Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Proveedores de identidades externos
Con IAM Identity Center, puede conectar las identidades de sus empleados existentes de proveedores de identidad externos (IdPs) mediante el lenguaje de marcado de aserciones de seguridad (SAML) 2.0 y los protocolos del Sistema de gestión de identidades entre dominios (SCIM). Esto permite a los usuarios iniciar sesión en el portal de acceso AWS con sus credenciales corporativas. A continuación, pueden acceder a sus cuentas, funciones y aplicaciones asignadas alojadas en un servidor externo. IdPs
Por ejemplo, puede conectar un IdP externo, como Okta o Microsoft Entra ID, a IAM Identity Center. A continuación, sus usuarios pueden iniciar sesión en el portal de AWS acceso con sus Microsoft Entra ID credenciales Okta o credenciales existentes. Para controlar lo que pueden hacer sus usuarios una vez que han iniciado sesión, puede asignarles permisos de acceso de forma centralizada en todas las cuentas y aplicaciones de su AWS organización. Además, los desarrolladores pueden simplemente iniciar sesión en AWS Command Line Interface (AWS CLI) con sus credenciales actuales y beneficiarse de la generación y rotación automáticas de credenciales a corto plazo.
Si utiliza un directorio autogestionado en Active Directory o un directorio AWS Managed Microsoft AD, consulte. [Directorio Microsoft AD](manage-your-identity-source-ad.md)
**nota**
El protocolo SAML no proporciona una forma de consultar al IdP para obtener información sobre los usuarios y los grupos. Por lo tanto, debe hacer que IAM Identity Center conozca a esos usuarios y grupos aprovisionándolos en IAM Identity Center.
## Aprovisionamiento cuando los usuarios provienen de un IdP externo
Al utilizar un IdP externo, debe aprovisionar todos los usuarios y grupos aplicables en el Centro de Identidad de IAM antes de poder realizar cualquier asignación o aplicación. Cuentas de AWS Para ello, puede configurar el [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md) para sus usuarios y grupos o bien utilizar el [Aprovisionamiento manual](provision-automatically.md#provision-manually). Independientemente de cómo aprovisione a los usuarios, IAM Identity Center redirige la Consola de administración de AWS interfaz de línea de comandos y la autenticación de la aplicación a su IdP externo. A continuación, IAM Identity Center concede el acceso a esos recursos en función de las políticas que cree en IAM Identity Center. Para obtener más información sobre la capacidad aprovisionada, consulte [Aprovisionamiento de usuarios y grupos](users-groups-provisioning.md#user-group-provision).
**Topics**
+ [Aprovisionamiento cuando los usuarios provienen de un IdP externo](#provisioning-when-external-idp)
+ [Cómo conectarse a un proveedor de identidades externo](how-to-connect-idp.md)
+ [Cómo cambiar los metadatos de un proveedor de identidades externo en IAM·Identity·Center](how-to-change-idp-metadata.md)
+ [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md)
+ [Perfil SCIM e implementación de SAML 2.0](scim-profile-saml.md)
# Cómo conectarse a un proveedor de identidades externo
Existen diferentes requisitos previos, consideraciones y procedimientos de aprovisionamiento para el dispositivo externo compatible. IdPs Hay step-by-step tutoriales disponibles para varios: IdPs
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping Identity](pingidentity.md)
Para obtener más información sobre las consideraciones externas IdPs que admite IAM Identity Center, consulte[Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
En el siguiente procedimiento se proporciona una descripción general del procedimiento que se utiliza con todos los proveedores de identidades externos.
**Cómo conectarse a un proveedor de identidades externo**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Elija **Configuración**.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad**, elija **Acciones y, a continuación, Cambiar fuente de identidad**.
1. En **Elegir la fuente de identidad**, seleccione **Proveedor de identidades externo** y, a continuación, **Siguiente**.
1. En **Configurar un proveedor de identidad externo**, haga lo siguiente:
1. En **Metadatos del proveedor de servicios**, seleccione **Descargar archivo de metadatos** para descargar el archivo de metadatos y guardarlo en el sistema. El proveedor de identidades externo necesita el archivo de metadatos SAML de IAM Identity Center.
