Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Manage your identity source
La tua fonte di identità in IAM Identity Center definisce dove vengono gestiti gli utenti e i gruppi. Dopo aver configurato la fonte di identità, puoi cercare utenti o gruppi per concedere loro l'accesso Single Sign-On alle Account AWS applicazioni o a entrambi.
Puoi avere una sola fonte di identità per organizzazione in. AWS Organizations Puoi scegliere una delle seguenti come fonte di identità:
+ **[Provider di identità esterno](manage-your-identity-source-idp.md):** scegli questa opzione se desideri gestire gli utenti in un provider di identità esterno (IdP) come Okta o. Microsoft Entra ID
+ **[Il tuo Active Directory locale o AWS gestito](manage-your-identity-source-ad.md):** scegli questa opzione se desideri connettere il tuoActive Directory (AD).
+ **[Directory Identity Center](manage-your-identity-source-sso.md):** quando abiliti IAM Identity Center per la prima volta, questa viene configurata automaticamente con una directory Identity Center come origine di identità predefinita, a meno che tu non scelga una fonte di identità diversa. Con la directory Identity Center, puoi creare utenti e gruppi e assegnare il loro livello di accesso alle tue Account AWS applicazioni.
**Nota**
IAM Identity Center non supporta Simple AD SAMBA4 basato su sistema Simple AD come fonte di identità.
**Topics**
+ [Considerazioni sulla modifica dell'origine dell'identità](manage-your-identity-source-considerations.md)
+ [Cambia la fonte della tua identità](manage-your-identity-source-change.md)
+ [Attributi utente e gruppo supportati in IAM Identity Center](manage-your-identity-source-attribute-use.md)
+ [Provider di identità esterni](manage-your-identity-source-idp.md)
+ [Microsoft ADelenco](manage-your-identity-source-ad.md)
# Considerazioni sulla modifica dell'origine dell'identità
Sebbene sia possibile modificare l'origine dell'identità in qualsiasi momento, si consiglia di considerare in che modo questa modifica potrebbe influire sulla distribuzione corrente.
Se gestisci già utenti e gruppi in un'unica fonte di identità, il passaggio a una fonte di identità diversa potrebbe rimuovere tutte le assegnazioni di utenti e gruppi che hai configurato in IAM Identity Center. In tal caso, tutti gli utenti, incluso l'utente amministrativo in IAM Identity Center, perderanno l'accesso Single Sign-On alle proprie Account AWS applicazioni.
Prima di modificare la fonte di identità per IAM Identity Center, esamina le seguenti considerazioni prima di procedere. Se desideri procedere con la modifica della fonte di identità, consulta [Cambia la fonte della tua identità](manage-your-identity-source-change.md) per ulteriori informazioni.
## Passaggio dalla directory IAM Identity Center a quella di Active Directory
Se gestisci già utenti e gruppi in Active Directory, ti consigliamo di prendere in considerazione la possibilità di collegare la tua directory quando abiliti IAM Identity Center e scegli la tua fonte di identità. Esegui questa operazione prima di creare utenti e gruppi nella directory predefinita di Identity Center e di effettuare qualsiasi assegnazione.
**Importante**
Quando modifichi il tipo di origine dell'identità in IAM Identity Center da o verso Active Directory, tieni presente che l'ID Identity Store cambierà. Ciò può avere le seguenti implicazioni:
L'URL del portale di AWS accesso predefinito cambierà. Dovrai comunicare il nuovo URL alla tua forza lavoro e aggiornare i segnalibri, gli elenchi di autorizzazioni del gateway o del firewall e le configurazioni in cui viene fatto riferimento a questo URL. Ti consigliamo di eseguire questa modifica in una finestra di manutenzione pianificata per ridurre al minimo le interruzioni per gli utenti.
Se utilizzi una chiave KMS gestita dal cliente per la crittografia inattiva in IAM Identity Center e hai configurato la politica della chiave KMS con il contesto di crittografia, tieni presente che il contesto di crittografia per Identity Store cambierà. Ad esempio, nell'ARN dell'Identity Store «arn:aws:identitystore: :123456789012:identitystore/d-922763e9b3", «d-922763e9b3" è l'ID Identity Store. Per evitare interruzioni del servizio durante questa transizione, modifica temporaneamente la policy delle chiavi KMS utilizzando un pattern wildcard: «arn:aws:identitystore: :123456789012:identitystore/\$1».
Se gestisci già utenti e gruppi nella directory predefinita di Identity Center, considera quanto segue:
+ **Assegnazioni rimosse e utenti e gruppi eliminati**: se si modifica l'origine dell'identità in Active Directory, gli utenti e i gruppi vengono eliminati dalla directory Identity Center. Questa modifica rimuove anche le assegnazioni. In questo caso, dopo il passaggio ad Active Directory, è necessario sincronizzare gli utenti e i gruppi da Active Directory alla directory Identity Center e quindi riapplicare le relative assegnazioni.
Se si sceglie di non utilizzare Active Directory, è necessario creare gli utenti e i gruppi nella directory Identity Center e quindi effettuare le assegnazioni.
+ **Le assegnazioni non vengono eliminate quando le identità vengono eliminate**: quando le identità vengono eliminate nella directory Identity Center, le assegnazioni corrispondenti vengono eliminate anche in IAM Identity Center. Tuttavia, in Active Directory, quando le identità vengono eliminate (in Active Directory o nelle identità sincronizzate), le assegnazioni corrispondenti non vengono eliminate.
+ **Nessuna sincronizzazione in uscita per APIs**: se utilizzi Active Directory come fonte di identità, ti consigliamo di utilizzare le funzionalità di [creazione, aggiornamento](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) ed eliminazione con cautela. APIs IAM Identity Center non supporta la sincronizzazione in uscita, quindi la tua fonte di identità non si aggiorna automaticamente con le modifiche che apporti agli utenti o ai gruppi che li utilizzano. APIs
+ L'**URL del portale di accesso cambierà**: la modifica della fonte di identità tra IAM Identity Center e Active Directory modifica anche l'URL del portale di AWS accesso.
+ Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center utilizzando Identity Store APIs, gli utenti con sessioni attive possono continuare ad accedere ad applicazioni e account integrati. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, consulta[Comprendere le sessioni di autenticazione in IAM Identity Center](authconcept.md).
Per informazioni su come IAM Identity Center fornisce utenti e gruppi, consulta[Microsoft ADelenco](manage-your-identity-source-ad.md).
## Passaggio da IAM Identity Center a un IdP esterno
Se cambi la tua fonte di identità da IAM Identity Center a un provider di identità esterno (IdP), considera quanto segue:
+ Le **assegnazioni e le appartenenze funzionano con le asserzioni corrette: le** assegnazioni degli utenti, le assegnazioni ai gruppi e le appartenenze ai gruppi continuano a funzionare finché il nuovo IdP invia le asserzioni corrette (ad esempio, nome SAML). IDs Queste asserzioni devono corrispondere ai nomi utente e ai gruppi in IAM Identity Center.
+ **Nessuna sincronizzazione in uscita**: IAM Identity Center non supporta la sincronizzazione in uscita, quindi il tuo IdP esterno non si aggiornerà automaticamente con le modifiche agli utenti e ai gruppi apportate in IAM Identity Center.
+ **Provisioning SCIM: se utilizzi il provisioning** SCIM, le modifiche agli utenti e ai gruppi nel tuo provider di identità si riflettono solo in IAM Identity Center dopo che il provider di identità ha inviato tali modifiche a IAM Identity Center. Per informazioni, consulta [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations).
+ **Rollback**: puoi ripristinare la tua origine di identità all'utilizzo di IAM Identity Center in qualsiasi momento. Per informazioni, consulta [Passaggio da un IdP esterno a IAM Identity Center](#changing-from-idp-and-idc).
+ **Le sessioni utente esistenti vengono revocate alla scadenza della durata della sessione**: una volta modificata la fonte di identità con un provider di identità esterno, le sessioni utente attive persistono per il resto della durata massima della sessione configurata nella console. Ad esempio, se la durata della sessione del portale di AWS accesso è impostata su otto ore e l'origine dell'identità è stata modificata nella quarta ora, le sessioni utente attive persistono per altre quattro ore. Per revocare le sessioni utente, vedere. [Visualizza e termina le sessioni attive per gli utenti della tua forza lavoro](end-active-sessions.md)
Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center utilizzando Identity Store APIs, gli utenti con sessioni attive possono continuare ad accedere ad applicazioni e account integrati. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, consulta[Comprendere le sessioni di autenticazione in IAM Identity Center](authconcept.md).
**Nota**
Non puoi revocare le sessioni utente dalla console IAM Identity Center dopo aver eliminato l'utente.
Per informazioni su come IAM Identity Center effettua il provisioning di utenti e gruppi, consulta. [Provider di identità esterni](manage-your-identity-source-idp.md)
## Passaggio da un IdP esterno a IAM Identity Center
Se cambi la fonte di identità da un provider di identità esterno (IdP) a IAM Identity Center, considera quanto segue:
+ IAM Identity Center conserva tutte le tue assegnazioni.
+ **Reimpostazione forzata della password**: gli utenti che avevano password in IAM Identity Center possono continuare ad accedere con le vecchie password. Per gli utenti che si trovavano nell'IdP esterno e non erano in IAM Identity Center, un amministratore deve forzare la reimpostazione della password.
+ **Le sessioni utente esistenti vengono revocate alla scadenza della durata della sessione**: una volta modificata la fonte di identità in IAM Identity Center, le sessioni utente attive persistono per la durata residua della durata massima della sessione configurata nella console. Ad esempio, se la durata della sessione del portale di AWS accesso è di otto ore e hai cambiato l'origine dell'identità alla quarta ora, le sessioni utente attive continuano a funzionare per altre quattro ore. Per revocare le sessioni utente, vedere. [Visualizza e termina le sessioni attive per gli utenti della tua forza lavoro](end-active-sessions.md)
Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center utilizzando Identity Store APIs, gli utenti con sessioni attive possono continuare ad accedere ad applicazioni e account integrati. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, consulta[Comprendere le sessioni di autenticazione in IAM Identity Center](authconcept.md).
**Nota**
Non sarai in grado di revocare le sessioni utente dalla console IAM Identity Center dopo aver eliminato l'utente.
+ **Supporto multiregionale**: se hai replicato IAM Identity Center in altre regioni o hai intenzione di farlo, devi utilizzare un provider di identità esterno come fonte di identità. Per ulteriori informazioni, inclusi altri prerequisiti, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md)
Per informazioni su come IAM Identity Center effettua il provisioning di utenti e gruppi, consulta[Gestione degli utenti nella directory Identity Center](manage-your-identity-source-sso.md).
