Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Directorio Microsoft AD
<a name="manage-your-identity-source-ad"></a>

Con AWS IAM Identity Center, puede conectar un directorio autoadministrado en Active Directory (AD) o un directorio AWS Managed Microsoft AD mediante. AWS Directory Service Este directorio de Microsoft AD define el grupo de identidades que los administradores pueden extraer al utilizar la consola de Centro de identidades de IAM para asignar el acceso de inicio de sesión único. Tras conectar el directorio corporativo al Centro de identidades de IAM, puede conceder a sus usuarios o grupos de AD acceso a las aplicaciones o a Cuentas de AWS ambas opciones. 

AWS Directory Service le ayuda a configurar y ejecutar un AWS Managed Microsoft AD directorio independiente alojado en. Nube de AWS También puede utilizarlo Directory Service para conectar sus AWS recursos con un AD autogestionado existente. Para configurarlo AWS Directory Service para que funcione con su AD autogestionado, primero debe configurar relaciones de confianza para extender la autenticación a la nube.

El centro de identidad de IAM utiliza la conexión proporcionada por Directory Service para realizar la autenticación de transferencia a la instancia de AD de origen. Si la utilizas AWS Managed Microsoft AD como fuente de identidad, el Centro de Identidad de IAM puede funcionar con usuarios de AWS Managed Microsoft AD cualquier dominio conectado a través de un fideicomiso de AD. Si desea ubicar a sus usuarios en 4 o más dominios, los usuarios deben usar la sintaxis de `DOMAIN\user` como nombre de usuario al iniciar sesión en Centro de identidades de IAM.

**Notas**  
Como paso previo, asegúrese de que su AD Connector o directorio en AWS Managed Microsoft AD in Directory Service reside en su cuenta AWS Organizations de administración.
Centro de identidades de IAM no admite Simple AD basado en SAMBA 4 como directorio conectado.
 El centro de identidad de IAM no puede sincronizar los principios de seguridad extranjeros (). FSPs Si un grupo AWS Managed Microsoft AD contiene miembros de un dominio de confianza FSPs, esos miembros no se sincronizarán.

Para ver una demostración del proceso de uso de Active Directory como origen de identidad para IAM Identity Center, consulte el siguiente vídeo de YouTube:

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## Consideraciones sobre el uso de Active Directory
<a name="considerations-ad-identitysource"></a>

Si quiere utilizar Active Directory como origen de identidad, la configuración debe cumplir los siguientes requisitos previos:
+ Si lo está utilizando AWS Managed Microsoft AD, debe habilitar el Centro de Identidad de IAM en el mismo Región de AWS lugar donde está configurado su AWS Managed Microsoft AD directorio. Centro de identidades de IAM almacena los datos de asignación en la misma región que el directorio. Para administrar Centro de identidades de IAM, es posible que deba cambiarse a la región en la que está configurado Centro de identidades de IAM. Además, tenga en cuenta que el portal de AWS acceso utiliza la misma URL de acceso que su directorio.
+ Utilice un Active Directory que resida en la cuenta de administración:

  Debe tener un AD Connector o AWS Managed Microsoft AD directorio existente configurado y debe residir en AWS Directory Service su cuenta AWS Organizations de administración. Solo puede conectar un directorio AD Connector o un directorio AWS Managed Microsoft AD a la vez. Si necesita admitir varios dominios o bosques, utilice AWS Managed Microsoft AD. Para obtener más información, consulte lo siguiente:
  + [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md)
  + [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md)
+ Utilice un Active Directory que resida en la cuenta de administrador delegada:

  Si planea habilitar la administración delegada del IAM Identity Center y usar Active Directory como fuente de identidad del IAM Identity Center, puede usar un AD Connector existente o un AWS Managed Microsoft AD directorio configurado en el AWS Directorio que resida en la cuenta de administrador delegado. 

  Si decide cambiar la fuente de identidad de Centro de identidades de IAM de cualquier otra fuente a Active Directory o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta de miembro administrador delegado de Centro de identidades de IAM si existe; de lo contrario, debe estar en la cuenta de administración.

# Conexión de Active Directory y especificación de un usuario
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

Si ya utiliza Active Directory, los siguientes temas lo ayudarán a prepararse para conectar su directorio a IAM Identity Center.

Puede conectar un AWS Managed Microsoft AD directorio o un directorio autogestionado en Active Directory con IAM Identity Center. 

**nota**  
El Centro de Identidad de IAM no SAMBA4 admite Simple AD como fuente de identidad.

**AWS Managed Microsoft AD**

1. Revise la guía en [Directorio Microsoft AD](manage-your-identity-source-ad.md).

1. Siga los pasos de [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md).

1. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte [Sincronice un usuario administrativo en el Centro de identidades de IAM](#sync-admin-user-from-ad).