**nota**
El archivo de metadatos de SAML que descargue contiene el servicio de consumo de aserciones IPv4 (ACS) de pila única y doble. URLs Además, si su centro de identidad de IAM está replicado en otras regiones, el archivo de metadatos contiene el ACS de cada región adicional. URLs Si su IdP externo tiene un límite en la cantidad de ACS URLs, tendrá que eliminar el ACS innecesario. URLs Por ejemplo, si su organización ha adoptado por completo los terminales de doble pila y ya no utiliza los terminales IP4v exclusivos, puede eliminar estos últimos. Un enfoque alternativo es no utilizar el archivo de metadatos, sino copiar y pegar el ACS URLs en el IdP externo.
1. En **Metadatos del proveedor de identidad**, elija **Elegir archivo** y busque el archivo de metadatos que descargó de su proveedor de identidades externo. A continuación, cargue el archivo. Este archivo de metadatos contiene el certificado x509 público necesario que se utiliza para confiar en los mensajes que se envían desde el IdP.
1. Elija **Siguiente**.
**importante**
Al cambiar la fuente a o desde Active Directory, se eliminan todas las asignaciones de usuarios y grupos existentes. Debe volver a aplicar las asignaciones manualmente una vez que haya cambiado correctamente la fuente.
1. Cuando haya leído el aviso legal, introduzca **ACCEPT** para continuar.
1. Elija **Cambiar fuente de identidad**. Un mensaje de estado le informa de que ha cambiado correctamente el origen de identidad.
# Cómo cambiar los metadatos de un proveedor de identidades externo en IAM·Identity·Center
Puede cambiar los metadatos de su proveedor de identidades externo que proporcionó con anterioridad a IAM·Identity·Center. Estos cambios afectan a la capacidad de los usuarios para iniciar sesión y acceder a los AWS recursos a través del Centro de identidad de IAM. El siguiente procedimiento describe cómo actualizar los metadatos del IdP externo que están almacenados en IAM·Identity·Center. Para completar este procedimiento, necesitará una instancia de organización de IAM Identity Center. Para obtener más información, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md).
**Cómo eliminar los metadatos de un proveedor de identidades externo**
1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Elija **Configuración**.
1. En la página de **Configuración**, seleccione la pestaña **Origen de la identidad**. Elija **Acciones** y luego **Administrar autenticación**.
1. En la sección **Metadatos del proveedor de identidad**, seleccione **Editar metadatos del IdP**. Puede realizar los cambios en la URL de inicio de sesión del IdP o en la URL del emisor del IdP para su IdP externo en esta página. Seleccione **Guardar cambios** cuando haya realizado todos los cambios necesarios.
# Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos
IAM Identity Center implementa los siguientes protocolos basados en estándares para la federación de identidades:
+ SAML 2.0 para la autenticación de usuarios
+ SCIM para el aprovisionamiento
Se espera que cualquier proveedor de identidades (IdP) que implemente estos protocolos estándar interactúe correctamente con IAM Identity Center, teniendo en cuenta las siguientes consideraciones especiales:
+ **SAML**
+ IAM Identity Center requiere un formato de identificador de nombre SAML para la dirección de correo electrónico (es decir, `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`).
+ [El valor del campo NameID en las aserciones debe ser una cadena (/rfc2822) que cumpla con las especificaciones addr-spec («») ([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ El archivo de metadatos no puede tener más de 75 000 caracteres.
+ Los metadatos deben contener un ID de entidad, un certificado X509 y formar parte de la URL de inicio de sesión. SingleSignOnService
+ No se admite el cifrado SSE-KMS.