## Passaggio da un IdP esterno a un altro IdP esterno
Se stai già utilizzando un IdP esterno come fonte di identità per IAM Identity Center e passi a un IdP esterno diverso, considera quanto segue:
+ **Le assegnazioni e le iscrizioni funzionano con le asserzioni corrette**: IAM Identity Center conserva tutte le tue assegnazioni. Le assegnazioni utente, le assegnazioni ai gruppi e le appartenenze ai gruppi continuano a funzionare finché il nuovo IdP invia le asserzioni corrette (ad esempio, il nome SAML). IDs
Queste asserzioni devono corrispondere ai nomi utente in IAM Identity Center quando gli utenti si autenticano tramite il nuovo IdP esterno.
+ **Provisioning SCIM**: se utilizzi SCIM per il provisioning in IAM Identity Center, ti consigliamo di consultare le informazioni specifiche dell'IdP contenute in questa guida e la documentazione fornita dall'IdP per garantire che il nuovo provider abbini correttamente utenti e gruppi quando SCIM è abilitato.
+ **Le sessioni utente esistenti vengono revocate alla scadenza della durata della sessione**: una volta modificata l'origine dell'identità con un provider di identità esterno diverso, le sessioni utente attive persistono per la durata residua della durata massima della sessione configurata nella console. Ad esempio, se la durata della sessione del portale di AWS accesso è di otto ore e l'origine dell'identità è stata modificata alla quarta ora, le sessioni utente attive persistono per altre quattro ore. Per revocare le sessioni utente, vedere. [Visualizza e termina le sessioni attive per gli utenti della tua forza lavoro](end-active-sessions.md)
Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center utilizzando Identity Store APIs, gli utenti con sessioni attive possono continuare ad accedere ad applicazioni e account integrati. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, consulta[Comprendere le sessioni di autenticazione in IAM Identity Center](authconcept.md).
**Nota**
Non puoi revocare le sessioni utente dalla console IAM Identity Center dopo aver eliminato l'utente.
Per informazioni su come IAM Identity Center effettua il provisioning di utenti e gruppi, consulta. [Provider di identità esterni](manage-your-identity-source-idp.md)
## Passaggio da Active Directory a un IdP esterno
Se modifichi l'origine dell'identità da un IdP esterno ad Active Directory o da Active Directory a un IdP esterno, considera quanto segue:
+ **Utenti, gruppi e assegnazioni vengono eliminati**: tutti gli utenti, i gruppi e le assegnazioni vengono eliminati da IAM Identity Center. Nessuna informazione sull'utente o sul gruppo è interessata né nell'IdP esterno né in Active Directory.
+ **Provisioning degli utenti**: se passi a un IdP esterno, devi configurare IAM Identity Center per effettuare il provisioning degli utenti. In alternativa, è necessario effettuare manualmente il provisioning degli utenti e dei gruppi per l'IdP esterno prima di poter configurare le assegnazioni.
+ **Creare assegnazioni e gruppi**: se si passa ad Active Directory, è necessario creare assegnazioni con gli utenti e i gruppi presenti nella directory in Active Directory.
+ Se gli utenti vengono eliminati o disabilitati nella console IAM Identity Center utilizzando Identity Store APIs, gli utenti con sessioni attive possono continuare ad accedere ad applicazioni e account integrati. Per informazioni sulla durata della sessione di autenticazione e sul comportamento degli utenti, consulta[Comprendere le sessioni di autenticazione in IAM Identity Center](authconcept.md).
+ **Supporto multiregionale**: se hai replicato IAM Identity Center in altre regioni o intendi farlo, devi utilizzare un provider di identità esterno come fonte di identità. Per ulteriori informazioni, inclusi altri prerequisiti, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md)
Per informazioni su come IAM Identity Center effettua il provisioning di utenti e gruppi, consulta[Microsoft ADelenco](manage-your-identity-source-ad.md).
# Cambia la fonte della tua identità
La procedura seguente descrive come passare da una directory fornita da IAM Identity Center (la directory predefinita di Identity Center) ad Active Directory o a un provider di identità esterno, o viceversa. Prima di procedere, esamina le informazioni contenute in[Considerazioni sulla modifica dell'origine dell'identità](manage-your-identity-source-considerations.md). Per completare questa procedura, avrai bisogno di un'istanza organizzativa di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
**avvertimento**
A seconda della distribuzione corrente, questa modifica rimuove tutte le assegnazioni di utenti e gruppi configurate in IAM Identity Center. Questa modifica rimuoverà anche i ruoli IAM del set di autorizzazioni dal tuo Account AWS. Di conseguenza, potrebbe essere necessario aggiornare le politiche relative alle risorse e assicurarti che ciò non interrompa l'accesso alle AWS KMS chiavi e ai cluster Amazon EKS. Per ulteriori informazioni, consulta [Riferimento ai set di autorizzazioni nelle politiche delle risorse, nelle mappe di configurazione dei cluster Amazon EKS e AWS KMS nelle politiche chiave](referencingpermissionsets.md).
Quando ciò si verifica, tutti gli utenti e i gruppi, incluso l'utente amministrativo in IAM Identity Center, perderanno l'accesso Single Sign-On alle proprie applicazioni. Account AWS
**Per cambiare la fonte della tua identità**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**. Scegli **Azioni**, quindi scegli **Cambia origine dell'identità**.
1. In **Scegli l'origine dell'identità**, seleziona la fonte a cui desideri passare, quindi scegli **Avanti**.
Se stai passando ad Active Directory, scegli la directory disponibile dal menu nella pagina successiva.
**Importante**
La modifica della fonte di identità da o verso Active Directory elimina utenti e gruppi dalla directory Identity Center. Questa modifica rimuove anche tutte le assegnazioni configurate in IAM Identity Center.
**Nota**
Se hai replicato IAM Identity Center in altre regioni, non sarai in grado di modificare il tipo di origine dell'identità. Puoi sostituire solo l'IdP esterno corrente con un altro. Per modificare il tipo di origine dell'identità, dovrai prima rimuovere tutte le regioni aggiuntive. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md)
Se stai passando a un provider di identità esterno, ti consigliamo di seguire la procedura riportata di seguito[Come connettersi a un provider di identità esterno](how-to-connect-idp.md).
1. **Dopo aver letto il disclaimer e aver iniziato a procedere, digita ACCEPT.**
1. Scegli **Cambia fonte di identità**. Se stai cambiando la fonte di identità in Active Directory, procedi al passaggio successivo.
1. Se si modifica la fonte di identità in Active Directory, si accede alla pagina **Impostazioni**. Nella pagina **Impostazioni**, esegui una delle seguenti operazioni:
+ Scegli **Avvia configurazione guidata**. Per informazioni su come completare la procedura di configurazione guidata, consulta[Configurazione guidata](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync).
+ Nella sezione **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione** per configurare l'*ambito di sincronizzazione*, l'elenco di utenti e gruppi da sincronizzare.
# Attributi utente e gruppo supportati in IAM Identity Center
Questa guida fornisce un riferimento per il supporto degli attributi SCIM in IAM Identity Center. Elenca gli attributi di utente e gruppo della specifica SCIM supportati nell'archivio di identità di IAM Identity Center e identifica gli attributi e gli attributi secondari specifici che non sono supportati.
Gli attributi sono informazioni che aiutano a definire e identificare singoli oggetti di utenti o gruppi, come`name`, `email` o. `members` IAM Identity Center supporta gli attributi più comunemente utilizzati sia tramite l'immissione manuale che il provisioning SCIM automatico.
+ [Per informazioni sulla specifica System for Cross-Domain Identity Management (SCIM), consulta /rfc7642. https://tools.ietf.org/html](https://tools.ietf.org/html/rfc7642)
+ Per informazioni sul provisioning manuale e automatico, vedere. [Provisioning quando gli utenti provengono da un IdP esterno](manage-your-identity-source-idp.md#provisioning-when-external-idp)
+ Per informazioni sulla mappatura degli attributi, vedere. [Mappature degli attributi tra IAM Identity Center e la directory External Identity Provider](attributemappingsconcept.md)
Poiché IAM Identity Center supporta SCIM per i casi d'uso di provisioning automatico, la directory Identity Center supporta tutti gli stessi attributi di utente e gruppo elencati nella specifica SCIM, con alcune eccezioni. Le seguenti sezioni descrivono quali attributi non sono supportati da IAM Identity Center.
## Oggetti utente non supportati
Tutti gli attributi dello schema utente SCIM ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) sono supportati nell'archivio di identità di IAM Identity Center, ad eccezione dei seguenti:
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`
Sono supportati tutti gli attributi secondari per gli utenti, ad eccezione dei seguenti:
+ `'display'`attributo secondario di qualsiasi attributo multivalore (ad esempio, o) `emails` `phoneNumbers`
+ `'version'`attributo secondario dell'attributo `'meta'`
## Oggetti di gruppo non supportati
Sono supportati tutti gli attributi dello schema di gruppo SCIM ([https://tools.ietf.org/html/rfc7643 \$1section](https://tools.ietf.org/html/rfc7643#section-8.4) -8.4).
Sono supportati tutti gli attributi secondari dei gruppi, ad eccezione dei seguenti:
+ `'display'`attributo secondario di qualsiasi attributo multivalore (ad esempio, members).
# Provider di identità esterni
Con IAM Identity Center, puoi connettere le identità della tua forza lavoro esistenti provenienti da provider di identità esterni (IdPs) tramite i protocolli Security Assertion Markup Language (SAML) 2.0 e System for Cross-Domain Identity Management (SCIM). Ciò consente agli utenti di accedere al portale di accesso con le proprie credenziali aziendali. AWS Possono quindi accedere agli account, ai ruoli e alle applicazioni assegnati ospitati in ambienti esterni IdPs.
Ad esempio, puoi connettere un IdP esterno come Okta oMicrosoft Entra ID, a IAM Identity Center. Gli utenti possono quindi accedere al portale di AWS accesso con le proprie Microsoft Entra ID credenziali Okta o esistenti. Per controllare cosa possono fare gli utenti una volta effettuato l'accesso, è possibile assegnare loro le autorizzazioni di accesso centralmente a tutti gli account e le applicazioni dell'organizzazione. AWS Inoltre, gli sviluppatori possono semplicemente accedere a AWS Command Line Interface (AWS CLI) utilizzando le credenziali esistenti e trarre vantaggio dalla generazione e dalla rotazione automatiche delle credenziali a breve termine.
Se si utilizza una directory autogestita in Active Directory o una AWS Managed Microsoft AD, vedere. [Microsoft ADelenco](manage-your-identity-source-ad.md)
**Nota**
Il protocollo SAML non fornisce un modo per interrogare l'IdP per conoscere utenti e gruppi. Pertanto, è necessario rendere IAM Identity Center consapevole di tali utenti e gruppi inserendoli in IAM Identity Center.
