Configuración de AWS IAM Identity Center (sucesor del inicio de sesión único de AWS) para el aprovisionamiento automático de usuarios con Microsoft Entra ID

En este artículo se describen los pasos que debe realizar en AWS IAM Identity Center (sucesor del inicio de sesión único de AWS) y microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Cuando se configura, Microsoft Entra ID aprovisiona y desaprovisiona automáticamente usuarios y grupos en AWS IAM Identity Center mediante el servicio de aprovisionamiento de Microsoft Entra. Para obtener detalles importantes sobre lo que hace este servicio, cómo funciona y las preguntas más frecuentes, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios en aplicaciones SaaS con El identificador entra de Microsoft.

Capacidades soportadas

• Creación de usuarios en AWS IAM Identity Center
• Eliminación de usuarios de AWS IAM Identity Center cuando ya no necesitan acceso
• Mantenimiento de los atributos de usuario sincronizados entre Microsoft Entra ID y el Centro de identidad de IAM de AWS
• Aprovisionamiento de grupos y pertenencias a grupos en AWS IAM Identity Center
• Centro de identidades de IAM para AWS IAM Identity Center

Prerrequisitos

En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:

• Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
• Uno de los siguientes roles:
  • Administrador de aplicaciones
  • Administrador de aplicaciones en la nube
  • Propietario de la aplicación.

• Una conexión SAML desde la cuenta de Microsoft Entra al Centro de identidad de IAM de AWS, como se describe en el tutorial

Paso 1: Planifica tu despliegue de aprovisionamiento

1. Obtenga información sobre cómo funciona el servicio de aprovisionamiento.
2. Determine quién está en el ámbito del aprovisionamiento.
3. Determine qué datos se van a asignar entre Microsoft Entra ID y AWS IAM Identity Center.

Paso 2: Configuración del Centro de identidad de IAM de AWS para admitir el aprovisionamiento con Microsoft Entra ID

1. Abra el Centro de identidades de AWS IAM.

2. Elija Configuración en el panel de navegación izquierdo.

3. En Configuración, seleccione Habilitar en la sección Aprovisionamiento automático.

   

4. En el cuadro de diálogo Aprovisionamiento automático de entrada, copie y guarde el punto de conexión sciM y el token de acceso (visible después de seleccionar Mostrar token). Estos valores se escriben en el campo Url del inquilino y Token secreto en la pestaña Aprovisionamiento de la aplicación AWS IAM Identity Center.

Paso 3: Incorporación del Centro de identidad de IAM de AWS desde la galería de aplicaciones de Microsoft Entra

Agregue Centro de identidad de IAM de AWS desde la galería de aplicaciones de Microsoft Entra para empezar a administrar el aprovisionamiento en el Centro de identidad de IAM de AWS. Si ha configurado previamente AWS IAM Identity Center para el inicio de sesión único, puede usar la misma aplicación. Obtenga más información sobre cómo agregar una aplicación desde la galería aquí.

Paso 4: Definir quién está en el ámbito de aprovisionamiento

El servicio de aprovisionamiento de Microsoft Entra permite definir el ámbito de quién se aprovisiona en función de la asignación a la aplicación o en función de los atributos del usuario o grupo. Si decide especificar quién se aprovisiona en la aplicación según la asignación, puede usar los pasos para asignar usuarios y grupos a la aplicación. Si decide definir el ámbito del aprovisionamiento únicamente en función de los atributos del usuario o grupo, puede usar un filtro de delimitación.

• Comience pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Cuando el ámbito de aprovisionamiento se establece en usuarios y grupos asignados, puede controlarlo asignando uno o dos usuarios o grupos a la aplicación. Cuando el ámbito se establece en todos los usuarios y grupos, puede especificar un filtro de ámbito basado en atributos.

• Si necesita roles adicionales, puede actualizar el manifiesto de aplicación para agregar nuevos roles.

Paso 5: Configuración del aprovisionamiento automático de usuarios en el Centro de identidad de IAM de AWS

Esta sección le guía por los pasos necesarios para configurar el servicio de aprovisionamiento de Microsoft Entra para crear, actualizar y deshabilitar usuarios o grupos en TestApp en función de las asignaciones de usuarios o grupos de Microsoft Entra ID.

A fin de configurar el aprovisionamiento automático de usuarios para Centro de identidad de IAM de AWS en Microsoft Entra ID:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.