+ El Centro de identidades de IAM no admite la firma de las solicitudes de autenticación SAML que envía a fuentes externas. IdPs
+ El IdP debe ser compatible con el servicio al consumidor de múltiples afirmaciones (ACS) URLs si planea replicar el centro de identidad de IAM en otras regiones y aprovechar al máximo las ventajas de un centro de identidad de IAM multirregional. Para obtener más información, consulte [Uso del centro de identidad de IAM en varios Regiones de AWS](multi-region-iam-identity-center.md). El uso de una única URL de ACS puede afectar a la experiencia del usuario en otras regiones. Su región principal seguirá funcionando con normalidad. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte [Uso de aplicaciones AWS gestionadas sin varios ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) y[Cuenta de AWS resiliencia de acceso sin varios ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [La implementación del SCIM del IAM Identity Center se basa en los SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) y 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)) y en los requisitos de interoperabilidad establecidos en el borrador de marzo de [https://tools.ietf.org/html2020 del Perfil SCIM básico 1.0 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Las diferencias entre estos documentos y la implementación actual en IAM Identity Center se describen en la sección [Operaciones de API compatibles](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) de la *Guía para desarrolladores de implementación del SCIM de IAM Identity Center.*
IdPs no se admiten aquellos que no se ajusten a los estándares y consideraciones mencionados anteriormente. Póngase en contacto con su IdP si cualquier pregunta o necesita más información sobre la conformidad de sus productos con estas normas y consideraciones.
Si tiene problemas para conectar su IdP al IAM Identity Center, compruebe lo siguiente:
+ AWS CloudTrail se registra filtrando por el nombre del evento **ExternalIdPDirectoryIniciar sesión**
+ Registros específicos de IdP: registros and/or de depuración
+ [Resolución de problemas de IAM Identity Center](troubleshooting.md)
**nota**
Algunos IdPs, como los del[Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md), ofrecen una experiencia de configuración simplificada para el IAM Identity Center en forma de «aplicación» o «conector» creado específicamente para el IAM Identity Center. Si su IdP ofrece esta opción, le recomendamos que la utilice, teniendo cuidado al elegir el elemento creado específicamente para IAM Identity Center. Otros elementos denominados «AWS», «AWS federación» o nombres genéricos similares de «»AWS pueden utilizar otros enfoques de federación y es posible and/or que no funcionen como se esperaba con el IAM Identity Center.
# Perfil SCIM e implementación de SAML 2.0
Tanto SCIM como SAML son consideraciones importantes a la hora de configurar IAM Identity Center.
## Implementación de SAML 2.0
IAM Identity Center admite la federación de identidades con [lenguaje de marcado para confirmaciones de seguridad SAML](https://wiki.oasis-open.org/security) 2.0. Esto permite al Centro de Identidad de IAM autenticar las identidades de proveedores de identidad externos (). IdPs SAML 2.0 es un estándar abierto que se utiliza para intercambiar aserciones de SAML de forma segura. SAML 2.0 transfiere información sobre un usuario entre una autoridad de SAML (denominada proveedor de identidades o IdP) y un consumidor de SAML (denominado proveedor de servicios o SP). El servicio de IAM Identity Center utiliza esta información para proporcionar un inicio de sesión único federado. El inicio de sesión único permite a los usuarios acceder a las aplicaciones Cuentas de AWS y configurarlas en función de sus credenciales de proveedor de identidad existentes.
El Centro de identidad de IAM añade las capacidades de IdP de SAML a su almacén del Centro de identidades de IAM o a un proveedor AWS Managed Microsoft AD de identidad externo. A continuación, los usuarios pueden iniciar sesión de forma única en los servicios compatibles con SAML, incluidas las aplicaciones Consola de administración de AWS y las de terceros, como, y. Microsoft 365 Concur Salesforce
Sin embargo, el protocolo SAML no proporciona ninguna forma de consultar al IdP para obtener información sobre los usuarios y los grupos. Por lo tanto, debe hacer que IAM Identity Center conozca a esos usuarios y grupos aprovisionándolos en IAM Identity Center.
## Perfil SCIM
IAM Identity Center es compatible con el estándar Sistema de la administración de identidades entre dominios (SCIM) v2.0. El SCIM mantiene las identidades de su IAM Identity Center sincronizadas con las identidades de su IdP. Esto incluye cualquier aprovisionamiento, actualización y desaprovisionamiento de usuarios entre su IdP y IAM Identity Center.
