Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los pasos que debe realizar en AWS IAM Identity Center (sucesor del inicio de sesión único de AWS) y microsoft Entra ID para configurar el aprovisionamiento automático de usuarios. Cuando se configura, Microsoft Entra ID aprovisiona y desaprovisiona automáticamente usuarios y grupos en AWS IAM Identity Center mediante el servicio de aprovisionamiento de Microsoft Entra. Para obtener detalles importantes sobre lo que hace este servicio, cómo funciona y las preguntas más frecuentes, consulte Automatización del aprovisionamiento y desaprovisionamiento de usuarios en aplicaciones SaaS con El identificador entra de Microsoft.
Capacidades soportadas
- Creación de usuarios en AWS IAM Identity Center
- Eliminación de usuarios de AWS IAM Identity Center cuando ya no necesitan acceso
- Mantenimiento de los atributos de usuario sincronizados entre Microsoft Entra ID y el Centro de identidad de IAM de AWS
- Aprovisionamiento de grupos y pertenencias a grupos en AWS IAM Identity Center
- Centro de identidades de IAM para AWS IAM Identity Center
Prerrequisitos
En el escenario descrito en este artículo se supone que ya tiene los siguientes requisitos previos:
- Una cuenta de usuario de Microsoft Entra con una suscripción activa. Si aún no tiene una, puede crear una cuenta de forma gratuita.
- Uno de los siguientes roles:
- Una conexión SAML desde la cuenta de Microsoft Entra al Centro de identidad de IAM de AWS, como se describe en el tutorial
Paso 1: Planifica tu despliegue de aprovisionamiento
- Obtenga información sobre cómo funciona el servicio de aprovisionamiento.
- Determine quién está en el ámbito del aprovisionamiento.
- Determine qué datos se van a asignar entre Microsoft Entra ID y AWS IAM Identity Center.
Paso 2: Configuración del Centro de identidad de IAM de AWS para admitir el aprovisionamiento con Microsoft Entra ID
Abra el Centro de identidades de AWS IAM.
Elija Configuración en el panel de navegación izquierdo.
En Configuración, seleccione Habilitar en la sección Aprovisionamiento automático.
En el cuadro de diálogo Aprovisionamiento automático de entrada, copie y guarde el punto de conexión sciM y el token de acceso (visible después de seleccionar Mostrar token). Estos valores se escriben en el campo Url del inquilino y Token secreto en la pestaña Aprovisionamiento de la aplicación AWS IAM Identity Center.
Paso 3: Incorporación del Centro de identidad de IAM de AWS desde la galería de aplicaciones de Microsoft Entra
Agregue Centro de identidad de IAM de AWS desde la galería de aplicaciones de Microsoft Entra para empezar a administrar el aprovisionamiento en el Centro de identidad de IAM de AWS. Si ha configurado previamente AWS IAM Identity Center para el inicio de sesión único, puede usar la misma aplicación. Obtenga más información sobre cómo agregar una aplicación desde la galería aquí.
Paso 4: Definir quién está en el ámbito de aprovisionamiento
El servicio de aprovisionamiento de Microsoft Entra permite definir el ámbito de quién se aprovisiona en función de la asignación a la aplicación o en función de los atributos del usuario o grupo. Si decide especificar quién se aprovisiona en la aplicación según la asignación, puede usar los pasos para asignar usuarios y grupos a la aplicación. Si decide definir el ámbito del aprovisionamiento únicamente en función de los atributos del usuario o grupo, puede usar un filtro de delimitación.
Comience pequeño. Pruebe con un pequeño conjunto de usuarios y grupos antes de implementarlo en todos. Cuando el ámbito de aprovisionamiento se establece en usuarios y grupos asignados, puede controlarlo asignando uno o dos usuarios o grupos a la aplicación. Cuando el ámbito se establece en todos los usuarios y grupos, puede especificar un filtro de ámbito basado en atributos.
Si necesita roles adicionales, puede actualizar el manifiesto de aplicación para agregar nuevos roles.
Paso 5: Configuración del aprovisionamiento automático de usuarios en el Centro de identidad de IAM de AWS
Esta sección le guía por los pasos necesarios para configurar el servicio de aprovisionamiento de Microsoft Entra para crear, actualizar y deshabilitar usuarios o grupos en TestApp en función de las asignaciones de usuarios o grupos de Microsoft Entra ID.
A fin de configurar el aprovisionamiento automático de usuarios para Centro de identidad de IAM de AWS en Microsoft Entra ID:
Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de aplicaciones en la nube.
Vaya a Entra ID>Aplicaciones empresariales
En la lista de aplicaciones, seleccione AWS IAM Identity Center.
Seleccione la pestaña Aprovisionamiento .