**Directorio autogestionado en Active Directory**

1. Revise la guía en [Directorio Microsoft AD](manage-your-identity-source-ad.md).

1. Siga los pasos de [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md).

1. Configure Active Directory para sincronizar el usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM. Para obtener más información, consulte [Sincronice un usuario administrativo en el Centro de identidades de IAM](#sync-admin-user-from-ad).

**IdP externo**

1. Revise la guía en [Proveedores de identidades externos](manage-your-identity-source-idp.md).

1. Siga los pasos de [Cómo conectarse a un proveedor de identidades externo](how-to-connect-idp.md).

1. 

   Configure su IdP para aprovisionar usuarios al Centro de identidades de IAM. 
**nota**  
Antes de configurar el aprovisionamiento automático y basado en grupos de todas las identidades de sus empleados desde su IdP al Centro de identidades de IAM, le recomendamos que sincronice el único usuario al que quiere conceder permisos administrativos en Centro de identidades de IAM.

## Sincronice un usuario administrativo en el Centro de identidades de IAM
<a name="sync-admin-user-from-ad"></a>

Tras conectar el directorio a IAM Identity Center, puede especificar el usuario al que quiere conceder permisos administrativos y, a continuación, sincronizar ese usuario del directorio con IAM Identity Center.

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. En la página de **Administrar sincronización**, elija la pestaña **Usuarios** y, continuación, seleccione **Añadir usuarios y grupos**.

1. En la pestaña **Usuarios**, en **Usuario**, introduzca el nombre de usuario exacto y seleccione **Añadir**.

1. En **Usuarios y grupos añadidos**, haga lo siguiente:

   1. Confirme que se ha especificado el usuario a quien desea conceder permisos administrativos.

   1. Seleccione la casilla de verificación que hay junto al nombre del archivo.

   1. Elija **Enviar**

1. En la página **Administrar sincronización**, el usuario que especificó aparece en la lista de **Ámbito de usuarios sincronizados**.

1. En el panel de navegación, seleccione **Usuarios**.

1. En la página **Usuarios**, es posible que el usuario que especificó tarde algún tiempo en aparecer en la lista. Seleccione el icono de actualización para actualizar la lista de usuarios. 

En este momento, el usuario no tiene acceso a la cuenta de administración. Para configurar el acceso administrativo a esta cuenta, debe crear un conjunto de permisos administrativos y asignar el usuario a ese conjunto de permisos. Para obtener más información, consulte [Crea un conjunto de permisos.](howtocreatepermissionset.md).

## Aprovisionamiento cuando los usuarios provienen de Active Directory
<a name="provision-users-from-ad"></a>

El Centro de identidades de IAM utiliza la conexión proporcionada por el Directory Service para sincronizar la información de usuarios, grupos y miembros del directorio de origen de Active Directory con el almacén de identidades del Centro de identidades de IAM. La información de la contraseña no se sincroniza con Centro de identidades de IAM, ya que la autenticación de los usuarios se realiza directamente desde el directorio de origen de Active Directory. Las aplicaciones utilizan estos datos de identidad para facilitar los escenarios de búsqueda, autorización y colaboración dentro de la aplicación sin devolver la actividad de LDAP al directorio de origen de Active Directory.

Para obtener más información sobre aprovisionamiento, consulte [Aprovisionamiento de usuarios y grupos](users-groups-provisioning.md#user-group-provision).

**Topics**
+ [Consideraciones sobre el uso de Active Directory](#considerations-ad-identitysource)
+ [Conexión de Active Directory y especificación de un usuario](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Aprovisionamiento cuando los usuarios provienen de Active Directory](#provision-users-from-ad)
+ [Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM](connectawsad.md)
+ [Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM](connectonpremad.md)
+ [Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos](attributemappingsconcept.md)
+ [Centro de identidades de IAM y sincronización de AD configurable](provision-users-from-ad-configurable-ADsync.md)

# Conectar un directorio AWS Managed Microsoft AD al centro de identidad de IAM
<a name="connectawsad"></a>

Utilice el siguiente procedimiento para conectar un directorio gestionado por AWS Directory Service el AWS Managed Microsoft AD Centro de Identidad de IAM. 

**Para conectarse AWS Managed Microsoft AD al Centro de Identidad de IAM**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**  
Antes de continuar con el paso siguiente, compruebe que la consola de Centro de identidades de IAM utiliza alguna de las regiones donde se encuentra su directorio de AWS Managed Microsoft AD .

1. Elija **Configuración**.

1. En la página de **configuración**, elija la pestaña **Fuente de identidad**, elija **Acciones y, a continuación, Cambiar fuente de identidad**.

