**, escolha **Criação de asserção** e clique em **Configurar criação de asserção**.
1. Na página **Configurar criação de asserção**, escolha **Contrato de atributo**.
1. Na página **Contrato de atributo**, na seção **Estender o contrato**, adicione um novo atributo executando as seguintes etapas:
1. No campo de texto, digite `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` e substitua **AttributeName** pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, .`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`
1. Em **Formato do nome do atributo**, escolha **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Escolha **Adicionar** e a seguir **Próximo**.
1. Na página **Mapeamento da fonte de autenticação**, escolha a instância do adaptador configurada com seu aplicativo.
1. Na página **Atendimento ao Contrato de Atributo**, escolha a **Fonte** (*armazenamento de dados*) e o **Valor** (*atributo do armazenamento de dados*) para o **Contrato de Atributo** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
**nota**
Se você ainda não configurou uma fonte de dados, será necessário fazer isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.
1. Clique em **Próximo** repetidamente até chegar à página **Ativação e Resumo e**, em seguida, clique em **Salvar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o PingFederate, consulte as seguintes seções:
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obter mais informações sobre o PingFederate, consulte a [documentação do PingFederate](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico
# PingOne
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário a partir do produto PingOne do Ping Identity (doravante “Ping“) para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Você configura essa conexão no PingOne usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no PingOne para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e PingOne.
As etapas a seguir explicam como ativar o provisionamento automático de usuários do PingOne para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.
**Topics**
+ [Pré-requisitos](#pingone-prereqs)
+ [Considerações](#pingone-considerations)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#pingone-step1)
+ [Etapa 2: Configure o provisionamento no PingOne](#pingone-step2)
+ [(Opcional) Etapa 3: configure atributos do usuário no PingOne para controle de acesso no IAM Identity Center](#pingone-step3)
+ [(Opcional) Passar atributos para controle de acesso](#pingone-passing-abac)
+ [Solução de problemas](#pingone-troubleshooting)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Uma assinatura ou teste gratuito do PingOne, com recursos de autenticação federada e provisionamento. Para obter mais informações sobre como obter um teste gratuito, consulte o site do [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ O aplicativo IAM Identity Center do PingOne foi adicionado ao seu portal de administrador do PingOne. Você pode obter o aplicativo IAM Identity Center do PingOne no catálogo de aplicativos do PingOne. Para obter informações gerais, consulte [Adicionar um aplicativo do catálogo de aplicativos](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) no site do Ping Identity.
+ Uma conexão SAML da sua instância do PingOne com o IAM Identity Center. Depois que o aplicativo IAM Identity Center do PingOne for adicionado ao seu portal administrativo do PingOne, você deverá usá-lo para configurar uma conexão SAML da sua instância do PingOne com o IAM Identity Center. Use o recurso de “baixar” e “importar” metadados nas duas extremidades para trocar metadados SAML entre o PingOne e o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingOne.
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e a Contas da AWS partir dessas regiões. Consulte mais detalhes em [Etapa 3: atualizar a configuração do IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte a PingOne documentação para obter detalhes adicionais.
## Considerações
A seguir estão considerações importantes sobre o PingOne que podem afetar a forma como você implementa o provisionamento com o IAM Identity Center.
+ O PingOne não oferece suporte ao provisionamento de grupos por meio do SCIM. Entre em contato com o Ping para obter as informações mais recentes sobre suporte de grupo no SCIM do PingOne.
+ Os usuários podem continuar sendo provisionados no PingOne após a desativação do provisionamento no portal administrativo do PingOne. Se você precisar encerrar o provisionamento imediatamente, exclua o token portador do SCIM relevante e and/or [Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM](provision-automatically.md) desative-o no IAM Identity Center.
+ Se um atributo for removido de um usuário no armazenamento de dados configurado no PingOne, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingOne’s. Se um atributo for modificado, a alteração será sincronizada com o IAM Identity Center.