Para obtener más información acerca de cómo implementar una capa personalizada, consulte [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md). Para obtener más información sobre la implementación del SCIM de IAM Identity Center, consulte la [Guía para desarrolladores de implementación de IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implementación de SAML 2.0](#samlfederationconcept)
+ [Perfil SCIM](#scim-profile)
+ [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md)
+ [Rotar certificados SAML 2.0](managesamlcerts.md)
# Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos de su proveedor de identidades (IdP) a IAM Identity Center mediante el protocolo Sistema de administración de identidades entre dominios (SCIM) v2.0. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario del proveedor de identidades (IdP) con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y su IdP. Esta conexión se configura en el IdP mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center.
**Topics**
+ [Consideraciones para utilizar el aprovisionamiento automático](#auto-provisioning-considerations)
+ [Cómo monitorizar la caducidad del token de acceso](#access-token-expiry)
+ [Generar un token de acceso](generate-token.md)
+ [Habilitar el aprovisionamiento automático](how-to-with-scim.md)
+ [Eliminar un token de acceso](delete-token.md)
+ [Deshabilitar el aprovisionamiento automático](disable-provisioning.md)
+ [Rotar un token de acceso](rotate-token.md)
+ [Auditoría y conciliación de recursos aprovisionados automáticamente](reconcile-auto-provisioning.md)
+ [Aprovisionamiento manual](#provision-manually)
## Consideraciones para utilizar el aprovisionamiento automático
Antes de comenzar a implementar el SCIM, le recomendamos revisar primero las siguientes consideraciones importantes sobre su funcionamiento con IAM Identity Center. Para conocer otras consideraciones de aprovisionamiento, consulte los [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) aplicables a su IdP.
+ Si va a aprovisionar una dirección de correo electrónico principal, el valor de este atributo debe ser único para cada usuario. En algunos casos IdPs, es posible que la dirección de correo electrónico principal no sea una dirección de correo electrónico real. Por ejemplo, puede ser un nombre principal universal (UPN) que solo se parece a un correo electrónico. Es IdPs posible que tengan una dirección de correo electrónico secundaria o «otra» que contenga la dirección de correo electrónico real del usuario. Debe configurar SCIM en su IdP para asignar la dirección de correo electrónico única no nula al atributo de dirección de correo electrónico principal de IAM Identity Center. Además, debe asignar el identificador de inicio de sesión único no nulo del usuario al atributo de nombre de usuario de IAM Identity Center. Compruebe si su IdP tiene un valor único que sea tanto el identificador de inicio de sesión como el nombre de correo electrónico del usuario. Si es así, puede asignar ese campo de IdP al correo electrónico principal de IAM Identity Center y al nombre de usuario de IAM Identity Center.
+ Para que la sincronización de SCIM funcione, cada usuario debe tener un valor especificado para **Nombre**, **Apellidos**, **Nombre de usuario** y **Nombre de visualización**. Si falta alguno de estos valores en un usuario, este no se aprovisionará.
+ Si necesita utilizar aplicaciones de terceros, primero tendrá que asignar el atributo de asunto de SAML saliente al atributo de nombre de usuario. Si la aplicación de terceros necesita una dirección de correo electrónico enrutable, debe proporcionar el atributo de correo electrónico a su IdP.
+ El proveedor de identidades controla los intervalos de aprovisionamiento y actualización de SCIM. Los cambios en los usuarios y grupos de su proveedor de identidades solo se reflejan en IAM Identity Center después de que su proveedor de identidades los envíe a IAM Identity Center. Consulte con su proveedor de identidades para obtener más información sobre la frecuencia de las actualizaciones de usuarios y grupos.