2. Vaya a Entra ID>Aplicaciones empresariales

   

3. En la lista de aplicaciones, seleccione AWS IAM Identity Center.

   

4. Seleccione la pestaña Aprovisionamiento .

   

5. Establezca el modo de aprovisionamiento enAutomático.

   

6. En la sección Credenciales de administrador , escriba la dirección URL del inquilino del Centro de identidades de IAM de AWS y el token secreto recuperados anteriormente en el paso 2. Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse al Centro de identidades de AWS IAM.

   

7. En el campo Correo electrónico de notificación, escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error de aprovisionamiento y active la casilla Enviar una notificación por correo electrónico cuando se produzca un error .

   

8. Seleccione Guardar.

9. En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con el Centro de Identidad de AWS IAM.

10. Revise los atributos de usuario que se sincronizan entre Microsoft Entra ID y AWS IAM Identity Center en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con las cuentas de usuario de AWS IAM Identity Center para realizar operaciones de actualización. Si decide cambiar el atributo de destino coincidente, debe asegurarse de que la API de AWS IAM Identity Center admite el filtrado de usuarios en función de ese atributo. Seleccione el botón Guardar para confirmar los cambios.

    Atributo	Tipo	Compatible con el filtrado
    nombre de usuario	Cuerda	✓
    activo	Booleano
    Nombre para mostrar	Cuerda
    título	Cuerda
    emails[type = "trabajo"].valor	Cuerda
    idiomaPreferido	Cuerda
    nombre.dado	Cuerda
    nombre.apellido	Cuerda
    nombre.formateado	Cuerda
    addresses[type eq "trabajo"].formatted	Cuerda
    direcciones[tipo eq "trabajo"].direccionCalle	Cuerda
    direcciones[tipo eq "trabajo"].localidad	Cuerda
    direcciones[tipo eq "trabajo"].región	Cuerda
    direcciones[type eq "work"].códigoPostal	Cuerda
    dirección[tipo igual a "trabajo"].país	Cuerda
    phoneNumbers[type eq "trabajo"].valor	Cuerda
    ID externo	Cuerda
    configuración regional	Cuerda
    zona horaria	Cuerda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:númeroDeEmpleado	Cuerda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departamento	Cuerda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:división	Cuerda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:centroDeCostos	Cuerda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Usuario:organización	Cuerda
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:gerente	Referencia

11. En la sección Mapeos, seleccione Sincronizar grupos de Microsoft Entra con AWS IAM Identity Center.

12. Revise los atributos de grupo que se sincronizan entre Microsoft Entra ID y AWS IAM Identity Center en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con los grupos de AWS IAM Identity Center para realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.

    Atributo	Tipo	Compatible con el filtrado
    Nombre para mostrar	Cuerda	✓
    ID externo	Cuerda
    Miembros	Referencia

13. Para configurar filtros de ámbito, consulte las siguientes instrucciones proporcionadas en el artículo sobre filtros de ámbito.

14. Para habilitar el servicio de aprovisionamiento de Microsoft Entra para AWS IAM Identity Center, cambie estado de aprovisionamiento a Activado en la sección Configuración .

    

15. Elija los valores deseados en Ámbito en la sección Configuración para definir los usuarios o grupos que desea aprovisionar en AWS IAM Identity Center.

    

16. Cuando esté listo para aprovisionar, seleccione Guardar.

    

Esta operación inicia el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Ámbito en la sección Configuración . El ciclo inicial tarda más tiempo en realizarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos, siempre y cuando se ejecute el servicio de aprovisionamiento de Microsoft Entra.

Paso 6: Supervisión de la implementación

Una vez configurado el aprovisionamiento, use los recursos siguientes para supervisar la implementación:

1. Use los registros de aprovisionamiento de para determinar qué usuarios se aprovisionan correctamente o sin éxito
2. Compruebe la barra de progreso para ver el estado del ciclo de aprovisionamiento y cómo se acerca a la finalización.
3. Si la configuración de aprovisionamiento parece estar en un estado no saludable, la aplicación entra en cuarentena. Obtenga más información sobre los estados de cuarentena en el artículo estado de cuarentena de aprovisionamiento de aplicaciones .

Acceso a aplicaciones Just-In-Time (JIT) con PIM para grupos

Con PIM para grupos, puede proporcionar acceso Just-In-Time a grupos en Amazon Web Services y reducir el número de usuarios que tienen acceso permanente a grupos con privilegios en AWS.