## Provisioning quando gli utenti provengono da un IdP esterno
Quando si utilizza un IdP esterno, è necessario effettuare il provisioning di tutti gli utenti e i gruppi applicabili in IAM Identity Center prima di poter effettuare qualsiasi assegnazione o applicazione. Account AWS A tale scopo, puoi configurare o utilizzare [Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM](provision-automatically.md) i tuoi utenti e gruppi. [Fornitura manuale](provision-automatically.md#provision-manually) Indipendentemente dalla modalità di provisioning degli utenti, IAM Identity Center reindirizza l' Console di gestione AWS interfaccia a riga di comando e l'autenticazione delle applicazioni al tuo IdP esterno. IAM Identity Center concede quindi l'accesso a tali risorse in base alle policy create in IAM Identity Center. Per ulteriori informazioni sul provisioning, consulta. [Assegnazione di ruoli a utenti e gruppi](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [Provisioning quando gli utenti provengono da un IdP esterno](#provisioning-when-external-idp)
+ [Come connettersi a un provider di identità esterno](how-to-connect-idp.md)
+ [Come modificare i metadati di un provider di identità esterno in IAM Identity Center](how-to-change-idp-metadata.md)
+ [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md)
+ [Profilo SCIM e implementazione SAML 2.0](scim-profile-saml.md)
# Come connettersi a un provider di identità esterno
Esistono diversi prerequisiti, considerazioni e procedure di approvvigionamento per i dispositivi esterni supportati. IdPs Sono disponibili step-by-step tutorial per diversi argomenti: IdPs
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping Identity](pingidentity.md)
Per ulteriori informazioni sulle considerazioni relative alle applicazioni esterne IdPs supportate da IAM Identity Center, consulta[Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
La procedura seguente fornisce una panoramica generale della procedura utilizzata con tutti i provider di identità esterni.
**Per connettersi a un provider di identità esterno**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, quindi scegli **Azioni > Cambia fonte di identità**.
1. In **Scegli l'origine dell'identità**, seleziona **Provider di identità esterno**, quindi scegli **Avanti**.
1. In **Configura provider di identità esterno**, procedi come segue:
1. In **Metadati del fornitore** di servizi, scegli **Scarica il file di metadati** per scaricare il file di metadati e salvarlo sul tuo sistema. Il file di metadati SAML di IAM Identity Center è richiesto dal tuo provider di identità esterno.
**Nota**
Il file di metadati SAML che scarichi contiene sia il servizio di asserzione consumer (ACS) IPv4 -only che quello dual-stack. URLs Inoltre, se il tuo IAM Identity Center viene replicato in altre regioni, il file di metadati contiene ACS per ogni regione aggiuntiva. URLs Se il tuo IdP esterno ha un limite al numero di ACS URLs, dovrai rimuovere l'ACS non necessario. URLs Ad esempio, se l'organizzazione ha adottato completamente gli endpoint dual-stack e non utilizza più IP4v solo gli endpoint, è possibile rimuovere questi ultimi. Un approccio alternativo consiste nel non utilizzare il file di metadati ma nel copiare e incollare l'ACS URLs nell'IdP esterno.
1. In **Metadati del provider di identità**, scegli **Scegli file** e individua il file di metadati che hai scaricato dal tuo provider di identità esterno. Quindi carica il file. Questo file di metadati contiene il certificato x509 pubblico necessario utilizzato per considerare attendibili i messaggi inviati dall'IdP.
1. Scegli **Next (Successivo)**.
**Importante**
La modifica dell'origine da o verso Active Directory rimuove tutte le assegnazioni di utenti e gruppi esistenti. È necessario riapplicare manualmente le assegnazioni dopo aver modificato correttamente l'origine.
1. **Dopo aver letto il disclaimer e aver iniziato a procedere, inserisci ACCETTA.**
1. Scegli **Cambia fonte di identità**. Un messaggio di stato ti informa che hai cambiato correttamente l'origine dell'identità.
# Come modificare i metadati di un provider di identità esterno in IAM Identity Center
Puoi modificare i metadati del tuo provider di identità esterno che hai fornito in precedenza all'IAM Identity Center. Queste modifiche influiscono sulla capacità degli utenti di accedere e accedere alle AWS risorse tramite IAM Identity Center. La procedura seguente descrive come aggiornare i metadati dell'IdP esterno archiviati in IAM Identity Center. Per completare questa procedura, avrai bisogno di un'istanza organizzativa di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
**Per modificare i metadati di un provider di identità esterno**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**. Scegli **Azioni**, quindi scegli **Gestisci autenticazione**.
1. Nella sezione Metadati del **provider di identità, scegli Modifica metadati** **IdP**. Puoi apportare le modifiche all'URL di accesso dell'IdP e/o all'URL dell'emittente IdP per il tuo IdP esterno in questa pagina. Scegli **Salva modifiche** dopo aver apportato tutte le modifiche necessarie.
# Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni
IAM Identity Center implementa i seguenti protocolli basati su standard per la federazione delle identità:
+ SAML 2.0 per l'autenticazione degli utenti
+ SCIM per il provisioning
Qualsiasi provider di identità (IdP) che implementa questi protocolli standard dovrebbe interagire con successo con IAM Identity Center, con le seguenti considerazioni speciali:
+ **SAML**
+ IAM Identity Center richiede un indirizzo e-mail in formato SAML NameID (ovvero,). `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ [Il valore del campo NameID nelle asserzioni deve essere una stringa conforme a RFC 2822 ([https://tools.ietf.org/html/rfc2822) addr-spec («») (/rfc2822 \$1section -3.4.1](https://tools.ietf.org/html/rfc2822)). `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ Il file di metadati non può contenere più di 75000 caratteri.
+ I metadati devono contenere un EntityID, un certificato X509 e SingleSignOnService come parte dell'URL di accesso.
+ Una chiave di crittografia non è supportata.
+ IAM Identity Center non supporta la firma delle richieste di autenticazione SAML inviate a siti esterni IdPs.
+ L'IdP deve supportare il Multiple Assertion Consumer Service (ACS) URLs se prevedi di replicare IAM Identity Center in altre regioni e sfruttare appieno i vantaggi di un IAM Identity Center multiregionale. Per ulteriori informazioni, consulta [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md). L'utilizzo di un singolo URL ACS può influire sull'esperienza utente in altre regioni. La tua regione principale continuerà a funzionare normalmente. Per ulteriori informazioni sull'esperienza utente in altre regioni con un unico URL ACS, consulta [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e[Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [L'implementazione di IAM Identity Center SCIM si basa su SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) e 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)) e sui requisiti di interoperabilità stabiliti nella bozza di marzo 2020 del [https://tools.ietf.org/htmlBasic SCIM Profile 1.0 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)). FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Eventuali differenze tra questi documenti e l'attuale implementazione in IAM Identity Center sono descritte nella sezione [Operazioni API supportate](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) della *Guida per gli sviluppatori di IAM Identity Center SCIM Implementation*.
IdPs i prodotti che non sono conformi agli standard e alle considerazioni sopra menzionati non sono supportati. Contatta il tuo IdP per domande o chiarimenti sulla conformità dei suoi prodotti a questi standard e considerazioni.
In caso di problemi nel connettere il tuo IdP a IAM Identity Center, ti consigliamo di controllare:
+ AWS CloudTrail **registra filtrando il nome dell'evento Login ExternalId PDirectory**
+ Registri specifici per IDP, registri and/or di debug
+ [Risoluzione dei problemi relativi a IAM Identity Center](troubleshooting.md)
**Nota**
Alcuni IdPs, come quelli inclusi in[Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md), offrono un'esperienza di configurazione semplificata per IAM Identity Center sotto forma di «applicazione» o «connettore» creato appositamente per IAM Identity Center. Se il tuo IdP offre questa opzione, ti consigliamo di utilizzarla, facendo attenzione a scegliere l'elemento creato specificamente per IAM Identity Center. Altri elementi denominati «AWS», «AWS federazione» o nomi «AWS" generici simili possono utilizzare and/or endpoint con approcci federativi diversi e potrebbero non funzionare come previsto con IAM Identity Center.
# Profilo SCIM e implementazione SAML 2.0
Sia SCIM che SAML sono considerazioni importanti per la configurazione di IAM Identity Center.
## Implementazione SAML 2.0
IAM Identity Center supporta la federazione delle identità con [SAML (Security Assertion Markup](https://wiki.oasis-open.org/security) Language) 2.0. Ciò consente a IAM Identity Center di autenticare le identità di provider di identità esterni (). IdPs SAML 2.0 è uno standard aperto utilizzato per lo scambio sicuro di asserzioni SAML. SAML 2.0 trasmette informazioni su un utente tra un'autorità SAML (chiamata provider di identità o IdP) e un consumatore SAML (chiamato service provider o SP). Il servizio IAM Identity Center utilizza queste informazioni per fornire un single sign-on federato. Il Single Sign-On consente agli utenti di accedere Account AWS e configurare le applicazioni in base alle credenziali esistenti del provider di identità.
IAM Identity Center aggiunge funzionalità SAML IdP al tuo archivio AWS Managed Microsoft AD IAM Identity Center o a un provider di identità esterno. Gli utenti possono quindi accedere tramite Single Sign-On ai servizi che supportano SAML, incluse le applicazioni Console di gestione AWS e quelle di terze parti come, e. Microsoft 365 Concur Salesforce
Il protocollo SAML, tuttavia, non fornisce un modo per interrogare l'IdP per conoscere utenti e gruppi. Pertanto, è necessario rendere IAM Identity Center consapevole di tali utenti e gruppi inserendoli in IAM Identity Center.
## Profilo SCIM
IAM Identity Center fornisce supporto per lo standard System for Cross-domain Identity Management (SCIM) v2.0. SCIM mantiene le identità del tuo IAM Identity Center sincronizzate con le identità del tuo IdP. Ciò include il provisioning, gli aggiornamenti e il deprovisioning degli utenti tra il gestore dell'identità digitale e il Centro identità IAM.
Per ulteriori informazioni su come implementare SCIM, consulta. [Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM](provision-automatically.md) Per ulteriori dettagli sull'implementazione SCIM di IAM Identity Center, consulta la [IAM Identity Center SCIM Implementation](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Developer Guide.
**Topics**
+ [Implementazione SAML 2.0](#samlfederationconcept)
+ [Profilo SCIM](#scim-profile)
+ [Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM](provision-automatically.md)
+ [Ruota i certificati SAML 2.0](managesamlcerts.md)
# Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM
IAM Identity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi dal tuo provider di identità (IdP) a IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente del tuo provider di identità (IdP) agli attributi denominati in IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e il tuo IdP. Puoi configurare questa connessione nel tuo IdP utilizzando il tuo endpoint SCIM per IAM Identity Center e un token bearer che crei in IAM Identity Center.
**Topics**
+ [Considerazioni sull'utilizzo del provisioning automatico](#auto-provisioning-considerations)
+ [Come monitorare la scadenza dei token di accesso](#access-token-expiry)
+ [Genera un token di accesso](generate-token.md)
+ [Abilita il provisioning automatico](how-to-with-scim.md)
+ [Eliminare un token di accesso](delete-token.md)
+ [Disabilita il provisioning automatico](disable-provisioning.md)
+ [Ruota un token di accesso](rotate-token.md)
+ [Verifica e riconcilia le risorse con provisioning automatico](reconcile-auto-provisioning.md)
+ [Fornitura manuale](#provision-manually)
## Considerazioni sull'utilizzo del provisioning automatico
Prima di iniziare a implementare SCIM, ti consigliamo di esaminare innanzitutto le seguenti importanti considerazioni su come funziona con IAM Identity Center. Per ulteriori considerazioni sul provisioning, consulta la sezione [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) applicabile al tuo IdP.