+ Actualmente, SCIM no proporciona atributos con varios valores (como varios correos electrónicos o números de teléfono para un usuario determinado). Los intentos de sincronizar atributos con varios valores en IAM Identity Center con SCIM fallarán. Para evitar errores, asegúrese de que solo se pase un valor único para cada atributo. Si tiene usuarios con atributos de varios valores, elimine o modifique las asignaciones de atributos duplicadas en SCIM en su IdP para la conexión con IAM Identity Center.
+ Compruebe que el mapeo SCIM de `externalId` en su IdP corresponde a un valor que sea único, que esté siempre presente y que tenga menos probabilidades de cambiar para sus usuarios. Por ejemplo, su IdP puede proporcionar un `objectId` garantizado u otro tipo de identificador que no se vea afectado por los cambios en los atributos del usuario, como el nombre y el correo electrónico. Si es así, puede asignar ese valor al campo `externalId` de SCIM. Esto garantiza que tus usuarios no pierdan sus AWS derechos, asignaciones o permisos si necesitas cambiarles el nombre o el correo electrónico.
+ Usuarios que aún no se han asignado a una aplicación o que no se Cuenta de AWS pueden aprovisionar en el Centro de identidades de IAM. Para sincronizar usuarios y grupos, asegúrese de que estén asignados a la aplicación u otra configuración que represente la conexión de su IdP a IAM Identity Center.
+ El comportamiento de desaprovisionamiento de los usuarios lo administra el proveedor de identidades y puede variar según su implementación. Consulte con su proveedor de identidades para obtener más información sobre el desaprovisionamiento de usuarios.
+ Tras configurar el aprovisionamiento automático con SCIM para su IdP, ya no podrá añadir ni editar usuarios en la consola de IAM Identity Center. Si necesita agregar o modificar un usuario, debe hacerlo desde su IdP externo u origen de identidad.
Para obtener más información sobre la implementación de SCIM de IAM Identity Center, consulte la [guía para desarrolladores de implementación de IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Cómo monitorizar la caducidad del token de acceso
Los tokens de acceso SCIM se generan con una validez de un año. Cuando tu token de acceso SCIM caduque en 90 días o menos, te AWS envía recordatorios a la consola del IAM Identity Center y al AWS Health panel de control para ayudarte a cambiar el token. Al rotar el token de acceso de SCIM antes de que caduque, asegura de forma continua el aprovisionamiento automático de la información de usuarios y grupos. Si el token de acceso SCIM caduca, se interrumpe la sincronización de la información de usuarios y grupos de su proveedor de identidades con IAM Identity Center, por lo que el aprovisionamiento automático ya no puede realizar actualizaciones ni crear y eliminar información. La interrupción del aprovisionamiento automático puede aumentar los riesgos de seguridad y afectar al acceso a sus servicios.
Los recordatorios de la consola de Identity Center persisten hasta que rote el token de acceso SCIM y elimine los tokens de acceso no utilizados o vencidos. Los eventos del AWS Health panel de control se renuevan semanalmente entre 90 y 60 días, dos veces por semana entre 60 y 30 días, tres veces por semana entre 30 y 15 días y todos los días desde 15 días hasta que caduquen los tokens de acceso del SCIM.
# Generar un token de acceso
Siga el siguiente procedimiento para generar un nuevo token de acceso en la consola de IAM Identity Center.
**nota**
Este procedimiento requiere que haya habilitado previamente el aprovisionamiento automático. Para obtener más información, consulte [Habilitar el aprovisionamiento automático](how-to-with-scim.md).
**Cómo generar un nuevo token de acceso**
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**.
1. En la página de **aprovisionamiento automático**, en **Tokens de acceso**, seleccione **Generar token**.
1. En el cuadro de diálogo **Generar un nuevo token de acceso**, copie el nuevo token de acceso y guárdelo en un lugar seguro.
1. Seleccione **Cerrar**.
# Habilitar el aprovisionamiento automático
Siga el siguiente procedimiento para habilitar el aprovisionamiento automático de usuarios y grupos desde su IdP a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar con este procedimiento, le recomendamos que revise primero las consideraciones de aprovisionamiento aplicables a su IdP. Para obtener más información, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) de su IdP.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final de SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Después de completar este procedimiento, debe configurar el aprovisionamiento automático en su IdP. Para obtener más información, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md) de su IdP.