1. En **Elegir origen de identidad**, seleccione **Active Directory** y, a continuación, seleccione **Siguiente**.

1. En **Conectar Active Directory**, elija un directorio AWS Managed Microsoft AD de la lista y, a continuación, **Siguiente**.

1. En **Confirmar el cambio**, revise la información; cuando esté todo listo, escriba **ACEPTAR** y, a continuación, elija **Cambiar fuente de identidad**.
**importante**  
Para especificar un usuario de Active Directory como usuario administrativo en Centro de identidades de IAM, primero debe sincronizar el usuario al que desea conceder permisos administrativos desde Active Directory con Centro de identidades de IAM. Para ello, siga los pasos que se indican en [Sincronice un usuario administrativo en el Centro de identidades de IAM](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).

# Conexión de un directorio autoadministrado de Active Directory a Centro de identidades de IAM
<a name="connectonpremad"></a>

Los usuarios del directorio autogestionado de Active Directory (AD) también pueden tener acceso mediante un inicio de sesión único Cuentas de AWS y a las aplicaciones del portal de acceso. AWS Para configurar el acceso de inicio de sesión único para estos usuarios, puede realizar una de las siguientes acciones:
+ **Cree una relación de confianza bidireccional**: cuando se crean relaciones de confianza bidireccionales entre un directorio autogestionado de AD AWS Managed Microsoft AD y un directorio autogestionado de AD, los usuarios del directorio autogestionado de AD pueden iniciar sesión con sus credenciales corporativas en diversos servicios y aplicaciones empresariales. AWS Las relaciones de confianza unidireccionales no funcionan con Centro de identidades de IAM.

  AWS IAM Identity Center requiere una confianza bidireccional para tener permisos para leer la información de usuarios y grupos de tu dominio a fin de sincronizar los metadatos de usuarios y grupos. Centro de identidades de IAM utiliza estos metadatos al asignar el acceso a conjuntos de permisos o aplicaciones. Las aplicaciones también utilizan los metadatos de usuarios y grupos para colaborar como, por ejemplo, cuando se comparte un panel con otro usuario o grupo. La confianza Directory Service de Microsoft Active Directory en su dominio permite que IAM Identity Center confíe en su dominio para la autenticación. La confianza en la dirección opuesta otorga AWS permisos para leer los metadatos de los usuarios y grupos. 

  Para obtener más información acerca de la configuración de una relación de confianza bidireccional, consulte [Cuándo crear una relación de confianza](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) en la *Guía de administración de AWS Directory Service *.
**nota**  
Para poder utilizar AWS aplicaciones, como el IAM Identity Center, para leer los usuarios del Directory Service directorio de dominios de confianza, las Directory Service cuentas requieren permisos sobre el userAccountControl atributo de los usuarios de confianza. Sin permisos de lectura para este atributo, las aplicaciones de AWS no pueden determinar si la cuenta está habilitada o deshabilitada.  
El acceso de lectura a este atributo se proporciona de forma predeterminada cuando se crea una confianza. Si deniega el acceso a este atributo (no se recomienda), impedirá que aplicaciones como Identity Center puedan leer a los usuarios de confianza. La solución consiste en permitir específicamente el acceso de lectura al `userAccountControl` atributo de las cuentas de AWS servicio de la OU AWS reservada (con el prefijo AWS\$1).
+ **Crear un conector AD**: Un conector AD es una puerta de enlace de directorio que puede redirigir solicitudes del directorio al Active Directory autoadministrado sin almacenar en caché la información que hay en la nube. Para obtener más información, consulte [Conectarse a un directorio](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) en la *Guía de administración de AWS Directory Service *. A continuación, se presentan las consideraciones a tener en cuenta al usar el Conector AD:
  + Si va a conectar Centro de identidades de IAM a un directorio de un conector AD, cualquier restablecimiento de contraseñas de usuario en el futuro deberá realizarse desde AD. Esto significa que los usuarios no podrán restablecer sus contraseñas desde el portal de AWS acceso.
  + Si utiliza un conector AD para conectar el servicio de dominio de Active Directory al Centro de identidades de IAM, Centro de identidades de IAM solo tiene acceso a los usuarios y grupos del dominio único al que se conecta el conector AD. Si necesita admitir varios dominios o bosques, utilice Directory Service para Microsoft Active Directory.
**nota**  
El Centro de identidades de IAM no funciona con directorios Simple AD SAMBA4 basados en.

# Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos
<a name="attributemappingsconcept"></a>

Las asignaciones de atributos se utilizan para asignar los tipos de atributos que existen en Centro de identidades de IAM con atributos similares en sus fuentes de identidad externas, como Google Workspace, Microsoft Active Directory (AD) yOkta. Centro de identidades de IAM recupera los atributos de usuario de la fuente de identidad y los asigna a los atributos de usuario de Centro de identidades de IAM. 

