Compartir a través de


Tutorial: Configuración de AWS IAM Identity Center para el aprovisionamiento automático de usuarios

En este tutorial, se describen los pasos que debe realizar en el Centro de identidad de IAM de AWS (sucesor del inicio de sesión único de AWS) y Microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Cuando se configura, Microsoft Entra ID aprovisiona y desaprovisiona automáticamente usuarios y grupos en el Centro de identidad de IAM de AWS mediante el servicio de aprovisionamiento de Microsoft Entra. Para obtener información importante acerca de lo que hace este servicio, cómo funciona y ver preguntas frecuentes al respecto, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con Microsoft Entra ID.

Funcionalidades admitidas

  • Creación de usuarios en AWS IAM Identity Center
  • Eliminación de usuarios de AWS IAM Identity Center cuando ya no necesitan acceso
  • Mantenimiento de los atributos de usuario sincronizados entre Microsoft Entra ID y el Centro de identidad de IAM de AWS
  • Aprovisionamiento de grupos y pertenencias a grupos en AWS IAM Identity Center
  • IAM Identity Center a AWS IAM Identity Center

Prerrequisitos

En el escenario descrito en este tutorial se supone que ya cuenta con los requisitos previos siguientes:

Paso 1: Planeación de la implementación de aprovisionamiento

  1. Obtenga información sobre cómo funciona el servicio de aprovisionamiento.
  2. Determinar quién está en el ámbito de aprovisionamiento.
  3. Determine qué datos asignar entre Microsoft Entra ID y el Centro de identidad de IAM de AWS.

Paso 2: Configuración del Centro de identidad de IAM de AWS para admitir el aprovisionamiento con Microsoft Entra ID

  1. Abra AWS IAM Identity Center.

  2. En el panel de navegación izquierdo, elija Settings (Configuración).

  3. En Settings (Configuración), haga clic en Enable (Habilitar) en la sección Automatic provisioning (Aprovisionamiento automático).

    Captura de pantalla de la habilitación del aprovisionamiento automático.

  4. En el cuadro de diálogo de aprovisionamiento automático de entrada, copie y guarde el punto de conexión de SCIM y el token de acceso (visible después de hacer clic en Show Token [Mostrar token]). Estos valores se escriben en los campos URL de inquilino y Token secreto de la pestaña Aprovisionamiento de la aplicación AWS IAM Identity Center. Captura de pantalla de la extracción de las configuraciones de aprovisionamiento.

Agregue Centro de identidad de IAM de AWS desde la galería de aplicaciones de Microsoft Entra para empezar a administrar el aprovisionamiento en el Centro de identidad de IAM de AWS. Si ha configurado previamente AWS IAM Identity Center para el inicio de sesión único, puede usar la misma aplicación. Puede encontrar más información sobre cómo agregar una aplicación desde la galería aquí.

Paso 4: Definir quién está en el ámbito de aprovisionamiento

El servicio de aprovisionamiento de Microsoft Entra le permite definir quién se aprovisionará, en función de la asignación a la aplicación y de los atributos del usuario o grupo. Si elige el ámbito que aprovisionará en la aplicación en función de la asignación, puede usar los pasos siguientes para asignar usuarios y grupos a la aplicación. Si elige el ámbito que aprovisionará en función únicamente de los atributos del usuario o grupo, puede usar un filtro de ámbito, tal como se describe aquí.

  • Empiece por algo pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Cuando el ámbito del aprovisionamiento se define en los usuarios y grupos asignados, puede controlarlo asignando uno o dos usuarios o grupos a la aplicación. Cuando el ámbito se establece en todos los usuarios y grupos, puede especificar un filtro de ámbito basado en atributos.

  • Si necesita roles adicionales, puede actualizar el manifiesto de aplicación para agregar nuevos roles.

Paso 5: Configuración del aprovisionamiento automático de usuarios en el Centro de identidad de IAM de AWS

En esta sección se le guía por los pasos necesarios para configurar el servicio de aprovisionamiento de Microsoft Entra para crear, actualizar y deshabilitar usuarios o grupos en TestApp en función de las asignaciones de usuarios o grupos de Microsoft Entra ID.

A fin de configurar el aprovisionamiento automático de usuarios para Centro de identidad de IAM de AWS en Microsoft Entra ID:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales

    Hoja Aplicaciones empresariales

  3. En la lista de aplicaciones, seleccione AWS IAM Identity Center.

    Captura de pantalla del vínculo de AWS IAM Identity Center en la lista Aplicaciones.