# Eliminar un token de acceso
Siga el procedimiento que se detalla a continuación para eliminar un token de acceso actual de la consola de IAM Identity Center.
**Cómo eliminar una clave de acceso**
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**.
1. En la página de **aprovisionamiento automático**, en **Tokens de acceso**, seleccione el token de acceso que desee eliminar y, a continuación, **Eliminar.**
1. En el cuadro de diálogo **Eliminar el token de acceso**, revise la información, escriba **ELIMINAR** y, a continuación, elija **Eliminar el token de acceso**.
# Deshabilitar el aprovisionamiento automático
Siga el siguiente procedimiento para desactivar el aprovisionamiento automático en la consola de IAM Identity Center.
**importante**
Debe eliminar el token de acceso antes de iniciar este procedimiento. Para obtener más información, consulte [Eliminar un token de acceso](delete-token.md).
**Siga el siguiente procedimiento para desactivar el aprovisionamiento automático en la consola de IAM Identity Center.**
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar el aprovisionamiento**.
1. En la página de **aprovisionamiento automático**, seleccione **Deshabilitar.**
1. En el cuadro de diálogo **Desactivar el aprovisionamiento automático**, revise la información, escriba **DISABLE** y, a continuación, elija **Deshabilitar el aprovisionamiento automático**.
# Rotar un token de acceso
Un directorio de IAM Identity Center admite hasta 2 tokens de acceso a la vez. Para generar un token de acceso adicional antes de cualquier rotación, elimine los tokens de acceso caducados o no utilizados.
Si su token de acceso SCIM está a punto de caducar, puede seguir el procedimiento que se describe a continuación para rotar un token de acceso existente en la consola de IAM Identity Center.
**Cómo eliminar un token de acceso**
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración** en el panel izquierdo de navegación del servicio.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**.
1. En la página de **aprovisionamiento automático**, en **Tokens de acceso**, anote el ID del token que desee rotar.
1. Siga los pasos que encontrará en [Generar un token de acceso](generate-token.md) para crear un nuevo token. Si ya ha creado el número máximo de tokens de acceso a SCIM, primero tendrá que eliminar uno de los tokens actuales.
1. Vaya al sitio web de su proveedor de identidades y configure el nuevo token de acceso para el aprovisionamiento de SCIM y, a continuación, pruebe la conectividad con IAM Identity Center con el nuevo token de acceso de SCIM. Una vez que haya confirmado que el aprovisionamiento funciona correctamente con el nuevo token, continúe con el siguiente paso de este procedimiento.
1. Siga los pasos que se indican en [Eliminar un token de acceso](delete-token.md) para eliminar el token de acceso que anotó anteriormente. También puede usar la fecha de creación del token como una pista sobre qué token eliminar.
# Auditoría y conciliación de recursos aprovisionados automáticamente
SCIM le permite aprovisionar usuarios, grupos y membresías grupales de forma automática desde su origen de identidad a IAM Identity Center. Esta guía le ayuda a verificar y conciliar estos recursos para mantener una sincronización precisa.
## ¿Por qué auditar sus recursos?
Las auditorías periódicas ayudan a garantizar que sus controles de acceso sigan siendo precisos y que su proveedor de identidades (IdP) permanezca correctamente sincronizado con IAM Identity Center. Esto es particularmente importante para el cumplimiento de las normas de seguridad y la administración de los accesos.
Recursos que se pueden auditar:
+ Users
+ Groups
+ Membresías grupales
Puede usar [comandos CLI [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)o AWS Identity Store para realizar la auditoría y la reconciliación. En los ejemplos siguientes se utilizan comandos de AWS CLI . Para obtener información sobre las alternativas de API, consulte [las operaciones correspondientes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) en la *referencia de Identity Store API*.
## ¿Cómo auditar los recursos?
A continuación, se muestran ejemplos de cómo auditar estos recursos mediante AWS CLI comandos.