+ Se stai fornendo un indirizzo email principale, il valore di questo attributo deve essere unico per ogni utente. In alcuni casi IdPs, l'indirizzo e-mail principale potrebbe non essere un indirizzo e-mail reale. Ad esempio, potrebbe essere un Universal Principal Name (UPN) che assomiglia solo a un'e-mail. Questi IdPs possono avere un indirizzo e-mail secondario o «altro» che contiene l'indirizzo e-mail reale dell'utente. Devi configurare SCIM nel tuo IdP per mappare l'indirizzo email univoco non NULL all'attributo dell'indirizzo email primario di IAM Identity Center. Inoltre, devi mappare l'identificatore di accesso univoco non NULL degli utenti all'attributo del nome utente di IAM Identity Center. Verifica se il tuo IdP ha un unico valore che è sia l'identificatore di accesso che il nome e-mail dell'utente. In tal caso, puoi mappare il campo IdP sia all'e-mail principale di IAM Identity Center che al nome utente IAM Identity Center.
+ Affinché la sincronizzazione SCIM funzioni, ogni utente deve avere un valore **specificato per nome**, **cognome, nome** **utente** e **nome visualizzato**. Se uno di questi valori non è presente in un utente, a quell'utente non verrà assegnato alcun ruolo.
+ Se devi utilizzare applicazioni di terze parti, dovrai prima mappare l'attributo del soggetto SAML in uscita all'attributo del nome utente. Se l'applicazione di terze parti richiede un indirizzo e-mail instradabile, devi fornire l'attributo email al tuo IdP.
+ Gli intervalli di provisioning e aggiornamento di SCIM sono controllati dal tuo provider di identità. Le modifiche agli utenti e ai gruppi nel tuo provider di identità si riflettono in IAM Identity Center solo dopo che il provider di identità ha inviato tali modifiche a IAM Identity Center. Rivolgiti al tuo provider di identità per i dettagli sulla frequenza degli aggiornamenti di utenti e gruppi.
+ Attualmente, SCIM non fornisce attributi multivalore (come email o numeri di telefono multipli per un determinato utente). I tentativi di sincronizzare gli attributi multivalore in IAM Identity Center con SCIM falliranno. Per evitare errori, assicurati che venga passato un solo valore per ogni attributo. Se hai utenti con attributi multivalore, rimuovi o modifica le mappature degli attributi duplicati in SCIM presso il tuo IdP per la connessione a IAM Identity Center.
+ Verifica che la mappatura `externalId` SCIM del tuo IdP corrisponda a un valore unico, sempre presente e con meno probabilità di modifica per i tuoi utenti. Ad esempio, il tuo IdP potrebbe fornire un identificatore garantito `objectId` o di altro tipo che non è influenzato dalle modifiche agli attributi utente come nome ed email. In tal caso, puoi mappare quel valore nel campo `externalId` SCIM. In questo modo i tuoi utenti non perderanno AWS diritti, assegnazioni o autorizzazioni se devi cambiare il loro nome o indirizzo email.
+ Utenti che non sono ancora stati assegnati a un'applicazione o che non Account AWS possono essere inseriti in IAM Identity Center. Per sincronizzare utenti e gruppi, assicurati che siano assegnati all'applicazione o a un'altra configurazione che rappresenti la connessione del tuo IdP a IAM Identity Center.
+ Il comportamento di deprovisioning degli utenti è gestito dal provider di identità e può variare in base all'implementazione. Rivolgiti al tuo provider di identità per i dettagli sul deprovisioning degli utenti.
+ Dopo aver configurato il provisioning automatico con SCIM per il tuo IdP, non puoi più aggiungere o modificare utenti nella console IAM Identity Center. Se devi aggiungere o modificare un utente, devi farlo dalla tua fonte di identità o IdP esterna.
Per ulteriori informazioni sull'implementazione SCIM di IAM Identity Center, consulta la [IAM Identity Center SCIM Implementation](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Developer Guide.
## Come monitorare la scadenza dei token di accesso
I token di accesso SCIM vengono generati con una validità di un anno. Quando il token di accesso SCIM è impostato per scadere tra 90 giorni o meno, ti AWS invia promemoria nella console IAM Identity Center e tramite la AWS Health Dashboard per aiutarti a ruotare il token. Ruotando il token di accesso SCIM prima della scadenza, garantisci continuamente la fornitura automatica delle informazioni su utenti e gruppi. Se il token di accesso SCIM scade, la sincronizzazione delle informazioni su utenti e gruppi dal provider di identità in IAM Identity Center si interrompe, quindi il provisioning automatico non può più effettuare aggiornamenti o creare ed eliminare informazioni. L'interruzione del provisioning automatico può comportare maggiori rischi per la sicurezza e influire sull'accesso ai servizi.
I promemoria della console di Identity Center persistono finché non si ruota il token di accesso SCIM e si eliminano i token di accesso non utilizzati o scaduti. Gli eventi del AWS Health Dashboard vengono rinnovati settimanalmente da 90 a 60 giorni, due volte a settimana da 60 a 30 giorni, tre volte alla settimana da 30 a 15 giorni e ogni giorno da 15 giorni fino alla scadenza dei token di accesso SCIM.
# Genera un token di accesso
Utilizza la seguente procedura per generare un nuovo token di accesso nella console IAM Identity Center.
**Nota**
Questa procedura richiede che il provisioning automatico sia stato precedentemente abilitato. Per ulteriori informazioni, consulta [Abilita il provisioning automatico](how-to-with-scim.md).
**Per generare un nuovo token di accesso**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. **Nella pagina **Provisioning automatico**, in Token di **accesso, scegli Genera token**.**
1. Nella finestra di dialogo **Genera nuovo token di accesso**, copia il nuovo token di accesso e salvalo in un posto sicuro.
1. Scegli **Chiudi**.
# Abilita il provisioning automatico
Utilizza la seguente procedura per abilitare il provisioning automatico di utenti e gruppi dal tuo IdP a IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare questa procedura, ti consigliamo di esaminare innanzitutto le considerazioni sul provisioning applicabili al tuo IdP. Per ulteriori informazioni, consulta la pagina [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) dedicata al tuo IdP.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli più tardi quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Dopo aver completato questa procedura, è necessario configurare il provisioning automatico nel proprio IdP. Per ulteriori informazioni, consulta la pagina [Tutorial sulle fonti di identità di IAM Identity Center](tutorials.md) dedicata al tuo IdP.
# Eliminare un token di accesso
Utilizza la seguente procedura per eliminare un token di accesso esistente nella console IAM Identity Center.
**Per eliminare un token di accesso esistente**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. **Nella pagina **Provisioning automatico**, in **Token di accesso**, seleziona il token di accesso che desideri eliminare, quindi scegli Elimina.**
1. Nella finestra di dialogo **Elimina token di accesso**, esaminate le informazioni, digitate **DELETE**, quindi scegliete **Elimina token di accesso**.
# Disabilita il provisioning automatico
Utilizza la seguente procedura per disabilitare il provisioning automatico nella console IAM Identity Center.
**Importante**
È necessario eliminare il token di accesso prima di iniziare questa procedura. Per ulteriori informazioni, consulta [Eliminare un token di accesso](delete-token.md).
**Per disabilitare il provisioning automatico nella console IAM Identity Center**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. **Nella pagina **Provisioning automatico**, scegli Disabilita.**
1. Nella finestra di dialogo **Disabilita il provisioning automatico**, esaminate le informazioni, digitate **DISABLE, quindi scegliete Disabilita** **il provisioning automatico**.
# Ruota un token di accesso
Una directory IAM Identity Center supporta fino a due token di accesso alla volta. Per generare un token di accesso aggiuntivo prima di qualsiasi rotazione, elimina tutti i token di accesso scaduti o non utilizzati.
Se il token di accesso SCIM sta per scadere, puoi utilizzare la seguente procedura per ruotare un token di accesso esistente nella console IAM Identity Center.
**Per ruotare un token di accesso**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, quindi scegli **Azioni > Gestisci il provisioning**.
1. Nella pagina **Provisioning automatico**, in **Token di accesso**, prendi nota dell'ID del token che desideri ruotare.
1. Segui i passaggi indicati [Genera un token di accesso](generate-token.md) per creare un nuovo token. Se hai già creato il numero massimo di token di accesso SCIM, dovrai prima eliminare uno dei token esistenti.
1. Vai al sito web del tuo provider di identità e configura il nuovo token di accesso per il provisioning SCIM, quindi verifica la connettività a IAM Identity Center utilizzando il nuovo token di accesso SCIM. Dopo aver confermato che il provisioning funziona correttamente utilizzando il nuovo token, continua con il passaggio successivo di questa procedura.
1. Segui i passaggi indicati [Eliminare un token di accesso](delete-token.md) per eliminare il vecchio token di accesso annotato in precedenza. Puoi anche utilizzare la data di creazione del token come suggerimento su quale token rimuovere.
# Verifica e riconcilia le risorse con provisioning automatico
SCIM ti consente di effettuare automaticamente il provisioning di utenti, gruppi e appartenenze ai gruppi dalla tua fonte di identità a IAM Identity Center. Questa guida ti aiuta a verificare e riconciliare queste risorse per mantenere una sincronizzazione accurata.
## Perché controllare le tue risorse?
Un controllo regolare aiuta a garantire che i controlli di accesso rimangano accurati e che il tuo provider di identità (IdP) rimanga correttamente sincronizzato con IAM Identity Center. Ciò è particolarmente importante per la conformità alla sicurezza e la gestione degli accessi.
Risorse che puoi controllare:
+ Utenti
+ Gruppi
+ Appartenenze ai gruppi
È possibile utilizzare i [comandi AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)o CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) per eseguire il controllo e la riconciliazione. Negli esempi seguenti vengono utilizzati AWS CLI i comandi. Per le alternative alle API, fai riferimento alle [operazioni corrispondenti](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) nel *riferimento all'API di Identity Store*.
## Come controllare le risorse
Ecco alcuni esempi su come controllare queste risorse utilizzando AWS CLI i comandi.
Prima di iniziare, assicurati di disporre dei seguenti elementi:
+ Accesso dell'amministratore a IAM Identity Center.
+ AWS CLI installato e configurato. Per informazioni, consulta la [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Autorizzazioni IAM richieste per i comandi Identity Store.
### Fase 1: Elenca le risorse correnti
È possibile visualizzare le risorse correnti utilizzando il AWS CLI.
**Nota**
Quando si utilizza AWS CLI, l'impaginazione viene gestita automaticamente a meno che non venga specificato. `--no-paginate` Se stai chiamando direttamente l'API (ad esempio, con un SDK o uno script personalizzato), gestiscila `NextToken` nella risposta. In questo modo puoi recuperare tutti i risultati su più pagine.