+ A seguir estão observações importantes sobre sua configuração de SAML no PingOne:
+ O IAM Identity Center é compatível somente como `emailaddress` no formato `NameId`. Isso significa que você precisa escolher um atributo de usuário que seja exclusivo em seu diretório emPingOne, não nulo e formatado como um email/UPN (por exemplo, user@domain.com) para seu mapeamento **SAML\$1SUBJECT** em. PingOne **E-mail (comercial)** é um valor razoável para usar em configurações de teste com o diretório integrado do PingOne.
+ Usuários do PingOne com um endereço de e-mail contendo um caractere **\$1** podem não conseguir entrar no IAM Identity Center, apresentando erros como `'SAML_215'` ou `'Invalid input'`. Para corrigir isso, no PingOne, escolha a opção **Avançado** para o mapeamento **SAML\$1SUBJECT** em **Mapeamentos de atributos**. Em seguida, defina o **Formato de ID do Nome para enviar para SP:** para **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress** no menu suspenso.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o aplicativo IAM Identity Center do PingOne. Essas etapas são descritas no procedimento a seguir.
## Etapa 2: Configure o provisionamento no PingOne
Use o procedimento a seguir no aplicativo IAM Identity Center do PingOne para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o aplicativo IAM Identity Center do PingOne ao seu console de administração do PingOne. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#pingone-prereqs) e conclua este procedimento para configurar o provisionamento do SCIM.
**Para configurar o provisionamento no PingOne**
1. Abra o aplicativo IAM Identity Center do PingOne que você instalou como parte da configuração do SAML para o PingOne (**Aplicativos** > **Meus aplicativos**). Consulte [Pré-requisitos](#pingone-prereqs).
1. Role até o final da página. Em **Provisionamento de usuários**, escolha o link **completo** para navegar até a configuração de provisionamento de usuários da sua conexão.
1. Na página **Instruções de provisionamento**, escolha **Continuar para a próxima etapa**.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL do SCIM** no aplicativo IAM Identity Center do PingOne. Além disso, no procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **ACCESS\$1TOKEN** no aplicativo IAM Identity Center do PingOne.
1. Para **REMOVE\$1ACTION**, escolha **Desabilitado** ou **Excluído** (consulte o texto descritivo na página para obter mais detalhes).
1. Na página **Mapeamento de atributos**, escolha um valor a ser usado para a declaração **SAML\$1SUBJECT** (`NameId`), seguindo as orientações do [Considerações](#pingone-considerations) no início desta página. Em seguida, selecione **Avançar para a próxima etapa**.
1. Na página **PingOne App Customization - IAM Identity Center**, faça as alterações de personalização desejadas (opcional) e clique em **Continuar para a próxima etapa**.
1. Na página **Acesso ao grupo**, escolha os grupos que contêm os usuários que você gostaria de habilitar para provisionamento e login único no IAM Identity Center. Selecione **Avançar para a próxima etapa**.
1. Navegue até o final da página e escolha **Finalizar** para iniciar o provisionamento.
1. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do PingOne aparecerão na página **Usuários**. Agora, esses usuários podem ser atribuídos a contas e e aplicativos no IAM Identity Center.
Lembre-se de que o PingOne não oferece suporte ao provisionamento de grupos ou associações de grupos por meio do SCIM. Entre em contato Ping para obter mais informações.
## (Opcional) Etapa 3: configure atributos do usuário no PingOne para controle de acesso no IAM Identity Center
Esse é um procedimento opcional PingOne se você optar por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus AWS recursos. Os atributos que você define no PingOne são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do PingOne.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário em PingOne para controle de acesso no IAM Identity Center**
1. Abra o aplicativo IAM Identity Center do PingOne que você instalou como parte da configuração do SAML para o PingOne (**Aplicativos > Meus aplicativos**).
1. Escolha **Editar** e, em seguida, escolha **Avançar para a próxima etapa** até chegar à página **Mapeamentos de atributos**.
1. Na página **Mapeamentos de atributos**, escolha **Adicionar novo atributo** e faça o seguinte. Você deve executar essas etapas para cada atributo que adicionar para usar no IAM Identity Center para controle de acesso.
1. No campo **Atributo do aplicativo**, insira `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`. Substitua *AttributeName* pelo nome do atributo que você espera no IAM Identity Center. Por exemplo, .`https://aws.amazon.com/SAML/Attributes/AccessControl:Email`
1. No campo **Atributo da ponte de identidade ou Valor literal**, escolha os atributos do usuário em seu diretório do PingOne. Por exemplo, **E-mail (trabalho)**.