Antes de comenzar, asegúrese de que dispone de lo siguiente:
+ Acceso de administrador a IAM Identity Center.
+ AWS CLI instalado y configurado. Para obtener más información, consulte la [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Permisos de IAM necesarios para los comandos del almacén de identidades.
### Paso 1: enumeración de los recursos actuales
Puede ver sus recursos actuales mediante AWS CLI.
**nota**
Al utilizar el AWS CLI, la paginación se gestiona automáticamente a menos que lo especifique`--no-paginate`. Si llama a la API directamente (por ejemplo, con un SDK o un script personalizado), gestione `NextToken` en la respuesta. Esto garantiza que recupere todos los resultados en varias páginas.
**Example para usuarios**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example para grupos**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example para membresías grupales**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Paso 2: comparar con su origen de identidad
Compare los recursos de la lista con su origen de identidad para identificar cualquier discrepancia, como las siguientes:
+ Falta de recursos que deberían aprovisionarse en IAM Identity Center.
+ Recursos adicionales que deberían eliminarse de IAM Identity Center.
**Example para usuarios**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example para grupos**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example para membresías grupales**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Consideraciones
+ Los comandos están sujetos a las [cuotas de servicio y a la limitación de las API](limits.md#ssothrottlelimits).
+ Si encuentra muchas diferencias durante la reconciliación, realice cambios pequeños y graduales en AWS Identity Store. Esto le ayuda a evitar errores que afecten a varios usuarios.
+ La sincronización con SCIM puede anular los cambios manuales. Compruebe la configuración de su IdP para comprender este comportamiento.
## Aprovisionamiento manual
Algunos IdPs no son compatibles con el Sistema de Gestión de Identidad entre Dominios (SCIM) o tienen una implementación de SCIM incompatible. En esos casos, puede aprovisionar usuarios manualmente a través de la consola de IAM Identity Center. Cuando añada usuarios a IAM Identity Center, asegúrese de configurar el nombre de usuario para que sea idéntico al nombre de usuario que tiene en su IdP. Como mínimo, debe tener una dirección de correo electrónico y un nombre de usuario únicos. Para obtener más información, consulte [Exclusividad del nombre de usuario y de la dirección de correo electrónico](users-groups-provisioning.md#username-email-unique).
También debe gestionar todos los grupos manualmente en IAM Identity Center. Para ello, debe crear los grupos y añadirlos mediante la consola de IAM Identity Center. No es necesario que estos grupos coincidan con los que existen en su IdP. Para obtener más información, consulte [Groups](users-groups-provisioning.md#groups-concept).
# Rotar certificados SAML 2.0
IAM Identity Center utiliza certificados para establecer una relación de confianza de SAML entre IAM Identity Center y su proveedor de identidades (IdP) externo. Al añadir un IdP externo a IAM Identity Center, también debe obtener al menos un certificado SAML 2.0 X.509 público del IdP externo. Por lo general, ese certificado se instala automáticamente durante el intercambio de metadatos SAML del IdP durante la creación de relaciones de confianza.
Como administrador de IAM Identity Center, en ocasiones tendrá que sustituir los certificados de IdP antiguos por otros más nuevos. Por ejemplo, debe sustituir un certificado cuando se aproxime la fecha de vencimiento del certificado. El proceso de sustituir un certificado antiguo por uno más nuevo se denomina rotación de certificados.
**Topics**
+ [Rotar un certificado SAML 2.0](rotatesamlcert.md)
+ [Indicadores de estado de caducidad de certificados](samlcertexpirationindicators.md)
# Rotar un certificado SAML 2.0
Es posible que tenga que importar certificados periódicamente para rotar los certificados no válidos o vencidos emitidos por su proveedor de identidades. Esto ayuda a evitar la interrupción de la autenticación o el tiempo de inactividad. Todos los certificados importados se activan automáticamente. Los certificados solo se deben eliminar después de asegurarse de que ya no se utilizan con el proveedor de identidades asociado.