Si su IAM Identity Center está sincronizado para usar un **proveedor de identidades (IdP) externo**, por ejemplo, Google Workspace, Okta o Ping, como origen de identidad, tendrá que asignar sus atributos en su IdP.

IAM Identity Center rellena previamente un conjunto de atributos en la pestaña **Asignaciones de atributos** de la página de configuración. Centro de identidades de IAM utiliza estos atributos de usuario para rellenar las aserciones de SAML (como atributos de SAML) que se envían a la aplicación. Estos atributos de usuario se recuperan, a su vez, de su fuente de identidad. Cada aplicación determina la lista de atributos de SAML 2.0 que necesita para un inicio de sesión único correcto. Para obtener más información, consulte [Asignación de atributos de su aplicación con atributos de IAM Identity Center](mapawsssoattributestoapp.md).

IAM Identity Center también administra un conjunto de atributos en la sección **Asignaciones de atributos** de la **página de configuración de Active Directory** si utiliza AD como origen de identidad. Para obtener más información, consulte [Asignación de los atributos de usuario entre IAM Identity Center y el directorio Microsoft AD](mapssoattributestocdattributes.md).

## Atributos de proveedores de identidad externos compatibles
<a name="supportedidpattributes"></a>

En la siguiente tabla se enumeran todos los atributos del proveedor de identidades (IdP) externo que se admiten y se pueden asignar a los atributos que se pueden utilizar al configurar [Atributos para controlar el acceso](attributesforaccesscontrol.md) en IAM Identity Center. Al usar aserciones de SAML, puede usar cualquier atributo que admita su IdP.


****  

| Atributos compatibles en su IdP | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## Asignaciones predeterminadas entre IAM Identity Center y Microsoft AD
<a name="defaultattributemappings"></a>

En la tabla siguiente se muestran las asignaciones predeterminadas de los atributos de usuario de Centro de identidades de IAM a los atributos de usuario del directorio Microsoft AD. Centro de identidades de IAM solo admite la lista de atributos de la columna **Atributo de usuario en Centro de identidades de IAM**. 


****  

| Atributo de usuario en Centro de identidades de IAM  | Asignaciones a este atributo en su Active Directory | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 El atributo de correo electrónico de Centro de identidades de IAM debe ser único en el directorio.


****  

| Atributo de usuario en IAM Identity Center  | Asignaciones a este atributo en su Active Directory | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**Consideraciones**
+ Si no tiene ninguna asignación para sus usuarios y grupos en IAM Identity Center cuando habilite la sincronización de AD configurable, se utilizan las asignaciones predeterminadas en las tablas anteriores. Para obtener información acerca de cómo personalizar estas asignaciones, consulte [Configuración de las asignaciones de atributos para su sincronización](manage-sync-configure-attribute-mapping-configurable-ADsync.md).
+ Algunos atributos de IAM Identity Center no se pueden modificar porque son inmutables y se asignan de forma predeterminada a atributos de directorio específicos de Microsoft AD.

  Por ejemplo, el “nombre de usuario” es un atributo obligatorio en el IAM Identity Center. Si asigna “nombre de usuario” a un atributo del directorio de AD con un valor vacío, el IAM Identity Center considerará el valor `windowsUpn` como el valor predeterminado de “nombre de usuario”. Si desea cambiar la asignación de atributos de “nombre de usuario” de la asignación actual, confirme que los flujos del IAM Identity Center que dependen del “nombre de usuario” sigan funcionando según lo previsto antes de realizar el cambio.

## Atributos de Microsoft AD compatibles con IAM Identity Center
<a name="supporteddirectoryattributes"></a>

En la siguiente tabla se proporciona la lista completa de los atributos del directorio Microsoft AD admitidos y que se pueden asignar a atributos de usuario de Centro de identidades de IAM. 


****  

| Atributos admitidos en el directorio de Microsoft AD | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**Consideraciones**
+ Puede especificar cualquier combinación de atributos del directorio de Microsoft AD compatibles para asignarlos a un único atributo de IAM Identity Center.

## Atributos de IAM Identity Center compatibles para Microsoft AD
<a name="supportedssoattributes"></a>

En la siguiente tabla se proporciona la lista completa de los atributos de Centro de identidades de IAM admitidos y que se pueden asignar a atributos de usuario del directorio Microsoft AD. Posteriormente, cuando configure las asignaciones de los atributos de la aplicación podrá usar estos mismos atributos de Centro de identidades de IAM para asignarlos con los atributos reales utilizados por dicha aplicación.


