Configurar o AWS IAM Identity Center (sucessor do logon único do AWS) para provisionamento automático de usuário com Microsoft Entra ID

Este artigo descreve as etapas que você precisa executar no AWS IAM Identity Center (sucessor do logon único do AWS) e Microsoft Entra ID para configurar o provisionamento automático de usuário. Quando configurado, Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para AWS IAM Identity Center usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que este serviço faz, como ele funciona e perguntas frequentes, consulte Automatize o provisionamento e desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Capacidades Suportadas

• Criar usuários no AWS IAM Identity Center
• Remova usuários no AWS IAM Identity Center quando eles não precisarem mais de acesso.
• Manter os atributos de usuário sincronizados entre Microsoft Entra ID e o AWS IAM Identity Center
• Provisionar grupos e associações de grupo no AWS IAM Identity Center
• Documento de Login Único da AWS para o Centro de Identidade AWS IAM

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tiver uma, poderá Criar uma conta gratuita.
• Uma das seguintes funções:
  • Administrador de Aplicativos
  • administrador de aplicativos do Cloud
  • Proprietário do aplicativo.

• Uma conexão SAML da sua conta do Microsoft Entra para o AWS IAM Identity Center, conforme descrito no Tutorial

Etapa 1: planejar a implantação de provisionamento

1. Saiba mais sobre como funciona o serviço de provisionamento.
2. Determine quem está no escopo do provisionamento.
3. Determine quais dados mapear entre Microsoft Entra ID e AWS IAM Identity Center.

Etapa 2: Configurar o AWS IAM Identity Center para dar suporte ao provisionamento com Microsoft Entra ID

1. Abra o AWS IAM Identity Center.

2. Escolha Configurações no painel de navegação esquerdo.

3. Em Configurações, selecione Habilitar na seção Provisionamento automático.

   

4. Na caixa de diálogo de provisionamento automático de entrada, copie e salve o endpoint SCIM e o Token de Acesso (visível depois de selecionar Mostrar Token). Esses valores são inseridos na URL do Locatário e no campo Token Secreto na guia Provisionamento do aplicativo AWS IAM Identity Center.

Etapa 3: adicionar o AWS IAM Identity Center da galeria de aplicativos do Microsoft Entra

Adicione o AWS IAM Identity Center da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no AWS IAM Identity Center. Se você já tiver configurado o AWS IAM Identity Center para SSO, poderá usar o mesmo aplicativo. Saiba mais sobre como adicionar um aplicativo da galeria aqui.

Etapa 4: Definir quem está no escopo de provisionamento

O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem é provisionado com base na atribuição ao aplicativo ou com base em atributos do usuário ou do grupo. Se você optar por definir o escopo de quem é provisionado para seu aplicativo com base na atribuição, poderá usar o steps para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem é provisionado com base apenas em atributos do usuário ou grupo, poderá usar um filtro de escopo.

• Comece pequeno. Teste com um pequeno conjunto de usuários e grupos antes de distribuir para todos. Quando o escopo do provisionamento é definido para usuários e grupos atribuídos, você pode controlar isso atribuindo um ou dois usuários ou grupos ao aplicativo. Quando o escopo é definido para todos os usuários e grupos, você pode especificar um filtro de escopo baseado em atributo .

• Se precisar de funções extras, você poderá atualizar o manifesto do aplicativo para adicionar novas funções.

Etapa 5: Configurar o provisionamento automático de usuário para o AWS IAM Identity Center (sucessor do logon único do AWS)

Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra ID para criar, atualizar e desabilitar usuários e/ou grupos no AWS IAM Identity Center (sucessor do logon único da AWS), com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.

Para configurar o provisionamento automático de usuário para o AWS IAM Identity Center (sucessor do logon único do AWS) no Microsoft Entra ID:

1. Entre no centro de administração do Microsoft Entra como pelo menos um proprietário do aplicativo ou Cloud Application Administrator.