También debe tener en cuenta que es IdPs posible que algunos no admitan varios certificados. En este caso, el hecho de rotar los certificados con ellos IdPs podría suponer una interrupción temporal del servicio para los usuarios. El servicio se restablece cuando la confianza con ese IdP se ha restablecido correctamente. Si es posible, planifique esta operación cuidadosamente durante las horas de menor actividad.
**nota**
Como práctica recomendada de seguridad, ante cualquier indicio de que un certificado SAML existente está en peligro o se está usando de forma incorrecta, debe retirarlo inmediatamente y cambiarlo.
La rotación de un certificado de IAM Identity Center es un proceso de varios pasos que incluye lo siguiente:
+ Obtención de un nuevo certificado del IdP
+ Importación del nuevo certificado a IAM Identity Center
+ Activación del nuevo certificado en el IdP
+ Eliminación del certificado anterior
Siga todos los procedimientos que se detallan a continuación para completar el proceso de rotación del certificado y, al mismo tiempo, evitar cualquier tiempo de inactividad de la autenticación.
**Paso 1: obtención de un nuevo certificado del IdP**
Vaya al sitio web del IdP y descargue su certificado SAML 2.0. Asegúrese de que el archivo del certificado se descargue en formato codificado PEM. La mayoría de los proveedores le permiten crear varios certificados SAML 2.0 en el IdP. Es probable que se marquen como deshabilitados o inactivos.
**Paso 2: importación del nuevo certificado a IAM Identity Center**
Siga el procedimiento que se detalla a continuación para importar el nuevo certificado mediante la consola de IAM Identity Center.
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración**.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**.
1. En la página **Administrar certificados SAML 2.0**, seleccione **Importar certificado**.
1. En el cuadro de diálogo **Importar certificado SAML 2.0**, seleccione **Elegir archivo**, navegue hasta el archivo de certificado, selecciónelo y, a continuación, elija **Importar certificado**.
En este punto, IAM Identity Center confiará en todos los mensajes SAML entrantes firmados desde los 2 certificados que haya importado.
**Paso 3: activación del nuevo certificado en el IdP**
Regrese al sitio web del IdP y marque el nuevo certificado que creó anteriormente como principal o activo. En este punto, todos los mensajes SAML firmados por el IdP deberían usar el nuevo certificado.
**Paso 4: eliminación del certificado anterior**
Siga el procedimiento que se detalla para completar el proceso de rotación de certificados para su IdP. Siempre debe haber al menos un certificado válido en la lista y no se puede eliminar.
**nota**
Asegúrese de que su proveedor de identidades ya no firme las respuestas de SAML con este certificado antes de eliminarlo.
1. En la página **Administrar certificados SAML 2.0**, seleccione el certificado que desea eliminar. Elija **Eliminar**.
1. En el cuadro de diálogo **Eliminar el certificado SAML 2.0**, escriba **DELETE** para confirmarlo y, a continuación, elija **Eliminar**.
1. Regrese al sitio web del IdP y lleve a cabo los pasos necesarios para eliminar el certificado inactivo anterior.
# Indicadores de estado de caducidad de certificados
La página **Administrar certificados SAML 2.0** muestra iconos indicadores de estado en colores en la columna **Fecha de caducidad** situada junto a cada certificado de la lista. A continuación, se describen los criterios que IAM Identity Center utiliza para determinar qué icono se muestra en cada certificado.
+ **Rojo**: indica que un certificado está caducado.
+ **Amarillo**: indica que un certificado caducará en 90 días o menos.
+ **Verde**: indica que un certificado es válido y seguirá siendo válido durante al menos 90 días más.
**Cómo comprobar el estado de la renovación de un certificado**:
1. En la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon), elija **Configuración**.
1. En la página de **configuración**, elija la pestaña **Fuente de identidad** y, a continuación, **Acciones > Administrar aprovisionamiento**.
1. En la página **Administrar la autenticación de SAML 2.0**, en **Administrar certificados de SAML 2.0**, consulte el estado de los certificados de la lista tal y como se indica en la columna **Caduca el**.