****  

| Atributos en IAM Identity Center compatibles para Active Directory | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# Asignación de los atributos de usuario entre IAM Identity Center y el directorio Microsoft AD
<a name="mapssoattributestocdattributes"></a>

Puede utilizar el siguiente procedimiento para especificar cómo deben asignarse sus atributos de usuario de IAM Identity Center a los atributos correspondientes de su directorio de Microsoft AD.

**Cómo asignar atributos de Centro de identidades de IAM a atributos de su directorio**

1. Abra la [consola de Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuración**.

1. En la página de **configuración**, seleccione la pestaña **Atributos para el control de acceso** y, a continuación, elija **Administrar atributos**.

1. En la página **Gestionar asignaciones de atributos para el control de acceso**, busque el atributo en Centro de identidades de IAM que desea asignar y, a continuación, escriba un valor en el cuadro de texto. Por ejemplo, es posible que desee asignar el atributo de usuario **`email`** de Centro de identidades de IAM al atributo del directorio de Microsoft AD **`${mail}`**.

1. Seleccione **Save changes (Guardar cambios)**.

# Centro de identidades de IAM y sincronización de AD configurable
<a name="provision-users-from-ad-configurable-ADsync"></a>

La sincronización con Active Directory (AD) configurable de Centro de identidades de IAM le permite configurar de forma explícita las identidades de Microsoft Active Directory que se sincronizan automáticamente en Centro de identidades de IAM y controlar el proceso de sincronización.
+ Con este método de sincronización, haga lo siguiente:
  + Controle los límites de los datos definiendo explícitamente los usuarios y grupos de Microsoft Active Directory que se sincronizan automáticamente en Centro de identidades de IAM. Puede [añadir usuarios y grupos](manage-sync-add-users-groups-configurable-ADsync.md) o [eliminar usuarios y grupos](manage-sync-remove-users-groups-configurable-ADsync.md) para cambiar el alcance de la sincronización en cualquier momento.
  + Asigne a los usuarios y grupos sincronizados [acceso mediante inicio de sesión único a Cuentas de AWS](useraccess.md) o [acceso a las aplicaciones](assignuserstoapp.md). Las aplicaciones pueden ser aplicaciones AWS administradas o aplicaciones administradas por el cliente. 
  + Controle el proceso de sincronización [pausando y reanudando la sincronización](manage-sync-pause-resume-sync-configurable-ADsync.md) según sea necesario. Esto le ayuda a regular la carga de los sistemas de producción.

## Requisitos y consideraciones previos
<a name="prerequisites-configurable-ADsync"></a>

Antes de utilizar la sincronización de AD configurable, tenga en cuenta los siguientes requisitos y consideraciones:
+ **Especificación de usuarios y grupos de Active Directory para la sincronización**

  Antes de poder utilizar el Centro de identidades de IAM para asignar a nuevos usuarios y grupos el acceso a Cuentas de AWS las aplicaciones AWS gestionadas o gestionadas por los clientes, debe especificar los usuarios y grupos de Active Directory que desee sincronizar y, a continuación, sincronizarlos con el Centro de identidades de IAM.
  + **Sincronización de AD configurable**: Centro de identidades de IAM no busca usuarios y grupos directamente en el controlador de dominio. En su lugar, primero debe especificar la lista de usuarios y grupos que desea sincronizar. Puede configurar esta lista, también conocida como *ámbito de sincronización*, de una de las siguientes maneras, en función de si tiene usuarios y grupos que ya están sincronizados en Centro de identidades de IAM o si tiene nuevos usuarios y grupos que vaya a sincronizar por primera vez mediante la sincronización configurable de AD.
    + Usuarios y grupos existentes: si tiene usuarios y grupos que ya están sincronizados en Centro de identidades de IAM, el ámbito de sincronización de la sincronización configurable de AD se rellena previamente con una lista de esos usuarios y grupos. Para asignar nuevos usuarios o grupos, debe añadirlos específicamente al ámbito de sincronización. Para obtener más información, consulte [Añadir usuarios y grupos a su ámbito de sincronización](manage-sync-add-users-groups-configurable-ADsync.md).
    + Nuevos usuarios y grupos: si quiere asignar a nuevos usuarios y grupos el acceso a las aplicaciones y Cuentas de AWS , debe especificar qué usuarios y grupos quiere añadir al ámbito de sincronización en la sincronización configurable de AD antes de poder utilizar Centro de identidades de IAM para realizar la asignación. Para obtener más información, consulte [Añadir usuarios y grupos a su ámbito de sincronización](manage-sync-add-users-groups-configurable-ADsync.md).
+ <a name="makingassignmentsnestedgroups"></a>**Asignaciones a grupos anidados en Active Directory**