**Example per gli utenti**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example per gruppi**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example per appartenenze a gruppi**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Fase 2: confrontalo con la fonte della tua identità
Confronta le risorse elencate con la tua fonte di identità per identificare eventuali discrepanze, ad esempio:
+ Risorse mancanti che devono essere fornite in IAM Identity Center.
+ Risorse aggiuntive che devono essere rimosse da IAM Identity Center.
**Example per gli utenti**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example per gruppi**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example per appartenenze a gruppi**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considerazioni
+ I comandi sono soggetti alle [quote di servizio e alla limitazione delle API](limits.md#ssothrottlelimits).
+ Se riscontri molte differenze durante la riconciliazione, apporta piccole modifiche graduali a Identity Store. AWS Questo ti aiuta a evitare errori che riguardano più utenti.
+ La sincronizzazione SCIM può ignorare le modifiche manuali. Controlla le impostazioni del tuo IdP per comprendere questo comportamento.
## Fornitura manuale
Alcuni IdPs non dispongono del supporto System for Cross-domain Identity Management (SCIM) o hanno un'implementazione SCIM incompatibile. In questi casi, puoi effettuare manualmente il provisioning degli utenti tramite la console IAM Identity Center. Quando aggiungi utenti a IAM Identity Center, assicurati di impostare il nome utente in modo che sia identico al nome utente che hai nel tuo IdP. Come minimo, devi avere un indirizzo email e un nome utente univoci. Per ulteriori informazioni, consulta [Unicità del nome utente e dell'indirizzo e-mail](users-groups-provisioning.md#username-email-unique).
È inoltre necessario gestire tutti i gruppi manualmente in IAM Identity Center. Per fare ciò, crei i gruppi e li aggiungi utilizzando la console IAM Identity Center. Non è necessario che questi gruppi corrispondano a quelli esistenti nel tuo IdP. Per ulteriori informazioni, consulta [Gruppi](users-groups-provisioning.md#groups-concept).
# Ruota i certificati SAML 2.0
IAM Identity Center utilizza i certificati per configurare una relazione di fiducia SAML tra IAM Identity Center e il tuo provider di identità esterno (IdP). Quando aggiungi un IdP esterno in IAM Identity Center, devi anche ottenere almeno un certificato SAML 2.0 X.509 pubblico dall'IdP esterno. Tale certificato viene in genere installato automaticamente durante lo scambio di metadati IdP SAML durante la creazione di trust.
In qualità di amministratore di IAM Identity Center, a volte dovrai sostituire i vecchi certificati IdP con quelli più recenti. Ad esempio, potrebbe essere necessario sostituire un certificato IdP quando si avvicina la data di scadenza del certificato. Il processo di sostituzione di un certificato precedente con uno più recente viene definito rotazione dei certificati.
**Topics**
+ [Ruota un certificato SAML 2.0](rotatesamlcert.md)
+ [Indicatori dello stato di scadenza del certificato](samlcertexpirationindicators.md)
# Ruota un certificato SAML 2.0
Potrebbe essere necessario importare i certificati periodicamente per modificare i certificati non validi o scaduti emessi dal tuo provider di identità. Questo aiuta a prevenire interruzioni o tempi di inattività dell'autenticazione. Tutti i certificati importati sono automaticamente attivi. I certificati devono essere eliminati solo dopo aver verificato che non siano più utilizzati dal provider di identità associato.
È inoltre necessario considerare che alcuni IdPs potrebbero non supportare più certificati. In questo caso, la rotazione dei certificati con questi dati IdPs potrebbe comportare un'interruzione temporanea del servizio per gli utenti. Il servizio viene ripristinato quando la fiducia con quell'IdP è stata ristabilita con successo. Pianifica attentamente questa operazione durante le ore non di punta, se possibile.
**Nota**
Come best practice di sicurezza, in caso di segni di compromissione o cattiva gestione di un certificato SAML esistente, dovresti immediatamente rimuovere e ruotare il certificato.
La rotazione di un certificato IAM Identity Center è un processo in più fasi che prevede quanto segue:
+ Ottenere un nuovo certificato dall'IdP
+ Importazione del nuovo certificato in IAM Identity Center
+ Attivazione del nuovo certificato nell'IdP
+ Eliminazione del certificato precedente
Utilizza tutte le seguenti procedure per completare il processo di rotazione dei certificati evitando al contempo interruzioni dell'autenticazione.
**Passaggio 1: ottenere un nuovo certificato dall'IdP**
Vai al sito Web IdP e scarica il certificato SAML 2.0. Assicurati che il file del certificato sia scaricato in formato codificato PEM. La maggior parte dei provider consente di creare più certificati SAML 2.0 nell'IdP. È probabile che questi vengano contrassegnati come disabilitati o inattivi.
**Fase 2: Importa il nuovo certificato in IAM Identity Center**
Utilizza la seguente procedura per importare il nuovo certificato utilizzando la console IAM Identity Center.
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, quindi scegli **Azioni > Gestisci l'autenticazione**.
1. Nella pagina **Gestisci certificati SAML 2.0**, scegli **Importa certificato**.
1. Nella finestra di dialogo **Importa certificato SAML 2.0**, scegli **Scegli file**, vai al file del certificato e selezionalo, quindi scegli **Importa** certificato.
A questo punto, IAM Identity Center considererà attendibili tutti i messaggi SAML in entrata firmati da entrambi i certificati che hai importato.
**Fase 3: Attiva il nuovo certificato nell'IdP**
Torna al sito Web IdP e contrassegna il nuovo certificato creato in precedenza come principale o attivo. A questo punto tutti i messaggi SAML firmati dall'IdP dovrebbero utilizzare il nuovo certificato.
**Fase 4: Eliminare il vecchio certificato**
Utilizza la procedura seguente per completare il processo di rotazione dei certificati per il tuo IdP. Nell'elenco deve sempre essere presente almeno un certificato valido che non può essere rimosso.
**Nota**
Assicurati che il tuo provider di identità non firmi più le risposte SAML con questo certificato prima di eliminarlo.
1. Nella pagina **Gestisci i certificati SAML 2.0**, scegli il certificato che desideri eliminare. Scegli **Elimina**.
1. **Nella finestra di dialogo **Elimina certificato SAML 2.0**, digita **DELETE** per confermare, quindi scegli Elimina.**
1. Torna al sito Web dell'IdP ed esegui i passaggi necessari per rimuovere il vecchio certificato inattivo.
# Indicatori dello stato di scadenza del certificato
La pagina **Gestisci i certificati SAML 2.0** mostra le icone colorate degli indicatori di stato nella colonna **Scade il** accanto a ciascun certificato nell'elenco. Di seguito vengono descritti i criteri utilizzati da IAM Identity Center per determinare quale icona viene visualizzata per ogni certificato.
+ **Rosso**: indica che un certificato è scaduto.
+ **Giallo**: indica che un certificato scade dopo 90 giorni o meno.
+ **Verde**: indica che un certificato è valido e rimane valido per almeno altri 90 giorni.
**Per verificare lo stato attuale di un certificato**
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, quindi scegli **Azioni > Gestisci l'autenticazione**.
1. Nella pagina **Gestisci l'autenticazione SAML 2.0**, in **Gestisci i certificati SAML 2.0**, esamina lo stato dei certificati nell'elenco, come indicato nella colonna **Scade** il.
# Microsoft ADelenco
Con AWS IAM Identity Center, è possibile connettere una directory autogestita in Active Directory (AD) o una directory in AWS Managed Microsoft AD utilizzando. AWS Directory Service Questa directory Microsoft AD definisce il pool di identità da cui gli amministratori possono attingere quando utilizzano la console IAM Identity Center per assegnare l'accesso Single Sign-On. Dopo aver collegato la directory aziendale a IAM Identity Center, puoi quindi concedere agli utenti o ai gruppi di AD l'accesso alle applicazioni o a entrambe Account AWS.
AWS Directory Service ti aiuta a configurare ed eseguire una AWS Managed Microsoft AD directory autonoma ospitata in. Cloud AWS Puoi anche utilizzarla Directory Service per connettere AWS le tue risorse a un AD esistente autogestito. AWS Directory Service Per configurarlo in modo da funzionare con il tuo AD autogestito, devi prima impostare relazioni di fiducia per estendere l'autenticazione al cloud.
IAM Identity Center utilizza la connessione fornita da Directory Service per eseguire l'autenticazione pass-through all'istanza AD di origine. Se lo utilizzi AWS Managed Microsoft AD come fonte di identità, IAM Identity Center può funzionare con utenti provenienti da AWS Managed Microsoft AD o provenienti da qualsiasi dominio connesso tramite un trust AD. Se desideri localizzare gli utenti in quattro o più domini, gli utenti devono utilizzare la `DOMAIN\user` sintassi come nome utente quando effettuano gli accessi a IAM Identity Center.
**Note**
Come passaggio preliminare, assicurati che l'AD Connector o la directory in AWS Managed Microsoft AD in si trovino all'interno del Directory Service tuo account di AWS Organizations gestione.
IAM Identity Center non supporta Simple AD basato su SAMBA 4 come directory connessa.
IAM Identity Center non è in grado di sincronizzare Foreign Security Principal (). FSPs Se un gruppo AWS Managed Microsoft AD contiene membri di un dominio affidabile come FSPs, tali membri non verranno sincronizzati.
Per una dimostrazione sul processo di utilizzo di Active Directory come fonte di identità per IAM Identity Center, guarda il seguente YouTube video:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## Considerazioni sull'utilizzo di Active Directory
Se si desidera utilizzare Active Directory come origine dell'identità, la configurazione deve soddisfare i seguenti prerequisiti:
+ Se lo utilizzi AWS Managed Microsoft AD, devi abilitare IAM Identity Center nello stesso Regione AWS punto in cui è configurata la tua AWS Managed Microsoft AD directory. IAM Identity Center archivia i dati di assegnazione nella stessa regione della directory. Per amministrare IAM Identity Center, potrebbe essere necessario passare alla regione in cui è configurato IAM Identity Center. Inoltre, tieni presente che il portale di AWS accesso utilizza lo stesso URL di accesso della tua directory.
+ Usa un Active Directory che risiede nell'account di gestione:
Devi avere un AD Connector o una AWS Managed Microsoft AD directory esistente configurata in AWS Directory Service e deve risiedere nel tuo account di AWS Organizations gestione. È possibile connettere solo una directory AD Connector o una directory AWS Managed Microsoft AD alla volta. Se devi supportare più domini o foreste, usa AWS Managed Microsoft AD. Per ulteriori informazioni, consulta:
+ [Connect una directory AWS Managed Microsoft AD a IAM Identity Center](connectawsad.md)
+ [Connect una directory autogestita in Active Directory a IAM Identity Center](connectonpremad.md)
+ Utilizza un Active Directory che risiede nell'account amministratore delegato:
Se prevedi di abilitare l'amministratore delegato di IAM Identity Center e utilizzare Active Directory come fonte di identità IAM Identity Center, puoi utilizzare un AD Connector o una AWS Managed Microsoft AD directory esistente configurata in AWS Directory che risiede nell'account amministratore delegato.