Configura tu aplicación empresarial para SSO y aprovisionamiento

1. Agregue AWS IAM Identity Center al inquilino, configúrelo para el aprovisionamiento como se describe en el artículo anterior e inicie el aprovisionamiento.
2. Configure el inicio de sesión único para AWS IAM Identity Center.
3. Cree un grupo que proporcione a todos los usuarios acceso a la aplicación.
4. Asigne el grupo a la aplicación AWS Identity Center.
5. Asigne al usuario de prueba el rol de miembro directo del grupo creado en el paso anterior o proporciónele acceso al grupo a través de un paquete de acceso. Este grupo se puede usar para el acceso persistente y no administrativo en AWS.

Habilitación de PIM para grupos

1. Cree un segundo grupo en Microsoft Entra ID. Este grupo proporciona acceso a los permisos de administrador en AWS.
2. Incorpore el grupo bajo administración en Microsoft Entra PIM.
3. Asigna el usuario de prueba como elegible para el grupo en PIM con el rol de miembro.
4. Asigne el segundo grupo a la aplicación AWS IAM Identity Center.
5. Use el aprovisionamiento a petición para crear el grupo en AWS IAM Identity Center.
6. Inicie sesión en AWS IAM Identity Center y asigne al segundo grupo los permisos necesarios para realizar tareas de administración.

Ahora, cualquier usuario final que se haya hecho apto para el grupo en PIM puede obtener acceso JIT al grupo en AWS activando su pertenencia a grupos.

Consideraciones clave

• ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?:
  • Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Privileged Identity Management (PIM) de Microsoft Entra ID:
    • La pertenencia al grupo se gestiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
  • Cuando un usuario activa su pertenencia a grupos en PIM de Microsoft Entra ID:
    • La pertenencia a grupos se aprovisiona en 2 a 10 minutos. Cuando hay una alta tasa de solicitudes simultáneamente, las solicitudes se limitan a cinco solicitudes cada 10 segundos.
    • Para los cinco primeros usuarios dentro de un período de 10 segundos que activen su pertenencia a grupos para una aplicación específica, la membresía de grupo se activa en la aplicación en un plazo de 2 a 10 minutos.
    • Para el sexto usuario y los usuarios adicionales en un período de 10 segundos que activan su membresía de grupo en una aplicación específica, la membresía de grupo se asigna a la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
• Si el usuario no puede acceder al grupo necesario en AWS, revise las sugerencias de solución de problemas siguientes, los registros de PIM y los registros de aprovisionamiento para asegurarse de que la pertenencia al grupo se actualizó correctamente. En función de cómo se haya diseñado la aplicación de destino, la pertenencia al grupo puede tardar más tiempo en surtir efecto en la aplicación.
• Puede crear alertas de errores mediante Azure Monitor.
• La desactivación se realiza durante el ciclo incremental normal. No se procesa inmediatamente mediante el aprovisionamiento bajo demanda.

Consejos para la solución de problemas

Atributos que faltan

Al aprovisionar un usuario a AWS, es necesario que tenga los siguientes atributos

• nombre de pila
• lastName
• Nombre para mostrar
• nombre de usuario

Los usuarios que no tienen estos atributos producen el siguiente error

Atributos con varios valores

AWS no admite los siguientes atributos de varios valores:

• Correo electrónico
• números de teléfono

Al intentar fluir lo anterior como atributos con varios valores, se muestra el siguiente mensaje de error.

Hay dos maneras de resolver esto

1. Asegúrese de que el usuario solo tiene un valor para phoneNumber/email
2. Quite los atributos duplicados. Por ejemplo, la asignación de dos atributos diferentes de Microsoft Entra ID a "phoneNumber___" en el lado de AWS producirá un error si los dos atributos tienen valores en Microsoft Entra ID. El tener solo un atributo asignado a un atributo "phoneNumber____" resolvería el error.

Caracteres no válidos

Actualmente, AWS IAM Identity Center no permite algunos caracteres que Microsoft Entra ID admite, como tabulación (\t), nueva línea (\n), carro de retorno (\r), y caracteres como "<|>|;|:%".

También puede consultar las sugerencias de solución de problemas de AWS IAM Identity Center aquí para obtener más sugerencias de solución de problemas.

Recursos adicionales

• Administración del aprovisionamiento de cuentas de usuario para Aplicaciones empresariales
• ¿Qué es el acceso a la aplicación y el Centro de identidades de IAM con el identificador de Microsoft Entra?

Contenido relacionado

• Obtenga información sobre cómo revisar los registros y obtener informes sobre la actividad de aprovisionamiento.