Establezca el modo de aprovisionamiento enAutomático.
En la sección Credenciales de administrador , escriba la dirección URL del inquilino del Centro de identidades de IAM de AWS y el token secreto recuperados anteriormente en el paso 2. Seleccione Probar conexión para asegurarse de que Microsoft Entra ID puede conectarse al Centro de identidades de AWS IAM.
En el campo Correo electrónico de notificación, escriba la dirección de correo electrónico de una persona o grupo que debe recibir las notificaciones de error de aprovisionamiento y active la casilla Enviar una notificación por correo electrónico cuando se produzca un error .
Seleccione Guardar.
En la sección Asignaciones, seleccione Sincronizar usuarios de Microsoft Entra con el Centro de Identidad de AWS IAM.
Revise los atributos de usuario que se sincronizan entre Microsoft Entra ID y AWS IAM Identity Center en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con las cuentas de usuario de AWS IAM Identity Center para realizar operaciones de actualización. Si decide cambiar el atributo de destino coincidente, debe asegurarse de que la API de AWS IAM Identity Center admite el filtrado de usuarios en función de ese atributo. Seleccione el botón Guardar para confirmar los cambios.
Atributo Tipo Compatible con el filtrado nombre de usuario Cuerda ✓ activo Booleano Nombre para mostrar Cuerda título Cuerda emails[type = "trabajo"].valor Cuerda idiomaPreferido Cuerda nombre.dado Cuerda nombre.apellido Cuerda nombre.formateado Cuerda addresses[type eq "trabajo"].formatted Cuerda direcciones[tipo eq "trabajo"].direccionCalle Cuerda direcciones[tipo eq "trabajo"].localidad Cuerda direcciones[tipo eq "trabajo"].región Cuerda direcciones[type eq "work"].códigoPostal Cuerda dirección[tipo igual a "trabajo"].país Cuerda phoneNumbers[type eq "trabajo"].valor Cuerda ID externo Cuerda configuración regional Cuerda zona horaria Cuerda urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:númeroDeEmpleado Cuerda urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:departamento Cuerda urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:división Cuerda urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:centroDeCostos Cuerda urn:ietf:params:scim:schemas:extension:enterprise:2.0:Usuario:organización Cuerda urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:gerente Referencia En la sección Mapeos, seleccione Sincronizar grupos de Microsoft Entra con AWS IAM Identity Center.
Revise los atributos de grupo que se sincronizan entre Microsoft Entra ID y AWS IAM Identity Center en la sección Asignación de atributos. Los atributos seleccionados como propiedades de Coincidencia se usan para buscar coincidencias con los grupos de AWS IAM Identity Center para realizar operaciones de actualización. Seleccione el botón Guardar para confirmar los cambios.
Atributo Tipo Compatible con el filtrado Nombre para mostrar Cuerda ✓ ID externo Cuerda Miembros Referencia Para configurar filtros de ámbito, consulte las siguientes instrucciones proporcionadas en el artículo sobre filtros de ámbito.
Para habilitar el servicio de aprovisionamiento de Microsoft Entra para AWS IAM Identity Center, cambie estado de aprovisionamiento a Activado en la sección Configuración .
Elija los valores deseados en Ámbito en la sección Configuración para definir los usuarios o grupos que desea aprovisionar en AWS IAM Identity Center.
Cuando esté listo para aprovisionar, seleccione Guardar.
Esta operación inicia el ciclo de sincronización inicial de todos los usuarios y grupos definidos en Ámbito en la sección Configuración . El ciclo inicial tarda más tiempo en realizarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos, siempre y cuando se ejecute el servicio de aprovisionamiento de Microsoft Entra.
Paso 6: Supervisión de la implementación
Una vez configurado el aprovisionamiento, use los recursos siguientes para supervisar la implementación:
- Use los registros de aprovisionamiento de para determinar qué usuarios se aprovisionan correctamente o sin éxito
- Compruebe la barra de progreso para ver el estado del ciclo de aprovisionamiento y cómo se acerca a la finalización.
- Si la configuración de aprovisionamiento parece estar en un estado no saludable, la aplicación entra en cuarentena. Obtenga más información sobre los estados de cuarentena en el artículo estado de cuarentena de aprovisionamiento de aplicaciones .
Acceso a aplicaciones Just-In-Time (JIT) con PIM para grupos
Con PIM para grupos, puede proporcionar acceso Just-In-Time a grupos en Amazon Web Services y reducir el número de usuarios que tienen acceso permanente a grupos con privilegios en AWS.
Configura tu aplicación empresarial para SSO y aprovisionamiento
- Agregue AWS IAM Identity Center al inquilino, configúrelo para el aprovisionamiento como se describe en el artículo anterior e inicie el aprovisionamiento.