Se decidi di modificare l'origine dell'identità di IAM Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere (essere di proprietà di) l'account membro amministratore delegato di IAM Identity Center, se esistente; in caso contrario, deve essere nell'account di gestione.
# Connect Active Directory e specifica un utente
Se utilizzi già Active Directory, i seguenti argomenti ti aiuteranno a prepararti a connettere la tua directory a IAM Identity Center.
Puoi connettere una AWS Managed Microsoft AD directory o una directory autogestita in Active Directory con IAM Identity Center.
**Nota**
IAM Identity Center non supporta Simple AD SAMBA4 basato su sistema Simple AD come fonte di identità.
**AWS Managed Microsoft AD**
1. Consulta le linee guida contenute in[Microsoft ADelenco](manage-your-identity-source-ad.md).
1. Segui la procedura riportata in [Connect una directory AWS Managed Microsoft AD a IAM Identity Center](connectawsad.md).
1. Configura Active Directory per sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center. Per ulteriori informazioni, consulta [Sincronizza un utente amministrativo in IAM Identity Center](#sync-admin-user-from-ad).
**Directory gestita automaticamente in Active Directory**
1. Consulta le linee guida contenute in[Microsoft ADelenco](manage-your-identity-source-ad.md).
1. Segui la procedura riportata in [Connect una directory autogestita in Active Directory a IAM Identity Center](connectonpremad.md).
1. Configura Active Directory per sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center. Per ulteriori informazioni, consulta [Sincronizza un utente amministrativo in IAM Identity Center](#sync-admin-user-from-ad).
**IdP esterno**
1. Consulta la guida in[Provider di identità esterni](manage-your-identity-source-idp.md).
1. Segui la procedura riportata in [Come connettersi a un provider di identità esterno](how-to-connect-idp.md).
1.
Configura il tuo IdP per fornire agli utenti IAM Identity Center.
**Nota**
Prima di configurare il provisioning automatico e basato su gruppi di tutte le identità della tua forza lavoro dal tuo IdP a IAM Identity Center, ti consigliamo di sincronizzare l'unico utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center.
## Sincronizza un utente amministrativo in IAM Identity Center
Dopo aver collegato Active Directory a IAM Identity Center, puoi specificare un utente a cui concedere le autorizzazioni amministrative e quindi sincronizzare quell'utente dalla tua directory in IAM Identity Center.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci** sincronizzazione.
1. Nella pagina **Gestisci sincronizzazione**, scegli la scheda **Utenti**, quindi scegli **Aggiungi utenti e gruppi**.
1. Nella scheda **Utenti**, in **Utente**, inserisci il nome utente esatto e scegli **Aggiungi**.
1. In **Utenti e gruppi aggiunti**, procedi come segue:
1. Conferma che l'utente a cui desideri concedere le autorizzazioni amministrative sia specificato.
1. Seleziona la casella di controllo a sinistra del nome utente.
1. Seleziona **Invia**.
1. Nella pagina **Gestisci sincronizzazione**, l'utente specificato viene visualizzato nell'elenco degli ambiti **Utenti sincronizzati**.
1. Nel pannello di navigazione, seleziona **Utenti**.
1. Nella pagina **Utenti**, potrebbe essere necessario del tempo prima che l'utente specificato compaia nell'elenco. Scegli l'icona di aggiornamento per aggiornare l'elenco degli utenti.
A questo punto, l'utente non ha accesso all'account di gestione. Configurerai l'accesso amministrativo a questo account creando un set di autorizzazioni amministrative e assegnando l'utente a tale set di autorizzazioni. Per ulteriori informazioni, consulta [Creare un set di autorizzazioni](howtocreatepermissionset.md).
## Eseguire il provisioning quando gli utenti provengono da Active Directory
IAM Identity Center utilizza la connessione fornita da Directory Service per sincronizzare le informazioni su utenti, gruppi e appartenenze dalla directory di origine in Active Directory all'archivio di identità di IAM Identity Center. Nessuna informazione sulla password viene sincronizzata con IAM Identity Center, poiché l'autenticazione dell'utente avviene direttamente dalla directory di origine in Active Directory. Questi dati di identità vengono utilizzati dalle applicazioni per facilitare gli scenari di ricerca, autorizzazione e collaborazione in-app senza trasferire l'attività LDAP alla directory di origine in Active Directory.
Per ulteriori informazioni sul provisioning, vedere. [Assegnazione di ruoli a utenti e gruppi](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [Considerazioni sull'utilizzo di Active Directory](#considerations-ad-identitysource)
+ [Connect Active Directory e specifica un utente](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Eseguire il provisioning quando gli utenti provengono da Active Directory](#provision-users-from-ad)
+ [Connect una directory AWS Managed Microsoft AD a IAM Identity Center](connectawsad.md)
+ [Connect una directory autogestita in Active Directory a IAM Identity Center](connectonpremad.md)
+ [Mappature degli attributi tra IAM Identity Center e la directory External Identity Provider](attributemappingsconcept.md)
+ [Sincronizzazione AD configurabile con IAM Identity Center](provision-users-from-ad-configurable-ADsync.md)
# Connect una directory AWS Managed Microsoft AD a IAM Identity Center
Utilizza la seguente procedura per connettere una directory AWS Managed Microsoft AD gestita da AWS Directory Service a IAM Identity Center.
**Per connettersi AWS Managed Microsoft AD a IAM Identity Center**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
**Nota**
Assicurati che la console IAM Identity Center utilizzi una delle regioni in cui si trova la tua AWS Managed Microsoft AD directory prima di passare alla fase successiva.
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, quindi scegli **Azioni > Modifica l'origine dell'identità**.
1. In **Scegli l'origine dell'identità**, seleziona **Active Directory**, quindi scegli **Avanti**.
1. In **Connect active directory**, scegli una directory AWS Managed Microsoft AD dall'elenco, quindi scegli **Avanti**.
1. In **Conferma modifica**, rivedi le informazioni e, quando sei pronto, digita **ACCETTA**, quindi scegli **Cambia origine identità**.
**Importante**
Per specificare un utente in Active Directory come utente amministrativo in IAM Identity Center, devi prima sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative da Active Directory in IAM Identity Center. A tale scopo, segui la procedura in [Sincronizza un utente amministrativo in IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
# Connect una directory autogestita in Active Directory a IAM Identity Center
Gli utenti della directory autogestita in Active Directory (AD) possono inoltre disporre dell'accesso Single Sign-On alle applicazioni Account AWS e al portale di accesso. AWS Per configurare l'accesso Single Sign-on per questi utenti, puoi effettuare una delle seguenti operazioni:
+ **Crea una relazione di trust bidirezionale**: quando vengono create relazioni di trust bidirezionale tra AWS Managed Microsoft AD e una directory autogestita in AD, gli utenti della directory autogestita in AD possono accedere con le proprie credenziali aziendali a vari servizi e applicazioni aziendali. AWS I trust unidirezionali non funzionano con IAM Identity Center.
AWS IAM Identity Center richiede un trust bidirezionale in modo da disporre delle autorizzazioni per leggere le informazioni su utenti e gruppi dal dominio per sincronizzare i metadati di utenti e gruppi. IAM Identity Center utilizza questi metadati per assegnare l'accesso a set di autorizzazioni o applicazioni. I metadati di utenti e gruppi vengono utilizzati anche dalle applicazioni per la collaborazione, ad esempio quando condividi una dashboard con un altro utente o gruppo. L'attribuzione di fiducia Directory Service per Microsoft Active Directory al tuo dominio consente a IAM Identity Center di affidare il tuo dominio per l'autenticazione. La fiducia nella direzione opposta concede le AWS autorizzazioni per leggere i metadati di utenti e gruppi.
*Per ulteriori informazioni sulla configurazione di un trust bidirezionale, vedere [Quando creare una relazione di trust](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) nella Guida all'amministrazione.AWS Directory Service *
**Nota**
Per poter utilizzare AWS applicazioni, come IAM Identity Center per leggere gli utenti delle Directory Service directory dai domini affidabili, gli Directory Service account richiedono le autorizzazioni per l' userAccountControlattributo sugli utenti affidabili. Senza i permessi di lettura per questo attributo, AWS le applicazioni non sono in grado di determinare se l'account è abilitato o disabilitato.
L'accesso in lettura a questo attributo viene fornito per impostazione predefinita quando viene creato un trust. Se neghi l'accesso a questo attributo (scelta non consigliata), impedirai ad applicazioni come Identity Center di leggere utenti affidabili. La soluzione consiste nel consentire specificamente l'accesso in lettura all'`userAccountControl`attributo sugli account di AWS servizio nell'unità organizzativa AWS riservata (con il prefisso AWS\$1).
+ **Crea un connettore AD**: AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory al tuo AD autogestito senza memorizzare nella cache alcuna informazione nel cloud. Per ulteriori informazioni, vedere [Connect to a Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) nella *AWS Directory Service Administration Guide*. Di seguito sono riportate le considerazioni relative all'utilizzo di AD Connector:
+ Se stai connettendo IAM Identity Center a una directory AD Connector, eventuali future reimpostazioni delle password utente devono essere eseguite dall'interno di AD. Ciò significa che gli utenti non saranno in grado di reimpostare le proprie password dal portale di AWS accesso.
+ Se utilizzi AD Connector per connettere il tuo servizio di dominio Active Directory a IAM Identity Center, IAM Identity Center ha accesso solo agli utenti e ai gruppi del singolo dominio a cui si collega AD Connector. Se devi supportare più domini o foreste, usalo Directory Service per Microsoft Active Directory.
**Nota**
IAM Identity Center non funziona con le directory Simple AD SAMBA4 basate su Simple AD.
# Mappature degli attributi tra IAM Identity Center e la directory External Identity Provider
Le mappature degli attributi vengono utilizzate per mappare i tipi di attributi esistenti in IAM Identity Center con attributi simili nella fonte di identità esterna, ad Google Workspace esempio, e. Microsoft Active Directory (AD) Okta IAM Identity Center recupera gli attributi utente dalla fonte di identità e li mappa agli attributi utente di IAM Identity Center.
Se il tuo IAM Identity Center è sincronizzato per utilizzare un **provider di identità (IdP) esterno**, ad Google Workspace esempioOkta, Ping o come fonte di identità, dovrai mappare i tuoi attributi nel tuo IdP.
IAM Identity Center inserisce automaticamente un set di attributi nella scheda **Mappature degli attributi** che si trova nella pagina di configurazione. IAM Identity Center utilizza questi attributi utente per compilare le asserzioni SAML (come attributi SAML) che vengono inviate all'applicazione. Questi attributi utente vengono a loro volta recuperati dalla fonte dell'identità. Ogni applicazione determina l'elenco degli attributi SAML 2.0 necessari per il single sign-on di successo. Per ulteriori informazioni, consulta [Mappa gli attributi dell'applicazione agli attributi di IAM Identity Center](mapawsssoattributestoapp.md).