  4. Seleccione la pestaña Aprovisionamiento.

    Pestaña Aprovisionamiento

  5. Establezca el modo de aprovisionamiento en Automático.

    Pestaña de aprovisionamiento automático

  6. En la sección Credenciales del administrador, escriba la dirección URL del inquilino de AWS IAM Identity Center y el token secreto recuperado anteriormente en el paso 2. Haga clic en Probar conexión para asegurarse de que Microsoft Entra ID se pueda conectar al Centro de identidad de IAM de AWS.

    Token

  7. En el campo Correo electrónico de notificación, escriba la dirección de correo electrónico de una persona o grupo que deba recibir las notificaciones de error de aprovisionamiento y active la casilla Enviar una notificación por correo electrónico cuando se produzca un error.

    Correo electrónico de notificación

  8. Seleccione Guardar.

  9. En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con Centro de identidad de IAM de AWS.

  10. Revise los atributos de usuario sincronizados entre Microsoft Entra ID y Centro de identidad de IAM de AWS en la sección Asignación de atributos. Los atributos seleccionados como propiedades de coincidencia se utilizan para hacer coincidir las cuentas de usuario en AWS IAM Identity Center para operaciones de actualización. Si decide cambiar el atributo de destino de coincidencia, debe asegurarse de que la API de AWS IAM Identity Center admita el filtrado de usuarios en función de ese atributo. Seleccione el botón Guardar para confirmar los cambios.

    Atributo Tipo Compatible con el filtrado
    userName String
    active Boolean
    DisplayName String
    title String
    emails[type eq "work"].value String
    preferredLanguage String
    name.givenName String
    name.familyName String
    name.formatted String
    addresses[type eq "work"].formatted String
    addresses[type eq "work"].streetAddress String
    addresses[type eq "work"].locality String
    addresses[type eq "work"].region String
    addresses[type eq "work"].postalCode String
    addresses[type eq "work"].country String
    phoneNumbers[type eq "work"].value String
    externalId String
    locale String
    timezone String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Referencia
  11. En la sección Asignaciones, seleccione Sincronizar grupos de Microsoft Entra con Centro de identidad de IAM de AWS.

  12. Revise los atributos de grupo sincronizados entre Microsoft Entra ID y Centro de identidad de IAM de AWS en la sección Asignación de atributos. Los atributos seleccionados como propiedades de coincidencia se usan para buscar coincidencias con los grupos de AWS IAM Identity Center con el objetivo de realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.

    Atributo Tipo Compatible con el filtrado
    DisplayName String
    externalId String
    members Referencia
  13. Para configurar filtros de ámbito, consulte las siguientes instrucciones, que se proporcionan en el artículo Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.

  14. Para habilitar el servicio de aprovisionamiento de Microsoft Entra para Centro de identidad de IAM de AWS, cambie el Estado de aprovisionamiento a Activado en la sección Configuración.

    Estado de aprovisionamiento activado

  15. Seleccione los valores deseados en Ámbito, en la sección Configuración, para definir los usuarios o grupos que quiere que se aprovisionen en AWS IAM Identity Center.

    Ámbito del aprovisionamiento

  16. Cuando esté listo para realizar el aprovisionamiento, haga clic en Guardar.

    Guardar la configuración de aprovisionamiento

Esta operación inicia el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Ámbito en la sección Configuración. El ciclo de sincronización inicial tarda más tiempo en realizarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos si el servicio de aprovisionamiento de Microsoft Entra está ejecutándose.

Paso 6: Supervisión de la implementación

Una vez configurado el aprovisionamiento, use los recursos siguientes para supervisar la implementación:

  1. Use los registros de aprovisionamiento para determinar los usuarios que se han aprovisionado correctamente y los que no
  2. Consulte la barra de progreso para ver el estado del ciclo de aprovisionamiento y cuánto falta para que finalice.
  3. Si la configuración de aprovisionamiento parece ser incorrecta, la aplicación pasará a estar en cuarentena. Más información sobre los estados de cuarentena aquí.

Acceso a aplicaciones Just-In-Time (JIT) con PIM para grupos

Con PIM para grupos, puede proporcionar acceso Just-In-Time a grupos en Amazon Web Services y reducir el número de usuarios que tienen acceso permanente a grupos con privilegios en AWS.