  Los grupos que son miembros de otros grupos se llaman *grupos anidados* (o grupos secundarios). 
  + **Sincronización AD configurable**: el uso de la sincronización de AD configurable para realizar asignaciones a un grupo de Active Directory que contiene otros grupos anidados puede aumentar el número de usuarios que tienen acceso a Cuentas de AWS o las aplicaciones. En este caso, la asignación se aplica a todos los usuarios, incluidos los de los grupos anidados. Por ejemplo, si asigna el acceso al grupo A y el grupo B es miembro del grupo A, los miembros del grupo B también consiguen el acceso.
+ **Actualización de los flujos de trabajo automatizados**

  Si tiene flujos de trabajo automatizados que utilizan las acciones de la API del almacén de identidades de Centro de identidades de IAM y las acciones de la API de asignación de Centro de identidades de IAM para asignar a los nuevos usuarios y grupos el acceso a las cuentas y a las aplicaciones y sincronizarlos en Centro de identidades de IAM, debe ajustar esos flujos de trabajo antes del 15 de abril de 2022 para que funcionen según lo previsto con la sincronización AD configurable. La sincronización de AD configurable cambia el orden en que se realizan la asignación y el aprovisionamiento de usuarios y grupos, así como la forma en que se realizan las consultas.
  + **Sincronización AD configurable**: el aprovisionamiento se produce primero y no se realiza automáticamente. En su lugar, primero debe añadir usuarios y grupos de forma explícita al almacén de identidades, agregándolos a su ámbito de sincronización. Para obtener información sobre los pasos recomendados para automatizar la configuración de sincronización para una sincronización AD configurable, consulte [Automatizar la configuración de sincronización para una sincronización AD configurable](automate-sync-configuration-configurable-ADsync.md). 

**Topics**
+ [Requisitos y consideraciones previos](#prerequisites-configurable-ADsync)
+ [Cómo funciona la sincronización de AD configurable](how-it-works-configurable-ADsync.md)
+ [Configuración de las asignaciones de atributos para su sincronización](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configuración de la primera sincronización de Active Directory a IAM Identity Center](manage-sync-configurable-ADsync.md)
+ [Añadir usuarios y grupos a su ámbito de sincronización](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Eliminación de usuarios y grupos de su ámbito de sincronización](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Pausa y reanudación de la sincronización](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatizar la configuración de sincronización para una sincronización AD configurable](automate-sync-configuration-configurable-ADsync.md)

# Cómo funciona la sincronización de AD configurable
<a name="how-it-works-configurable-ADsync"></a>

Centro de identidades de IAM actualiza los datos de identidad basados en anuncios en el almacén de identidades mediante el siguiente proceso. Para obtener más información acerca de los requisitos previos, consulte [Requisitos y consideraciones previos](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync).

## Creación
<a name="how-it-works-creation-configurable-ADsync"></a>

Tras conectar el directorio autogestionado de Active Directory o el AWS Managed Microsoft AD directorio gestionado por Directory Service el Centro de identidades de IAM, puede configurar de forma explícita los usuarios y grupos de Active Directory que desee sincronizar en el almacén de identidades del Centro de identidades de IAM. Las identidades que elija se sincronizarán aproximadamente cada 3 horas en el almacén de identidades de Centro de identidades de IAM. Según el tamaño del directorio, el proceso de sincronización puede tardar más.

Los grupos que son miembros de otros grupos (llamados *grupos anidados* o *grupos secundarios*) también se escriben en el almacén de identidades. 

Solo puede asignar el acceso a nuevos usuarios o grupos después de que estén sincronizados en el almacén de identidades de Centro de identidades de IAM. 

## Actualización
<a name="how-it-works-update-configurable-ADsync"></a>

Los datos de identidad del almacén de identidades de Centro de identidades de IAM se mantienen actualizados al leer periódicamente los datos del directorio de origen de Active Directory. De forma predeterminada, IAM Identity Center sincroniza los datos de su Active Directory cada hora en un ciclo de sincronización. Los datos pueden tardar entre 30 minutos y 2 horas en sincronizarse con el IAM Identity Center, según el tamaño de su Active Directory.

Los objetos de usuario y grupo que se encuentran en el ámbito de la sincronización y sus pertenencias se crean o actualizan en Centro de identidades de IAM para asignarlos a los objetos correspondientes del directorio de origen de Active Directory. En el caso de los atributos de usuario, solo el subconjunto de atributos que aparece en la sección **Atributos para controlar el acceso** de la consola de Centro de identidades de IAM se actualiza en Centro de identidades de IAM. Las actualizaciones de atributos que realice en Active Directory pueden tardar un ciclo de sincronización en reflejarse en el IAM Identity Center.