IAM Identity Center gestisce anche un set di attributi per te nella sezione **Mappature degli** attributi della **pagina di configurazione di Active Directory** se utilizzi Active Directory come fonte di identità. Per ulteriori informazioni, consulta [Mappatura degli attributi utente tra IAM Identity Center e la directory Microsoft AD](mapssoattributestocdattributes.md).
## Attributi del provider di identità esterno supportati
La tabella seguente elenca tutti gli attributi del provider di identità esterno (IdP) supportati e può essere mappata agli attributi che è possibile utilizzare durante la configurazione [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) in IAM Identity Center. Quando usi le asserzioni SAML, puoi utilizzare qualsiasi attributo supportato dal tuo IdP.
****
| Attributi supportati nel tuo IdP |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## Mappature predefinite tra IAM Identity Center e Microsoft AD
La tabella seguente elenca le mappature predefinite degli attributi utente in IAM Identity Center con gli attributi utente nella directory. Microsoft AD IAM Identity Center supporta solo l'elenco degli attributi nell'**attributo User nella colonna IAM Identity Center**.
****
| Attributo utente in IAM Identity Center | Esegue il mapping a questo attributo in Active Directory |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 L'attributo email in IAM Identity Center deve essere univoco all'interno della directory.
****
| Attributo di gruppo in IAM Identity Center | Esegue il mapping a questo attributo in Active Directory |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**Considerazioni**
+ Se non hai assegnazioni per utenti e gruppi in IAM Identity Center quando abiliti la sincronizzazione AD configurabile, vengono utilizzate le mappature predefinite nelle tabelle precedenti. Per informazioni su come personalizzare queste mappature, consulta. [Configura le mappature degli attributi per la sincronizzazione](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ Alcuni attributi di IAM Identity Center non possono essere modificati perché sono immutabili e mappati per impostazione predefinita su attributi di directory Microsoft AD specifici.
Ad esempio, «username» è un attributo obbligatorio in IAM Identity Center. Se mappi «username» a un attributo di directory AD con un valore vuoto, IAM Identity Center considererà il `windowsUpn` valore come valore predefinito per «username». Se desideri modificare la mappatura degli attributi per «username» rispetto alla mappatura attuale, conferma che i flussi di IAM Identity Center con dipendenza da «username» continueranno a funzionare come previsto, prima di apportare la modifica.
## Microsoft ADAttributi supportati per IAM Identity Center
La tabella seguente elenca tutti gli attributi di Microsoft AD directory supportati e che possono essere mappati agli attributi utente in IAM Identity Center.
****
| Attributi supportati nella directory Microsoft AD |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**Considerazioni**
+ È possibile specificare qualsiasi combinazione di attributi di Microsoft AD directory supportati da mappare a un singolo attributo mutabile in IAM Identity Center.
## Attributi IAM Identity Center supportati per Microsoft AD
La tabella seguente elenca tutti gli attributi di IAM Identity Center supportati e che possono essere mappati agli attributi utente nella Microsoft AD directory. Dopo aver impostato le mappature degli attributi dell'applicazione, puoi utilizzare gli stessi attributi di IAM Identity Center per mappare gli attributi effettivi utilizzati da quell'applicazione.
****
| Attributi supportati in IAM Identity Center for Active Directory |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# Mappatura degli attributi utente tra IAM Identity Center e la directory Microsoft AD
Puoi utilizzare la seguente procedura per specificare in che modo gli attributi utente in IAM Identity Center devono essere mappati agli attributi corrispondenti nella tua Microsoft AD directory.
**Per mappare gli attributi in IAM Identity Center agli attributi nella tua directory**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Attributi per il controllo degli accessi**, quindi scegli **Gestisci attributi**.
1. Nella pagina **Gestisci l'attributo per il controllo degli accessi**, trova l'attributo in IAM Identity Center che desideri mappare, quindi digita un valore nella casella di testo. Ad esempio, potresti voler mappare l'attributo utente di IAM Identity Center **`email`**all'attributo di directory Microsoft AD **`${mail}`**.
1. Scegli **Save changes** (Salva modifiche).
# Sincronizzazione AD configurabile con IAM Identity Center
La sincronizzazione con Active Directory (AD) configurabile con IAM Identity Center consente di configurare in modo esplicito le identità in Microsoft Active Directory che vengono sincronizzate automaticamente in IAM Identity Center e di controllare il processo di sincronizzazione.
+ Con questo metodo di sincronizzazione, puoi fare quanto segue:
+ Controlla i limiti dei dati definendo in modo esplicito gli utenti e i gruppi in Microsoft Active Directory che vengono sincronizzati automaticamente in IAM Identity Center. Puoi [aggiungere utenti e gruppi](manage-sync-add-users-groups-configurable-ADsync.md) o [rimuovere utenti e gruppi](manage-sync-remove-users-groups-configurable-ADsync.md) per modificare l'ambito della sincronizzazione in qualsiasi momento.
+ [Assegna a utenti e gruppi sincronizzati l'accesso Single Sign-On alle applicazioni Account AWS o [l'accesso alle applicazioni](useraccess.md).](assignuserstoapp.md) Le applicazioni possono essere applicazioni gestite o applicazioni AWS gestite dal cliente.
+ Controlla il processo di sincronizzazione [mettendo in pausa e riprendendo la](manage-sync-pause-resume-sync-configurable-ADsync.md) sincronizzazione secondo necessità. Questo ti aiuta a regolare il carico sui sistemi di produzione.
## Prerequisiti e considerazioni
Prima di utilizzare la sincronizzazione AD configurabile, tenete presente i seguenti prerequisiti e considerazioni:
+ **Specificare utenti e gruppi in Active Directory da sincronizzare**
Prima di poter utilizzare IAM Identity Center per assegnare a nuovi utenti e gruppi l'accesso alle Account AWS applicazioni gestite o alle applicazioni AWS gestite dai clienti, è necessario specificare gli utenti e i gruppi in Active Directory da sincronizzare e quindi sincronizzarli in IAM Identity Center.
+ **Sincronizzazione AD configurabile**: IAM Identity Center non cerca direttamente utenti e gruppi nel controller di dominio. Invece, devi prima specificare l'elenco di utenti e gruppi da sincronizzare. Puoi configurare questo elenco, noto anche come *ambito di sincronizzazione*, in uno dei seguenti modi, a seconda che tu abbia utenti e gruppi già sincronizzati in IAM Identity Center o che tu abbia nuovi utenti e gruppi che sincronizzi per la prima volta utilizzando la sincronizzazione AD configurabile.
+ Utenti e gruppi esistenti: se hai utenti e gruppi già sincronizzati in IAM Identity Center, l'ambito di sincronizzazione nella sincronizzazione AD configurabile è precompilato con un elenco di tali utenti e gruppi. Per assegnare nuovi utenti o gruppi, devi aggiungerli specificamente all'ambito di sincronizzazione. Per ulteriori informazioni, consulta [Aggiungi utenti e gruppi all'ambito di sincronizzazione](manage-sync-add-users-groups-configurable-ADsync.md).
+ Nuovi utenti e gruppi: se desideri assegnare a nuovi utenti e gruppi l'accesso alle Account AWS e alle applicazioni, devi specificare quali utenti e gruppi aggiungere all'ambito di sincronizzazione nella sincronizzazione configurabile di AD prima di poter utilizzare IAM Identity Center per effettuare l'assegnazione. Per ulteriori informazioni, consulta [Aggiungi utenti e gruppi all'ambito di sincronizzazione](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Assegnazione di assegnazioni a gruppi annidati in Active Directory**
I gruppi che sono membri di altri gruppi sono chiamati gruppi *nidificati (o gruppi* secondari).
+ **Sincronizzazione AD configurabile**: l'utilizzo della sincronizzazione AD configurabile per assegnare assegnazioni a un gruppo in Active Directory che contiene gruppi nidificati potrebbe aumentare il numero di utenti che hanno accesso alle o alle applicazioni. Account AWS In questo caso, l'assegnazione si applica a tutti gli utenti, inclusi quelli dei gruppi nidificati. Ad esempio, se si assegna l'accesso al Gruppo A e il Gruppo B è membro del Gruppo A, anche i membri del Gruppo B ereditano questo accesso.
+ **Aggiornamento dei flussi di lavoro automatizzati**
Se disponi di flussi di lavoro automatizzati che utilizzano le azioni API IAM Identity Store e le azioni API di assegnazione di IAM Identity Center per assegnare a nuovi utenti e gruppi l'accesso agli account e alle applicazioni e per sincronizzarli con IAM Identity Center, devi modificare tali flussi di lavoro entro il 15 aprile 2022 in modo che funzionino come previsto con la sincronizzazione AD configurabile. La sincronizzazione AD configurabile modifica l'ordine in cui avvengono l'assegnazione e il provisioning di utenti e gruppi e il modo in cui vengono eseguite le query.
+ **Sincronizzazione AD configurabile**: il provisioning avviene per primo e non viene eseguito automaticamente. È invece necessario innanzitutto aggiungere in modo esplicito utenti e gruppi all'archivio di identità aggiungendoli all'ambito di sincronizzazione. Per informazioni sui passaggi consigliati per automatizzare la configurazione di sincronizzazione per la sincronizzazione AD configurabile, consulta. [Automatizza la configurazione di sincronizzazione per una sincronizzazione AD configurabile](automate-sync-configuration-configurable-ADsync.md)
**Topics**
+ [Prerequisiti e considerazioni](#prerequisites-configurable-ADsync)
+ [Come funziona la sincronizzazione AD configurabile](how-it-works-configurable-ADsync.md)
+ [Configura le mappature degli attributi per la sincronizzazione](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Configurazione di sincronizzazione da Active Directory a IAM Identity Center per la prima volta](manage-sync-configurable-ADsync.md)
+ [Aggiungi utenti e gruppi all'ambito di sincronizzazione](manage-sync-add-users-groups-configurable-ADsync.md)
+ [Rimuovi utenti e gruppi dall'ambito di sincronizzazione](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [Metti in pausa e riprendi la sincronizzazione](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [Automatizza la configurazione di sincronizzazione per una sincronizzazione AD configurabile](automate-sync-configuration-configurable-ADsync.md)
# Come funziona la sincronizzazione AD configurabile
IAM Identity Center aggiorna i dati di identità basati su AD nell'archivio delle identità utilizzando il seguente processo. Per ulteriori informazioni sui prerequisiti, consulta. [Prerequisiti e considerazioni](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)
## Creazione
Dopo aver collegato la directory autogestita in Active Directory o la AWS Managed Microsoft AD directory gestita da Directory Service a IAM Identity Center, puoi configurare in modo esplicito gli utenti e i gruppi di Active Directory che desideri sincronizzare nell'archivio di identità di IAM Identity Center. Le identità scelte verranno sincronizzate ogni tre ore circa nell'archivio di identità di IAM Identity Center. A seconda delle dimensioni della directory, il processo di sincronizzazione potrebbe richiedere più tempo.
Anche i gruppi che sono membri di altri gruppi (*denominati gruppi annidati* o *gruppi secondari*) vengono scritti nell'archivio di identità.