2. Navegar para Entra ID>Aplicativos corporativos

   

3. Na lista de aplicativos, selecione o AWS IAM Identity Center (sucessor do logon único do AWS).

   

4. Selecione a guia Provisionamento.

   

5. Selecione + Nova configuração.

   

6. No campo URL do Locatário, insira a URL do Locatário do AWS IAM Identity Center (sucessor do AWS Single Sign-On) e o Token Secreto. Selecione Test Connection para garantir que Microsoft Entra ID possa se conectar ao AWS IAM Identity Center (sucessor do logon único do AWS). Se a conexão falhar, verifique se sua conta do AWS IAM Identity Center (sucessora do logon único do AWS) tem as permissões de administrador necessárias e tente novamente.

   

7. Selecione Criar para criar sua configuração.

8. Selecione Propriedades na página Visão Geral .

9. Selecione o lápis para editar as propriedades. Habilite emails de notificação e forneça um email para receber emails de quarentena. Habilitar a prevenção de exclusões acidentais. Escolha Aplicar para salvar as alterações.

   

10. Selecione Mapeamento de Atributos no painel esquerdo e selecione usuários.

11. Examine os atributos de usuário sincronizados de Microsoft Entra ID para o AWS IAM Identity Center (sucessor do logon único do AWS) na seção Attribute-Mapping. Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no AWS IAM Identity Center (sucessor do logon único do AWS) para operações de atualização. Se você optar por alterar o atributo de destino correspondente, precisará garantir que a API do AWS IAM Identity Center (sucessora do logon único da AWS) dê suporte à filtragem de usuários com base nesse atributo. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Tipo	Com suporte para filtragem
    userName	fio	✓
    ativo	booleano
    displayName	fio
    título	fio
    emails[tipo eq "trabalho"].valor	fio
    idiomaPreferido	fio
    name.givenName	fio
    name.familyName	fio
    name.formatted	fio
    endereços[tipo eq "trabalho"].formatado	fio
    endereços[tipo eq "work"].endereçoRua	fio
    addresses[type eq "trabalho"].locality	fio
    endereços[tipo eq "trabalho"].região	fio
    endereços[tipo eq "trabalho"].códigoPostal	fio
    endereços[tipo eq "trabalho"].país	fio
    phoneNumbers[tipo eq "trabalho"].value	fio
    externalId	fio
    localidade	fio
    fuso horário	fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	fio
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Referência

12. Selecione grupos.

13. Examine os atributos de grupo sincronizados de Microsoft Entra ID com o AWS IAM Identity Center (sucessor do logon único do AWS) na seção Attribute-Mapping. Os atributos selecionados como propriedades correspondentes são usados para corresponder aos grupos no AWS IAM Identity Center (sucessor do logon único do AWS) para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Tipo	Com suporte para filtragem
    displayName	fio	✓
    externalId	fio
    Membros	Referência

14. Para configurar filtros de escopo, consulte as instruções fornecidas no artigo de filtro de escopo.

15. Use o provisionamento sob demanda para validar a sincronização com um pequeno número de usuários antes de implantar de forma mais ampla em sua organização.

16. Quando estiver pronto para provisionar, selecione Iniciar Provisionamento na página Visão Geral .

Etapa 6: Monitorar sua implantação

Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:

1. Utilize os logs de provisionamento para determinar quais usuários foram provisionados com sucesso ou sem sucesso.
2. Verifique a barra de progresso para ver o status do ciclo de provisionamento e o quão perto está da conclusão
3. Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre os estados de quarentena no artigo estado de quarentena de provisionamento de aplicativos.

Acesso just-in-time (JIT) ao aplicativo usando PIM para grupos

Com o PIM para Grupos, você pode fornecer acesso just-in-time a grupos do Amazon Web Services e reduzir o número de usuários que têm acesso permanente a grupos privilegiados na AWS.

Configurar seu aplicativo empresarial para SSO e provisionamento

1. Adicione o AWS IAM Identity Center ao seu locatário, configure-o para provisionamento, conforme descrito no artigo acima, e inicie o provisionamento.
2. Configure o logon único para o AWS IAM Identity Center.
3. Crie um grupo que forneça a todos os usuários acesso ao aplicativo.
4. Atribua o grupo ao aplicativo do AWS Identity Center.
5. Atribua o usuário de teste como um membro direto do grupo criado na etapa anterior ou forneça acesso ao grupo por meio de um pacote de acesso. Esse grupo pode ser usado para acesso persistente e não administrativo na AWS.