1. Escolha **Próximo** algumas vezes e, em seguida, escolha **Finalizar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o PingOne, consulte as seguintes seções:
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obter mais informações sobre o PingOne, consulte a [documentação do PingOne](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico
# Configurar acesso de usuário com o diretório padrão do IAM Identity Center
Quando você habilita o IAM Identity Center pela primeira vez, ele é configurado automaticamente com um diretório do Identity Center como fonte de identidade padrão, portanto não é necessário escolher uma fonte de identidades. Se a organização usar outro provedor de identidades, como o Microsoft Active Directory, o Microsoft Entra ID ou o Okta, considere a opção de integrar essa fonte de identidades com o IAM Identity Center em vez de usar a configuração padrão.
**Objetivo**
Neste tutorial, você usará o diretório padrão como fonte de identidade e uma instância de organização do IAM Identity Center para configurar e testar um usuário-administrativo. Esse usuário administrativo cria e gerencia usuários e grupos e concede AWS acesso com conjuntos de permissões. Nas próximas etapas, você criará o seguinte:
+ Um usuário administrativo chamado *Nikki Wolf*
+ Um grupo chamado *Admin team*
+ Um conjunto de permissões chamado *AdminAccess*
Para verificar se tudo foi criado corretamente, você fará login e definirá a senha do usuário administrativo. Depois de concluir este tutorial, você pode usar o usuário administrativo para adicionar mais usuários ao IAM Identity Center, criar conjuntos de permissões adicionais e configurar o acesso organizacional às aplicações. Como alternativa, se você quiser conceder acesso à aplicação aos usuários, siga a [etapa 1](#gs-qs-step1) do procedimento e [configure o acesso à aplicação](manage-your-applications.md).
## Pré-requisitos
Os seguintes pré-requisitos são necessários para concluir este tutorial:
+ [Habilitar o IAM Identity Center](enable-identity-center.md) e ter uma[ instância de organização do IAM Identity Center](organization-instances-identity-center.md)
+ Se você tiver uma [instância de conta](account-instances-identity-center.md) do IAM Identity Center, poderá criar usuários e grupos, além de conceder a eles acesso às aplicações. Para obter mais informações, consulte [Acesso à aplicação](manage-your-applications.md).
+ Faça login Console de gerenciamento da AWS e acesse o console do IAM Identity Center como:
+ **Novo em AWS (usuário root)** — Faça login como proprietário da conta escolhendo o **usuário Conta da AWS root** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
+ **Já está usando AWS (credenciais do IAM)** — Faça login usando suas credenciais do IAM com permissões administrativas.
+ Para obter mais ajuda para fazer login no Console de gerenciamento da AWS, consulte o [Início de Sessão da AWS Guia.](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ Você pode configurar a autenticação multifator para os usuários do IAM Identity Center. Para obter mais informações, consulte [Configurar MFA no IAM Identity Center](mfa-configure.md).
## Etapa 1: adicionar um usuário
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. No painel de navegação do IAM Identity Center, escolha **Usuários** e selecione **Adicionar usuário**.
1. Na página **Especar detalhes do usuário**, preencha as seguintes informações:
+ **Nome de usuário** - Para este tutorial, insira*nikkiw*.
Ao criar usuários, escolha nomes de usuário fáceis de lembrar. Seus usuários devem se lembrar do nome de usuário para entrar no portal de AWS acesso e você não pode alterá-lo posteriormente.
+ **Senha**: escolha **Enviar um e-mail para este usuário com instruções de configuração de senha (recomendado)**.
Essa opção envia ao usuário um e-mail da Amazon Web Services, com a linha de assunto **Convite para ingressar no IAM Identity Center**. O e-mail vem de `no-reply@signin.aws` ou de `no-reply@login.awsapps.com`. Adicione esses endereços de e-mail à sua lista de remetentes aprovados.