Puoi assegnare l'accesso a nuovi utenti o gruppi solo dopo che sono stati sincronizzati nell'archivio di identità di IAM Identity Center.
## Aggiorna
I dati di identità nell'archivio di identità di IAM Identity Center rimangono aggiornati leggendo periodicamente i dati dalla directory di origine in Active Directory. Per impostazione predefinita, IAM Identity Center sincronizza i dati da Active Directory ogni ora in un ciclo di sincronizzazione. La sincronizzazione dei dati con IAM Identity Center può richiedere da 30 minuti a 2 ore, in base alle dimensioni di Active Directory.
Gli oggetti utente e di gruppo inclusi nell'ambito di sincronizzazione e le relative appartenenze vengono creati o aggiornati in IAM Identity Center per essere mappati agli oggetti corrispondenti nella directory di origine in Active Directory. Per gli attributi utente, solo il sottoinsieme di attributi elencati nella sezione **Attributi per il controllo degli accessi** della console IAM Identity Center viene aggiornato in IAM Identity Center. Potrebbe essere necessario un ciclo di sincronizzazione affinché tutti gli aggiornamenti degli attributi apportati in Active Directory si riflettano in IAM Identity Center.
Puoi anche aggiornare il sottoinsieme di utenti e gruppi che sincronizzi nell'archivio di identità di IAM Identity Center. Puoi scegliere di aggiungere nuovi utenti o gruppi a questo sottoinsieme o rimuoverli. Tutte le identità aggiunte vengono sincronizzate alla successiva sincronizzazione pianificata. Le identità rimosse dal sottoinsieme smetteranno di essere aggiornate nell'archivio di identità di IAM Identity Center. Qualsiasi utente che non è sincronizzato per più di 28 giorni verrà disabilitato nell'archivio di identità di IAM Identity Center. Gli oggetti utente corrispondenti verranno automaticamente disabilitati nell'archivio di identità di IAM Identity Center durante il ciclo di sincronizzazione successivo, a meno che non facciano parte di un altro gruppo che fa ancora parte dell'ambito di sincronizzazione.
## Eliminazione
Gli utenti e i gruppi vengono eliminati dall'archivio di identità di IAM Identity Center quando gli oggetti utente o gruppo corrispondenti vengono eliminati dalla directory di origine in Active Directory. In alternativa, puoi eliminare in modo esplicito gli oggetti utente dall'archivio di identità IAM Identity Center utilizzando la console IAM Identity Center. Se utilizzi la console IAM Identity Center, devi anche rimuovere gli utenti dall'ambito di sincronizzazione per garantire che non vengano risincronizzati con IAM Identity Center durante il ciclo di sincronizzazione successivo.
Puoi anche mettere in pausa e riavviare la sincronizzazione in qualsiasi momento. Se sospendi la sincronizzazione per più di 28 giorni, tutti gli utenti verranno disabilitati.
# Configura le mappature degli attributi per la sincronizzazione
Per ulteriori informazioni sugli attributi disponibili, vedere. [Mappature degli attributi tra IAM Identity Center e la directory External Identity Provider](attributemappingsconcept.md)
**Per configurare le mappature degli attributi in IAM Identity Center nella tua directory**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Identity source**, scegli **Azioni**, quindi scegli **Manage** Sync.
1. In **Gestisci sincronizzazione**, scegli **Visualizza mappatura degli attributi**.
1. In **Attributi utente di Active Directory, configura gli attributi** dell'**archivio di identità di IAM Identity Center e gli attributi** **utente di Active Directory**. Ad esempio, potresti voler mappare l'attributo Identity Store di identità di IAM Identity Center `email` all'attributo della directory utente di Active Directory`${objectguid}`.
**Nota**
In Attributi di **gruppo, gli attributi** **dell'archivio di identità di IAM Identity Center e gli attributi** **del gruppo Active Directory** non possono essere modificati.
1. Scegli **Save changes** (Salva modifiche). Questo riporta alla pagina **Manage Sync**.
# Configurazione di sincronizzazione da Active Directory a IAM Identity Center per la prima volta
Se sincronizzi utenti e gruppi da Active Directory a IAM Identity Center per la prima volta, segui questi passaggi. In alternativa, puoi seguire i passaggi descritti in [Cambia la fonte della tua identità](manage-your-identity-source-change.md) per modificare la fonte dell'identità da IAM Identity Center ad Active Directory.
## Configurazione guidata
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
**Nota**
Assicurati che la console IAM Identity Center utilizzi una delle directory Regioni AWS in cui si trova la tua AWS Managed Microsoft AD directory prima di passare alla fase successiva.
1. Seleziona **Impostazioni**.
1. Nella parte superiore della pagina, nel messaggio di notifica, scegli **Avvia configurazione guidata**.
1. Nel **passaggio 1, *facoltativo*: configura le mappature degli attributi, esamina le mappature** degli attributi di utenti e gruppi predefinite. **Se non sono necessarie modifiche, scegli Avanti.** Se sono necessarie modifiche, apporta le modifiche e quindi scegli **Salva modifiche**.
1. Nel **passaggio 2, *facoltativo*: configura l'ambito di sincronizzazione**, scegli la scheda **Utenti**. Quindi, inserisci il nome utente esatto dell'utente che desideri aggiungere all'ambito di sincronizzazione e scegli **Aggiungi**. Quindi, scegli la scheda **Gruppi**. Inserisci il nome esatto del gruppo che desideri aggiungere all'ambito di sincronizzazione e scegli **Aggiungi**. Quindi, seleziona **Successivo**. Se desideri aggiungere utenti e gruppi all'ambito di sincronizzazione in un secondo momento, non apportare modifiche e scegli **Avanti**.
1. Nel **Passaggio 3: Rivedi e salva la configurazione**, conferma le **mappature degli attributi nel Passaggio 1: Mappature** **degli attributi e gli Utenti e i** **gruppi** nel **Passaggio 2**: Sincronizzazione dell'ambito. Seleziona **Save configuration** (Salva configurazione). **Verrà visualizzata la pagina Gestisci sincronizzazione.**
# Aggiungi utenti e gruppi all'ambito di sincronizzazione
**Nota**
Quando aggiungi gruppi all'ambito di sincronizzazione, sincronizza i gruppi direttamente dal dominio locale affidabile anziché dai gruppi del AWS Managed Microsoft AD dominio. I gruppi sincronizzati direttamente dal dominio affidabile contengono oggetti utente effettivi a cui IAM Identity Center può accedere e sincronizzare correttamente.
Aggiungi gli utenti e i gruppi di Active Directory a IAM Identity Center seguendo questi passaggi.
**Come aggiungere utenti**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione**.
1. Nella pagina **Gestisci sincronizzazione**, scegli la scheda **Utenti**, quindi scegli **Aggiungi utenti e gruppi**.
1. Nella scheda **Utenti**, in **Utente**, inserisci il nome utente esatto e scegli **Aggiungi**.
1. In **Utenti e gruppi aggiunti**, controlla l'utente che desideri aggiungere.
1. Seleziona **Invia**.
1. Nel pannello di navigazione, seleziona **Utenti**. Se l'utente specificato non viene visualizzato nell'elenco, scegli l'icona di aggiornamento per aggiornare l'elenco degli utenti.
**Per aggiungere gruppi**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione**.
1. Nella pagina **Gestisci sincronizzazione**, scegli la scheda **Gruppi**, quindi scegli **Aggiungi utenti e gruppi**.
1. Scegliere la scheda **Groups (Gruppi)**. In **Gruppo**, inserisci il nome esatto del gruppo e scegli **Aggiungi**.
1. In **Utenti e gruppi aggiunti**, controlla il gruppo che desideri aggiungere.
1. Seleziona **Invia**.
1. Nel riquadro di navigazione, selezionare **Groups (Gruppi )**. Se il gruppo specificato non viene visualizzato nell'elenco, scegli l'icona di aggiornamento per aggiornare l'elenco dei gruppi.
# Rimuovi utenti e gruppi dall'ambito di sincronizzazione
Per ulteriori informazioni su cosa succede quando rimuovi utenti e gruppi dall'ambito di sincronizzazione, consulta[Come funziona la sincronizzazione AD configurabile](how-it-works-configurable-ADsync.md).
**Per rimuovere utenti**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione**.
1. Scegli la scheda **Users** (Utenti);
1. **In Utenti nell'ambito di sincronizzazione**, seleziona la casella di controllo accanto all'utente che desideri eliminare. Per eliminare tutti gli utenti, seleziona la casella di controllo accanto a **Nome utente**.
1. Scegli **Rimuovi**.
**Per rimuovere gruppi**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione**.
1. Scegliere la scheda **Groups (Gruppi)**.
1. **In Gruppi nell'ambito di sincronizzazione**, seleziona la casella di controllo accanto all'utente che desideri eliminare. Per eliminare tutti i gruppi, seleziona la casella di controllo accanto al **nome del gruppo**.
1. Scegli **Rimuovi**.
# Metti in pausa e riprendi la sincronizzazione
La sospensione della sincronizzazione sospende tutti i cicli di sincronizzazione futuri e impedisce che le modifiche apportate a utenti e gruppi in Active Directory si riflettano in IAM Identity Center. Dopo aver ripreso la sincronizzazione, il ciclo di sincronizzazione riprende queste modifiche dalla successiva sincronizzazione pianificata.
**Per mettere in pausa la sincronizzazione**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione**.
1. In **Gestisci sincronizzazione**, scegli **Metti in pausa la sincronizzazione**.
**Per riprendere la sincronizzazione**
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci sincronizzazione**.
1. In **Gestisci sincronizzazione**, scegli **Riprendi sincronizzazione**.
**Nota**
Se vedi **Sospendi la sincronizzazione** anziché **Riprendi la sincronizzazione, la sincronizzazione** da Active Directory a IAM Identity Center è già stata ripresa.
# Automatizza la configurazione di sincronizzazione per una sincronizzazione AD configurabile
Per garantire che il flusso di lavoro automatizzato funzioni come previsto con la sincronizzazione AD configurabile, ti consigliamo di eseguire i seguenti passaggi per automatizzare la configurazione di sincronizzazione.
**Per automatizzare la configurazione di sincronizzazione per la sincronizzazione AD configurabile**
1. In Active Directory, crea un *gruppo di sincronizzazione principale* che contenga tutti gli utenti e i gruppi che desideri sincronizzare con IAM Identity Center. Ad esempio, puoi assegnare un nome al gruppo *IAMIdentityCenterAllUsersAndGroups*.
1. In IAM Identity Center, aggiungi il gruppo di sincronizzazione principale all'elenco di sincronizzazione configurabile. IAM Identity Center sincronizzerà tutti gli utenti, i gruppi, i sottogruppi e i membri di tutti i gruppi contenuti nel gruppo di sincronizzazione principale.
1. Utilizza le azioni dell'API di gestione di utenti e gruppi di Active Directory fornite da Microsoft per aggiungere o rimuovere utenti e gruppi dal gruppo di sincronizzazione principale.