También puede actualizar el subconjunto de usuarios y grupos que sincroniza en el almacén de identidades de Centro de identidades de IAM. Puede optar por añadir nuevos usuarios o grupos a este subconjunto o eliminarlos. Todas las identidades que añada se sincronizarán en la próxima sincronización programada. Las identidades que elimine del subconjunto dejarán de actualizarse en el almacén de identidades de Centro de identidades de IAM. Los usuarios que no estén sincronizados durante más de 28 días quedarán inhabilitados en el almacén de identidades de Centro de identidades de IAM. Los objetos de usuario correspondientes se deshabilitarán automáticamente en el almacén de identidades de Centro de identidades de IAM durante el siguiente ciclo de sincronización, a menos que formen parte de otro grupo que siga formando parte del ámbito de sincronización. 

## Eliminación
<a name="how-it-works-deletion-configurable-ADsync"></a>

Los usuarios y grupos se eliminan del almacén de identidades de Centro de identidades de IAM cuando los objetos de usuario o grupo correspondientes se eliminan del directorio de origen de Active Directory. Como alternativa, puede eliminar de forma explícita los objetos de usuario del almacén de identidades de Centro de identidades de IAM mediante la consola de Centro de identidades de IAM. Si utiliza la consola de Centro de identidades de IAM, también debe eliminar los usuarios del ámbito de sincronización para garantizar que no se vuelvan a sincronizar con Centro de identidades de IAM durante el siguiente ciclo de sincronización.

También puede pausar y reiniciar la sincronización en cualquier momento. Si pausa la sincronización durante más de 28 días, se deshabilitarán todos los usuarios.

# Configuración de las asignaciones de atributos para su sincronización
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

Cómo obtener más información acerca de los atributos disponibles, consulte [Asignaciones de los atributos entre IAM Identity Center y el directorio de proveedores de identidad externos](attributemappingsconcept.md).

**Cómo configurar las asignaciones de atributos de Centro de identidades de IAM a su directorio:**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. En **Administrar sincronización**, seleccione **Ver asignaciones de atributos**.

1. En **Atributos de usuario de Active Directory**, configure los **atributos del almacén de identidades de Centro de identidades de IAM** y los **atributos de usuario de Active Directory**. Por ejemplo, puede que desee asignar el atributo `email` del almacén de identidades de Centro de identidades de IAM al atributo `${objectguid}` del directorio de usuarios de Active Directory.
**nota**  
En **Atributos de grupo**, no se pueden cambiar los **atributos del almacén de identidades de IAM Identity Center** ni los **atributos de grupo de Active Directory**.

1. Seleccione **Save changes (Guardar cambios)**. Esto le llevará a la página de **Administrar sincronización**.

# Configuración de la primera sincronización de Active Directory a IAM Identity Center
<a name="manage-sync-configurable-ADsync"></a>

Si va a sincronizar sus usuarios y grupos de Active Directory con IAM Identity Center por primera vez, siga estos pasos. También puede seguir los pasos que se describen en [Cambiar su fuente de identidad](manage-your-identity-source-change.md) para cambiar el origen de identidad de IAM Identity Center a Active Directory.

## Configuración guiada
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. Abra la [consola de Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).
**nota**  
Asegúrese de que la consola del IAM Identity Center utilice una de las ubicaciones Regiones de AWS de su AWS Managed Microsoft AD directorio antes de continuar con el siguiente paso.

1. Seleccione **Configuración**.

1. En la parte superior de la página, en el mensaje de notificación, seleccione **Iniciar configuración guiada**.

1. En el **paso 1 (*opcional*): configurar las asignaciones de atributos**, revise las asignaciones de atributos de usuario y grupo predeterminadas. Si no es necesario realizar cambios, seleccione **Siguiente**. Si es necesario realizar cambios, realice los cambios y, a continuación, seleccione **Guardar cambios**.

1. En el **paso 2 (*opcional*): configurar el alcance de la sincronización**, seleccione la pestaña **Usuarios**. A continuación, introduzca el nombre de usuario exacto del usuario que quiere añadir a su ámbito de sincronización y seleccione **Añadir**. Seleccione la pestaña **Grupos**. A continuación, introduzca el nombre de grupo exacto del grupo que quiere añadir a su ámbito de sincronización y seleccione **Añadir**. A continuación, elija **Siguiente**. Si quiere añadir usuarios y grupos a su ámbito de sincronización más adelante, no realice ningún cambio y seleccione **Siguiente**.

1. En el **paso 3: revisar y guardar la configuración**, confirme las **asignaciones de atributos** en el **paso 1: asignaciones de atributos** y sus **usuarios y grupos** en el **paso 2: ámbito de sincronización**. Seleccione **Guardar configuración**. Esto le llevará a la página **Administrar sincronización**.