+ **Endereço de e-mail**: insira um endereço de e-mail para o usuário no qual você possa receber o e-mail. Em seguida, insira-o novamente para confirmar. Cada usuário deve ter um endereço de e-mail exclusivo.
+ **Nome**: insira o nome do usuário. Para este tutorial, insira *Nikki*.
+ **Sobrenome**: insira o sobrenome do usuário. Para este tutorial, insira *Wolf*.
+ **Nome de exibição**: o valor padrão é nome e sobrenome do usuário. Se quiser alterar o nome de exibição, você pode inserir algo diferente. O nome de exibição é visível no portal de login e na lista de usuários.
+ Preencha as informações opcionais, se desejar. Elas não são usadas durante este tutorial e você pode alterá-las posteriormente.
1. Escolha **Próximo**. A página **Adicionar usuário a grupos** é exibida. Vamos criar um grupo ao qual atribuir permissões administrativas em vez de concedê-las diretamente*Nikki*.
Escolha **Criar grupo**.
Uma nova guia do navegador é aberta para exibir a página **Criar grupo**.
1. Em **Detalhes do grupo**, em **Nome do grupo**, insira um nome para o grupo. Recomendamos um nome de grupo que identifique a função do grupo. Para este tutorial, insira *Admin team*.
1. Escolha **Criar grupo**.
1. Feche a guia **Grupos** do navegador para retornar à guia **Adicionar usuário** do navegador
1. Na área **Grupos**, selecione o botão **Atualizar**. O *Admin team* grupo aparece na lista.
Marque a caixa de seleção ao lado de e*Admin team*, em seguida, escolha **Avançar**.
1. Na página **Revisar e adicionar usuário**, confirme o seguinte:
+ As informações primárias aparecem como você pretendia
+ Grupos mostra o usuário adicionado ao grupo que você criou
Se precisar fazer alterações, escolha **Editar**. Quando todos os detalhes estiverem corretos, escolha **Adicionar usuário**.
Uma mensagem notifica você de que o usuário foi adicionado.
Em seguida, você adicionará permissões administrativas ao *Admin team* grupo para que ele *Nikki* tenha acesso aos recursos.
## Etapa 2: adicionar permissões administrativas
**Importante**
Siga essas etapas somente se você habilitou uma [instância de organização do IAM Identity Center](identity-center-instances.md).
1. No painel de navegação do IAM Identity Center, em **Permissões multicontas**, escolha **Contas da AWS**.
1. Na página **Contas da AWS**, a **Estrutura organizacional** exibe a organização com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione **Atribuir usuários ou grupos**.
1. O fluxo de trabalho **Atribuir usuários e grupos** é exibido. Ele consiste em três etapas:
1. Para **a Etapa 1: Selecione usuários e grupos**, escolha o *Admin team* grupo que você criou. Escolha **Próximo**.
1. Em **Etapa 2: selecionar conjuntos de permissões**, escolha **Criar conjunto de permissões** para abrir uma nova guia que orienta você pelas três subetapas envolvidas na criação de um conjunto de permissões.
1. Em **Etapa 1: selecionar o tipo de conjunto de permissões**, preencha o seguinte:
+ Em **Tipo de conjunto de permissões**, escolha **Conjunto de permissões predefinido**.
+ Em **Política para conjunto de permissões predefinido**, escolha **AdministratorAccess**.
Escolha **Próximo**.
1. Em **Etapa 2: especificar detalhes do conjunto de permissões**, mantenha as configurações padrão e escolha **Avançar**.
As configurações padrão criam um conjunto de permissões chamado *AdministratorAccess* com a duração da sessão definida em uma hora. Você pode alterar o nome do conjunto de permissões inserindo um novo nome no campo **Nome do conjunto de permissões**.
1. Para **a Etapa 3: revisar e criar**, verifique se o **tipo de conjunto de permissões** usa a política AWS gerenciada **AdministratorAccess**. Escolha **Criar**. Na página **Conjuntos de permissões**, aparece uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.
Na guia **Atribuir usuários e grupos** do navegador, você ainda está na **Etapa 2: selecionar conjuntos de permissões** na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.
Na área **Conjuntos de permissões**, escolha o botão **Atualizar**. O conjunto de *AdministratorAccess* permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha **Avançar**.
