更改身份源的注意事项

已删除分配以及已删除的用户和组——将身份源更改为 Active Directory 会从 Identity Center 目录中删除您的用户和组。此更改还会删除您的分配。在这种情况下，更改为 Active Directory 后，必须将 Active Directory 中的用户和组同步到 Identity Center 目录，然后重新应用其分配。

如果您选择不使用 Active Directory，则必须在 Identity Center 目录中创建用户和组，然后进行分配。

删除身份时不会删除分配——当在 Identity Center 目录中删除身份时，相应的分配也会在 IAM Identity Center 中删除。但是，在 Active Directory 中，当删除身份（在 Active Directory 中或同步的身份中）时，不会删除相应的分配。

API 无出界同步——如果您使用 Active Directory 作为身份源，我们建议您谨慎使用创建、更新和删除 API。IAM Identity Center 不支持出界同步，因此您的身份源不会根据您使用这些 API 对用户或组所做的更改自动更新。

访问门户 URL 将更改——更改 IAM Identity Center 和 Active Directory 之间的身份源也会更改 AWS 访问门户的 URL。

现有用户会话的到期时间可能长达两个小时 – 从 Identity Center 目录中删除用户和组后，具有活跃会话的用户可以继续访问 AWS 访问门户和集成的 AWS 应用程序最多两个小时。有关身份验证会话持续时间和用户行为的信息，请参阅身份中心中的IAM身份验证。

分配和成员资格与正确的断言配合使用 – 只要新 IdP 发送正确的断言（例如，SAML nameID），用户分配、组分配和组成员资格继续有效。这些断言必须与 IAM Identity Center 中的用户名和组匹配。

无出界同步 – IAM Identity Center 不支持出站同步，因此您的外部 IdP 不会自动更新您在 IAM Identity Center 中对用户和组所做的更改。

SCIM 预置 – 仅当您的身份提供者将这些更改发送到 IAM Identity Center 后，对身份提供者中的用户和组的更改才会反映在 IAM Identity Center 中。请参阅 使用自动预置的注意事项。

回滚 – 您可以随时将身份源恢复为使用 IAM Identity Center。请参阅 从外部 IdP 更改为 IAM Identity Center 。

现有用户会话将在会话持续时间到期时撤销 – 将身份源更改为外部身份提供者后，活跃用户会话将在控制台中配置的最长会话持续时间的剩余时间内持续存在。例如，若 AWS 访问门户会话持续时间设置为八小时，而您在第四个小时更改了身份源，则活跃的用户会话会再持续四个小时。要撤销用户会话，请参阅删除 AWS 访问门户和 AWS 集成应用程序的活动用户会话。

如果在 IAM Identity Center 控制台中使用身份存储 API 或 SCIM 预置删除或禁用了用户，则具有活跃会话的用户可以在长达两个小时的时间内继续访问 AWS 访问门户和集成的 AWS 应用程序。

IAM Identity Center 会保留您的所有分配。

强制密码重置——在 IAM Identity Center 中拥有密码的用户可以继续使用旧密码登录。对于外部 IdP 中但不在 IAM Identity Center 中的用户，管理员必须强制重置密码。

现有用户会话将在会话持续时间到期时撤销 – 将身份源更改为 IAM Identity Center 后，活跃用户会话将在控制台中配置的最长会话持续时间的剩余时间内持续存在。例如，若 AWS 访问门户会话持续时间为八小时，而您在第四个小时更改了身份源，则活跃的用户会话会再运行四个小时。要撤销用户会话，请参阅删除 AWS 访问门户和 AWS 集成应用程序的活动用户会话。

如果在 IAM Identity Center 控制台中使用身份存储 API 或 SCIM 预置删除或禁用了用户，则具有活跃会话的用户可以在长达两个小时的时间内继续访问 AWS 访问门户和集成的 AWS 应用程序。

分配和成员身份与正确的断言配合使用——IAM Identity Center 会保留您的所有分配。只要新 IdP 发送正确的断言（例如，SAML nameID），用户分配、组分配和组成员资格继续有效。

当您的用户通过新的外部 IdP 进行身份验证时，这些断言必须与 IAM Identity Center 中的用户名匹配。

SCIM 预置 – 如果使用 SCIM 预置到 IAM Identity Center 中，建议查看本指南中关于 IdP 的信息以及 IdP 提供的文档，确保启用 SCIM 时新提供者能够正确匹配用户和组。

现有用户会话将在会话持续时间到期时撤销 – 将身份源更改为其他外部身份提供者后，活跃用户会话将在控制台中配置的最长会话持续时间的剩余时间内持续存在。例如，若 AWS 访问门户会话持续时间为八小时，而您在第四个小时更改了身份源，则活跃的用户会话会再持续四个小时。要撤销用户会话，请参阅删除 AWS 访问门户和 AWS 集成应用程序的活动用户会话。

如果在 IAM Identity Center 控制台中使用身份存储 API 或 SCIM 预置删除或禁用了用户，则具有活跃会话的用户可以在长达两个小时的时间内继续访问 AWS 访问门户和集成的 AWS 应用程序。

用户、组和分配被删除——所有用户、组和分配都将从 IAM Identity Center 中删除。外部 IdP 或 Active Directory 中的用户或组信息均不会受到影响。

预置用户——如果您更改为外部 IdP，则必须配置 IAM Identity Center 来预置您的用户。或者，您必须先手动为外部 IdP 设置用户和组，然后才能配置分配。

创建分配和组——如果更改为 Active Directory，则必须使用 Active Directory 目录中的用户和组创建分配。

现有用户会话的到期时间可能长达两个小时 – 从 Identity Center 目录中删除用户和组后，具有活跃会话的用户可以继续访问 AWS 访问门户和集成的 AWS 应用程序最多两个小时。有关身份验证会话持续时间和用户行为的信息，请参阅身份中心中的IAM身份验证。