Habilitar o PIM para grupos

1. Crie um segundo grupo no Microsoft Entra ID. Esse grupo fornece access para permissões de administrador no AWS.
2. Traga o grupo sob gerenciamento no Microsoft Entra PIM.
3. Atribua o usuário de teste como eligible para o grupo no PIM com a função definida como membro.
4. Atribua o segundo grupo ao aplicativo AWS IAM Identity Center.
5. Use o provisionamento sob demanda para criar o grupo no AWS IAM Identity Center.
6. Entre no AWS IAM Identity Center e atribua ao segundo grupo as permissões necessárias para executar tarefas de administrador.

Agora, qualquer usuário final que foi tornado elegível para o grupo no PIM pode obter acesso JIT para o grupo na AWS ativando sua associação ao grupo.

Principais considerações

• Quanto tempo leva para que um usuário seja provisionado para o aplicativo?
  • Quando um usuário é adicionado a um grupo em Microsoft Entra ID fora da ativação de sua associação de grupo usando Microsoft Entra ID Privileged Identity Management (PIM):
    • A associação de grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
  • Quando um usuário ativa sua associação de grupo no MICROSOFT ENTRA ID PIM:
    • A associação ao grupo é provisionada em dois a dez minutos. Quando há uma alta taxa de solicitações ao mesmo tempo, as solicitações são limitadas a uma taxa de cinco solicitações por 10 segundos.
    • Para os cinco primeiros usuários em um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação de grupo é provisionada no aplicativo dentro de 2 a 10 minutos.
    • Para o sexto usuário em diante que ativar sua associação de grupo para um aplicativo específico em um período de 10 segundos, a associação de grupo é provisionada para o aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os parâmetros de limitação são por aplicativo empresarial.
• Se o usuário não puder access o grupo necessário no AWS, examine as dicas de solução de problemas abaixo, os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo tenha sido atualizada com êxito. Dependendo de como o aplicativo de destino foi projetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
• Você pode criar alertas para falhas usando Azure Monitor.
• A desativação é feita durante o ciclo incremental regular. Ele não é processado imediatamente por meio do provisionamento sob demanda.

Dicas de solução de problemas

Atributos ausentes

Ao provisionar um usuário para a AWS, ele precisa ter os seguintes atributos

• firstName
• lastName
• displayName
• userName

Os usuários que não têm esses atributos falham com o erro a seguir

Atributos com vários valores

A AWS não dá suporte aos seguintes atributos com valores múltiplos:

• email
• números de telefone

Tentar processar o acima como atributos multivalorados resulta na seguinte mensagem de erro

Há três maneiras de resolver esse

1. Verifique se o usuário tem apenas um valor para phoneNumber/email
2. Remova os atributos duplicados. Por exemplo, ao ter dois atributos diferentes do Microsoft Entra ID ambos mapeados para "phoneNumber___" no lado da AWS, resultará em um erro se ambos os atributos tiverem valores dentro do Microsoft Entra ID. Ter apenas um atributo mapeado para um atributo "phoneNumber____" resolveria o erro.

Caracteres inválidos

Atualmente, o AWS IAM Identity Center não está permitindo alguns outros caracteres que Microsoft Entra ID dão suporte como guia (\t), nova linha (\n), carro de retorno (\r) e caracteres como " <|>|;|:% ".

Você também pode verificar as dicas de solução de problemas do AWS IAM Identity Center a.

Recursos adicionais

• Gerenciamento do provisionamento de conta de usuário para Aplicativos Empresariais
• O que é o acesso ao aplicativo e o IAM Identity Center com Microsoft Entra ID?

Conteúdo relacionado

• Saiba como fazer revisão de logs e obter relatórios sobre atividade de provisionamento