1. Na página **Etapa 3: revisar e enviar exercícios**, confirme se o *Admin team* grupo está selecionado e se o conjunto de *AdministratorAccess* permissões está selecionado e, em seguida, escolha **Enviar**.
A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.
Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado.
**Parabéns\$1**
Você configurou com sucesso seu primeiro usuário, grupo e conjunto de permissões.
Na próxima parte deste tutorial, você testará o *Nikki's* acesso entrando no portal de AWS acesso com suas credenciais administrativas e definindo sua senha. Saia do console agora.
## Etapa 3: Testar o acesso do usuário
Agora que *Nikki Wolf* é um usuário da sua organização, ele pode entrar e acessar os recursos para os quais recebeu permissão de acordo com seu conjunto de permissões. Para verificar se o usuário está configurado corretamente, na próxima etapa, você usará *Nikki's* as credenciais para fazer login e configurar a senha. Ao adicionar o usuário *Nikki Wolf* na Etapa 1, você optou por *Nikki* receber um e-mail com instruções de configuração de senha. É hora de abrir esse e-mail e fazer o seguinte:
1. No e-mail, selecione o link **Aceitar convite** para aceitar o convite.
**nota**
O e-mail também inclui o nome *Nikki's* do usuário e a URL do portal de AWS acesso que eles usarão para entrar na organização. Registre essas informações para uso futuro.
Você é direcionado para a página de **inscrição de novos usuários**, onde pode definir a *Nikki's* senha e [registrar o dispositivo de MFA](enable-mfa.md).
1. Depois de definir *Nikki's* a senha, você será direcionado para a página de **login**. Digite *nikkiw* e escolha **Avançar**, depois digite *Nikki's* a senha e escolha **Entrar**.
1. O portal de AWS acesso é aberto exibindo a organização e os aplicativos que você pode acessar.
Selecione a organização para expandi-la em uma lista e, em Contas da AWS seguida, selecione a conta para exibir as funções que você pode usar para acessar os recursos na conta.
Cada conjunto de permissões tem dois métodos de gerenciamento que você pode usar, **Perfil** ou **Chaves de acesso**.
+ **Função**, por exemplo *AdministratorAccess* - Abre AWS Console Home o.
+ **Chaves de acesso**: fornecem credenciais que você pode usar com o AWS CLI ou e o AWS SDK. Inclui as informações para usar credenciais de curto prazo que são atualizadas automaticamente ou chaves de acesso de curto prazo. Para obter mais informações, consulte [Obter credenciais de usuário do IAM Identity Center para o ou AWS CLI AWS SDKs](howtogetcredentials.md).
1. Escolha o link **Perfil** para fazer login no AWS Console Home.
Você está conectado e navegou até a AWS Console Home página. Explore o console e confirme se você tem o acesso esperado.
## Próximas etapas
Agora que você criou um usuário administrativo no IAM Identity Center, você pode:
+ [Atribuir uma aplicação](manage-your-applications.md)
+ [Adicionar outros usuários](addusers.md)
+ [Atribuir usuários a contas](assignusers.md)
+ [Configurar conjuntos de permissões adicionais](howtocreatepermissionset.md)
**nota**
Você também pode atribuir vários conjuntos de permissões ao mesmo usuário. Para seguir as melhores práticas de aplicar permissões com privilégio mínimo, após criar seu usuário administrativo, crie um conjunto de permissões mais restritivo e atribua-o ao mesmo usuário. Dessa forma, você pode acessar o seu Conta da AWS com apenas as permissões necessárias, em vez de permissões administrativas.
Depois que [seus usuários aceitarem o convite](howtoactivateaccount.md) para ativar sua conta e entrarem no portal de AWS acesso, os únicos itens que aparecem no portal são para as Contas da AWS funções e os aplicativos aos quais estão atribuídos.
## Vídeos de tutorial
Como recurso adicional, você pode usar esses tutoriais em vídeo para saber mais sobre como configurar provedores de identidades externos:
+ [Migração entre provedores de identidade externos em Centro de Identidade do AWS IAM](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [Federando sua Centro de Identidade do AWS IAM instância existente com Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)