Configuración de la aplicación empresarial para el inicio de sesión único y el aprovisionamiento

  1. Agregue AWS IAM Identity Center al inquilino, configúrelo para el aprovisionamiento tal y como se describe en el tutorial anterior e inicie el aprovisionamiento.
  2. Configure el inicio de sesión único para AWS IAM Identity Center.
  3. Cree un grupo que proporcione a todos los usuarios acceso a la aplicación.
  4. Asigne el grupo a la aplicación AWS Identity Center.
  5. Asigne al usuario de prueba el rol de miembro directo del grupo creado en el paso anterior o proporciónele acceso al grupo a través de un paquete de acceso. Este grupo se puede usar para el acceso persistente y no administrativo en AWS.

Habilitación de PIM para grupos

  1. Cree un segundo grupo en Microsoft Entra ID. Este grupo proporcionará acceso a los permisos de administrador en AWS.
  2. Coloque el grupo bajo administración en Microsoft Entra PIM.
  3. Defina al usuario de prueba como apto para el grupo en PIM con el rol establecido en miembro.
  4. Asigne el segundo grupo a la aplicación AWS IAM Identity Center.
  5. Use el aprovisionamiento a petición para crear el grupo en AWS IAM Identity Center.
  6. Inicie sesión en AWS IAM Identity Center y asigne al segundo grupo los permisos necesarios para realizar tareas de administración.

Ahora cualquier usuario final que se definiese como apto para el grupo en PIM puede obtener acceso JIT al grupo en AWS activando su pertenencia a grupos.

Consideraciones clave

  • ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?:
    • Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Privileged Identity Management (PIM) de Microsoft Entra ID:
      • La pertenencia a grupos se aprovisiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
    • Cuando un usuario activa su pertenencia a grupos en PIM de Microsoft Entra ID:
      • La pertenencia a grupos se aprovisiona en 2 – 10 minutos. Cuando hay una alta tasa de solicitudes a la vez, las solicitudes se limitan a una velocidad de cinco solicitudes por cada 10 segundos.
      • Para los cinco primeros usuarios en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en un plazo de 2 a 10 minutos.
      • Para el sexto usuario y versiones posteriores en un período de 10 segundos que activa su pertenencia a grupos para una aplicación específica, la pertenencia a grupos se aprovisiona en la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
  • Si el usuario no puede acceder al grupo necesario en AWS, revise las sugerencias de solución de problemas siguientes, los registros de PIM y los registros de aprovisionamiento para asegurarse de la pertenencia al grupo se actualizó correctamente. En función de cómo se haya diseñado la aplicación de destino, la pertenencia al grupo puede tardar más tiempo en surtir efecto en la aplicación.
  • Puede crear alertas de errores mediante Azure Monitor.
  • La desactivación se realiza durante el ciclo incremental normal. No se procesa inmediatamente mediante el aprovisionamiento a petición.

Consejos para la solución de problemas

Atributos que faltan

Al aprovisionar un usuario a AWS, es necesario que tenga los siguientes atributos

  • firstName
  • lastName
  • DisplayName
  • userName

Los usuarios que no tengan estos atributos producirán el siguiente error

Código de error

Atributos con varios valores

AWS no admite los siguientes atributos de varios valores:

  • email
  • números de teléfono

Al intentar fluir lo anterior como atributos con varios valores, se producirá el siguiente mensaje de error

Código de error 2

Hay dos maneras de resolver esto

  1. Asegúrese de que el usuario solo tiene un valor para phoneNumber/email
  2. Quite los atributos duplicados. Por ejemplo, la asignación de dos atributos diferentes de Microsoft Entra ID a "phoneNumber___" en el lado de AWS producirá un error si los dos atributos tienen valores en Microsoft Entra ID. El tener solo un atributo asignado a un atributo "phoneNumber____" resolvería el error.

Caracteres no válidos

Actualmente, el Centro de identidad de IAM de AWS no permite algunos caracteres que Microsoft Entra ID sí admite, como los de tabulación (\t), nueva línea (\n), retorno de carro (\r) y caracteres como " <|>|;|:% ".

También puede consultar las sugerencias de solución de problemas de AWS IAM Identity Center aquí para obtener más sugerencias para la solución de problemas.

Recursos adicionales

Pasos siguientes