更改身份源的注意事项

已删除分配以及已删除的用户和组——将身份源更改为 Active Directory 会从 Identity Center 目录中删除您的用户和组。此更改还会删除您的分配。在这种情况下，更改为 Active Directory 后，必须将 Active Directory 中的用户和组同步到 Identity Center 目录，然后重新应用其分配。

如果您选择不使用 Active Directory，则必须在 Identity Center 目录中创建用户和组，然后进行分配。

删除身份时不会删除分配——当在 Identity Center 目录中删除身份时，相应的分配也会在 IAM Identity Center 中删除。但是，在 Active Directory 中，当删除身份（无论是在 Active Directory 中还是同步的身份）时，相应的分配不会被删除。

API 无出界同步——如果您使用 Active Directory 作为身份源，我们建议您谨慎使用创建、更新和删除 API。IAM Identity Center 不支持出界同步，因此您的身份源不会根据您使用这些 API 对用户或组所做的更改自动更新。

访问门户网址将发生变化 — 在 IAM 身份中心和 Active Directory 之间更改您的身份来源也会更改 AWS 访问门户的网址。

现有用户会话的到期时间可能长达两个小时 — 从 Identity Center 目录中删除用户和群组后，具有活动会话的用户可以继续 AWS 访问访问门户和集成 AWS 应用程序最多两个小时。有关身份验证会话持续时间和用户行为的信息，请参阅身份中心中的IAM身份验证。

任务和成员资格使用正确的断言 — 只要新 IdP 发送正确的断言（例如 SAML NameID），您的用户分配、群组分配和群组成员资格就会继续生效。这些断言必须与 IAM Identity Center 中的用户名和群组相匹配。

没有出站同步 — IAM Identity Center 不支持出站同步，因此您的外部 IdP 不会根据您在 IAM Identity Center 中所做的用户和群组更改而自动更新。

SCIM 配置 — 如果您使用的是 SCIM 配置，则只有在您的身份提供商将这些更改发送到 IAM 身份中心之后，对身份提供商中的用户和群组所做的更改才会反映在 IAM Identity Center 中。请参阅 使用自动预置的注意事项。

回滚 — 您可以随时将身份源恢复为使用 IAM 身份中心。请参阅 从外部 IdP 更改为 IAM Identity Center 。

现有用户会话将在会话持续时间到期时撤销 — 将身份源更改为外部身份提供商后，活动用户会话将在控制台中配置的最大会话持续时间的剩余时间内。例如，如果 AWS 访问门户会话持续时间设置为八小时，而您在第四个小时更改了身份源，则活跃的用户会话将再持续四个小时。要撤消用户会话，请参阅删除的活动用户会话 AWS 访问门户和 AWS 集成应用程序。

如果在 IAM Identity Center 控制台中使用身份存储 API 或 SCIM 配置删除或禁用用户，则具有活动会话的用户可以在长达两个小时的时间内继续 AWS 访问访问门户和集成 AWS 应用程序。

IAM Identity Center 会保留您的所有分配。

强制密码重置——在 IAM Identity Center 中拥有密码的用户可以继续使用旧密码登录。对于外部 IdP 中但不在 IAM Identity Center 中的用户，管理员必须强制重置密码。

现有用户会话将在会话持续时间到期时撤销 — 将身份源更改为 IAM Identity Center 后，活跃用户会话将在控制台中配置的最大会话持续时间的剩余持续时间内保留。例如，如果 AWS 访问门户会话持续时间为八小时，而您在第四个小时更改了身份源，则活动用户会话将继续再运行四个小时。要撤消用户会话，请参阅删除的活动用户会话 AWS 访问门户和 AWS 集成应用程序。

如果在 IAM Identity Center 控制台中使用身份存储 API 或 SCIM 配置删除或禁用用户，则具有活动会话的用户可以在长达两个小时的时间内继续 AWS 访问访问门户和集成 AWS 应用程序。

分配和成员身份与正确的断言配合使用——IAM Identity Center 会保留您的所有分配。只要新 IdP 发送正确的断言（例如 SAML nameID），用户分配、群组分配和群组成员资格就会继续起作用。

当您的用户通过新的外部 IdP 进行身份验证时，这些断言必须与 IAM Identity Center 中的用户名匹配。

SCIM 配置 — 如果您使用 SCIM 配置到 IAM Identity Center，我们建议您查看本指南和 IdP 提供的文档中特定于 IdP 的信息，以确保在启用 SCIM 后，新提供商正确匹配用户和群组。

现有用户会话将在会话持续时间到期时撤销 — 将身份源更改为其他外部身份提供商后，活动用户会话将在控制台中配置的最大会话持续时间的剩余持续时间内。例如，如果 AWS 访问门户会话持续时间为八小时，而您在第四个小时更改了身份源，则活动用户会话将再持续四个小时。要撤消用户会话，请参阅删除的活动用户会话 AWS 访问门户和 AWS 集成应用程序。

如果在 IAM Identity Center 控制台中使用身份存储 API 或 SCIM 配置删除或禁用用户，则具有活动会话的用户可以在长达两个小时的时间内继续 AWS 访问访问门户和集成 AWS 应用程序。

用户、组和分配被删除——所有用户、组和分配都将从 IAM Identity Center 中删除。外部 IdP 或 Active Directory 中的用户或组信息均不会受到影响。

预置用户——如果您更改为外部 IdP，则必须配置 IAM Identity Center 来预置您的用户。或者，您必须先手动为外部 IdP 设置用户和组，然后才能配置分配。

创建分配和组——如果更改为 Active Directory，则必须使用 Active Directory 目录中的用户和组创建分配。

现有用户会话的到期时间可能长达两个小时 — 从 Identity Center 目录中删除用户和群组后，具有活动会话的用户可以继续 AWS 访问访问门户和集成 AWS 应用程序最多两个小时。有关身份验证会话持续时间和用户行为的信息，请参阅身份中心中的IAM身份验证。