- Configure el inicio de sesión único para AWS IAM Identity Center.
- Cree un grupo que proporcione a todos los usuarios acceso a la aplicación.
- Asigne el grupo a la aplicación AWS Identity Center.
- Asigne al usuario de prueba el rol de miembro directo del grupo creado en el paso anterior o proporciónele acceso al grupo a través de un paquete de acceso. Este grupo se puede usar para el acceso persistente y no administrativo en AWS.
Habilitación de PIM para grupos
- Cree un segundo grupo en Microsoft Entra ID. Este grupo proporciona acceso a los permisos de administrador en AWS.
- Incorpore el grupo bajo administración en Microsoft Entra PIM.
- Asigna el usuario de prueba como elegible para el grupo en PIM con el rol de miembro.
- Asigne el segundo grupo a la aplicación AWS IAM Identity Center.
- Use el aprovisionamiento a petición para crear el grupo en AWS IAM Identity Center.
- Inicie sesión en AWS IAM Identity Center y asigne al segundo grupo los permisos necesarios para realizar tareas de administración.
Ahora, cualquier usuario final que se haya hecho apto para el grupo en PIM puede obtener acceso JIT al grupo en AWS activando su pertenencia a grupos.
Consideraciones clave
- ¿Cuánto tiempo se tarda en tener un usuario aprovisionado en la aplicación?:
- Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Privileged Identity Management (PIM) de Microsoft Entra ID:
- La pertenencia al grupo se gestiona en la aplicación durante el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos.
- Cuando un usuario activa su pertenencia a grupos en PIM de Microsoft Entra ID:
- La pertenencia a grupos se aprovisiona en 2 a 10 minutos. Cuando hay una alta tasa de solicitudes simultáneamente, las solicitudes se limitan a cinco solicitudes cada 10 segundos.
- Para los cinco primeros usuarios dentro de un período de 10 segundos que activen su pertenencia a grupos para una aplicación específica, la membresía de grupo se activa en la aplicación en un plazo de 2 a 10 minutos.
- Para el sexto usuario y los usuarios adicionales en un período de 10 segundos que activan su membresía de grupo en una aplicación específica, la membresía de grupo se asigna a la aplicación en el siguiente ciclo de sincronización. El ciclo de sincronización se ejecuta cada 40 minutos. Los límites de limitación son por aplicación empresarial.
- Cuando se agrega un usuario a un grupo de Microsoft Entra ID fuera de activar su pertenencia a grupos mediante Privileged Identity Management (PIM) de Microsoft Entra ID:
- Si el usuario no puede acceder al grupo necesario en AWS, revise las sugerencias de solución de problemas siguientes, los registros de PIM y los registros de aprovisionamiento para asegurarse de que la pertenencia al grupo se actualizó correctamente. En función de cómo se haya diseñado la aplicación de destino, la pertenencia al grupo puede tardar más tiempo en surtir efecto en la aplicación.
- Puede crear alertas de errores mediante Azure Monitor.
- La desactivación se realiza durante el ciclo incremental normal. No se procesa inmediatamente mediante el aprovisionamiento bajo demanda.
Consejos para la solución de problemas
Atributos que faltan
Al aprovisionar un usuario a AWS, es necesario que tenga los siguientes atributos
- nombre de pila
- lastName
- Nombre para mostrar
- nombre de usuario
Los usuarios que no tienen estos atributos producen el siguiente error
Atributos con varios valores
AWS no admite los siguientes atributos de varios valores:
- Correo electrónico
- números de teléfono
Al intentar fluir lo anterior como atributos con varios valores, se muestra el siguiente mensaje de error.
Hay dos maneras de resolver esto
- Asegúrese de que el usuario solo tiene un valor para phoneNumber/email
- Quite los atributos duplicados. Por ejemplo, la asignación de dos atributos diferentes de Microsoft Entra ID a "phoneNumber___" en el lado de AWS producirá un error si los dos atributos tienen valores en Microsoft Entra ID. El tener solo un atributo asignado a un atributo "phoneNumber____" resolvería el error.
Caracteres no válidos
Actualmente, AWS IAM Identity Center no permite algunos caracteres que Microsoft Entra ID admite, como tabulación (\t), nueva línea (\n), carro de retorno (\r), y caracteres como "<|>|;|:%".
También puede consultar las sugerencias de solución de problemas de AWS IAM Identity Center aquí para obtener más sugerencias de solución de problemas.
Recursos adicionales
- Administración del aprovisionamiento de cuentas de usuario para Aplicaciones empresariales
- ¿Qué es el acceso a la aplicación y el Centro de identidades de IAM con el identificador de Microsoft Entra?