# Añadir usuarios y grupos a su ámbito de sincronización
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**nota**  
Al añadir grupos al ámbito de sincronización, sincronice los grupos directamente desde el dominio local de confianza, en lugar de hacerlo desde los grupos del dominio. AWS Managed Microsoft AD Los grupos sincronizados directamente desde el dominio de confianza contienen objetos de usuario reales a los que el Centro de Identidad de IAM puede acceder y sincronizarlos correctamente.

 Agregue sus usuarios y grupos de Active Directory al IAM Identity Center siguiendo estos pasos. 

**Para agregar usuarios**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. En la página de **Administrar sincronización**, elija la pestaña **Usuarios** y, continuación, seleccione **Añadir usuarios y grupos**.

1. En la pestaña **Usuarios**, en **Usuario**, introduzca el nombre de usuario exacto y seleccione **Añadir**.

1. En **Usuarios y grupos agregados**, revise el usuario que desea agregar.

1. Seleccione **Enviar**.

1. En el panel de navegación, seleccione **Usuarios**. Si el usuario que ha especificado no se muestra en la lista, elija el icono de actualización para actualizar la lista de usuarios. 

**Cómo añadir grupos:**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. En la página de **administrar la sincronización**, elija la pestaña **Grupos** y, continuación, seleccione **Añadir usuarios y grupos**.

1. Seleccione la pestaña **Groups** (Grupos). En **Grupo**, introduzca el nombre exacto del grupo y seleccione **Añadir**.

1. En **Usuarios y grupos añadidos**, revise el grupo que desea agregar.

1. Seleccione **Enviar**.

1. En el panel de navegación, elija **Grupos**. Si el grupo que ha especificado no se muestra en la lista, seleccione el icono de actualización para actualizar la lista de grupos. 

# Eliminación de usuarios y grupos de su ámbito de sincronización
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

Para obtener más información sobre lo que ocurre cuando elimina usuarios y grupos del ámbito de sincronización, consulte [Cómo funciona la sincronización de AD configurable](how-it-works-configurable-ADsync.md).

**Cómo eliminar usuarios:**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. Elija la pestaña **Users**.

1. En **Usuarios en el ámbito de sincronización**, seleccione la casilla de verificación situada junto al usuario que desea eliminar. Para eliminar todos los usuarios, seleccione la casilla de verificación situada junto al **nombre de usuario**.

1. Elija **Eliminar **.

**Cómo eliminar grupos:**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. Seleccione la pestaña **Groups** (Grupos).

1. En **Grupos en el ámbito de sincronización**, seleccione la casilla de verificación situada junto al usuario que desea eliminar. Para eliminar todos los grupos, seleccione la casilla de verificación situada junto al **nombre del grupo**.

1. Elija **Eliminar **.

# Pausa y reanudación de la sincronización
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

Al pausar la sincronización, se pausan todos los ciclos de sincronización futuros e impide que los cambios que realice en los usuarios y grupos de Active Directory se reflejen en Centro de identidades de IAM. Tras reanudar la sincronización, el ciclo de sincronización recoge los cambios de la siguiente sincronización programada.

**Cómo pausar la sincronización:**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. En **Administrar la sincronización**, seleccione **Pausar la sincronización**.

**Cómo reanudar la sincronización:**

1. Abra la [consola del Centro de identidades de IAM](https://console.aws.amazon.com/singlesignon).

1. Elija **Configuraciones**.

1. En la página de **Configuraciones**, elija la pestaña **Origen de identidad**, elija **Acciones** y, a continuación, elija **Administrar sincronización**.

1. En **Administrar la sincronización**, seleccione **Reanudar la sincronización**.
**nota**  
Si aparece **Pausar la sincronización** en lugar de **Reanudar la sincronización**, significa que la sincronización de Active Directory con Centro de identidades de IAM ya se ha reanudado.

# Automatizar la configuración de sincronización para una sincronización AD configurable
<a name="automate-sync-configuration-configurable-ADsync"></a>

Para garantizar que su flujo de trabajo automatizado funcione según lo esperado con la sincronización de AD configurable, le recomendamos que realice los siguientes pasos para automatizar la configuración de la sincronización.

**Cómo automatizar la configuración de sincronización para una sincronización AD configurable:**

1. En Active Directory, cree un *Grupo de sincronización principal* que contenga todos los usuarios y grupos que desee sincronizar en Centro de identidades de IAM. Por ejemplo, puede asignar un nombre al grupo. *IAMIdentityCenterAllUsersAndGroups*

1. En Centro de identidades de IAM, añada el grupo de sincronización principal a su lista de sincronización configurable. Centro de identidades de IAM sincronizará todos los usuarios, grupos, subgrupos y miembros de todos los grupos incluidos en el grupo de sincronización principal.

1. Use las acciones de la API de administración de usuarios y grupos de Active Directory proporcionadas por Microsoft para añadir o eliminar usuarios y grupos del grupo de sincronización principal.