As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o acesso a aplicações
Com Centro de Identidade do AWS IAM, você pode controlar quem pode ter acesso com login único aos seus aplicativos. Os usuários obtêm facilmente acesso a essas aplicações depois que usam suas credenciais de diretório para fazer login.
O IAM Identity Center comunica-se com segurança com essas aplicações por meio de uma relação de confiança entre o IAM Identity Center e o provedor de serviços da aplicação. Essa confiança pode ser criada de maneiras diferentes, dependendo do tipo de aplicação.
O IAM Identity Center oferece suporte a dois tipos de aplicativos: [aplicativos AWS gerenciados e aplicativos](awsapps.md) [gerenciados pelo cliente](customermanagedapps.md). AWS os aplicativos gerenciados são configurados diretamente dos consoles de aplicativos relevantes ou por meio do aplicativo APIs. As aplicações gerenciadas pelo cliente devem ser adicionadas ao IAM Identity Center e configuradas com os metadados apropriados tanto para o IAM Identity Center quanto para o provedor de serviços.
Depois de configurar as aplicações para que funcionem com o IAM Identity Center, você pode gerenciar quais usuários ou grupos têm acesso a elas. Por padrão, nenhum usuário é atribuído às aplicações.
Você também pode conceder aos seus funcionários acesso Console de gerenciamento da AWS ao formulário específico Conta da AWS em sua organização. Para obter mais informações, consulte [Configurar o acesso a Contas da AWS](manage-your-accounts.md).
**Topics**
+ [AWS aplicativos gerenciados](awsapps.md)
+ [Aplicações gerenciadas pelo cliente](customermanagedapps.md)
+ [Visão geral da propagação de identidades confiáveis](trustedidentitypropagation-overview.md)
+ [Configurando seu próprio aplicativo OAuth 2.0](trustedidentitypropagation-using-customermanagedapps-setup.md)
+ [Fazer o rodízio de certificados do IAM Identity Center](managecerts.md)
+ [Compreender as propriedades da aplicação no console do IAM Identity Center](appproperties.md)
+ [Atribuir acesso de usuário às aplicações no console do IAM Identity Center](assignuserstoapp.md)
+ [Remover o acesso dos usuários a aplicações SAML 2.0](removeaccessfromapp.md)
+ [Mapear atributos em sua aplicação para atributos do IAM Identity Center](mapawsssoattributestoapp.md)
# AWS aplicativos gerenciados
Centro de Identidade do AWS IAM agiliza e simplifica a tarefa de conectar os usuários da sua força de trabalho a aplicativos AWS gerenciados, como o Kiro e o Amazon Quick. Com o IAM Identity Center, você pode conectar seu provedor de identidades existente uma vez e sincronizar usuários e grupos do seu diretório, ou criar e gerenciar os usuários diretamente no IAM Identity Center. Fornecendo um único ponto de federação, o IAM Identity Center elimina a necessidade de configurar a federação ou a sincronização de usuários e grupos para cada aplicação, e reduz seu esforço administrativo. Você também tem uma [visão comum das tarefas dos usuários e grupos](howtoviewandchangepermissionset.md).
Para obter uma tabela de AWS aplicativos que funcionam com o IAM Identity Center, consulte[AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).
## Controle do acesso a aplicativos AWS gerenciados
O acesso aos aplicativos AWS gerenciados é controlado de duas maneiras:
+ **Entrada inicial na aplicação**
O IAM Identity Center gerencia isso por meio de atribuições à aplicação. Por padrão, as atribuições são necessárias para aplicativos AWS gerenciados. O administrador da aplicação pode escolher se deseja exigir atribuições a uma aplicação.
Se forem necessárias atribuições, quando os usuários fizerem login no portal de acesso Portal de acesso da AWS, apenas os usuários atribuídos à aplicação diretamente ou por meio de uma atribuição de grupo poderão visualizar o bloco da aplicação.
Se atribuições não forem necessárias, você poderá permitir que todos os usuários do IAM Identity Center façam login na aplicação. Nesse caso, a aplicação gerencia o acesso aos recursos, e o bloco da aplicação fica visível para todos os usuários que visitam o portal de acesso Portal de acesso da AWS.
**Importante**
Se você for administrador do IAM Identity Center, poderá usar o console do IAM Identity Center para remover atribuições aos aplicativos AWS gerenciados. Antes de remover as atribuições, recomendamos que você coordene com o administrador da aplicação. Você também deverá coordenar com o administrador da aplicação se planejar modificar a configuração que determina se as atribuições são exigidas ou automatizar as atribuições da aplicação.
+ **Acesso aos recursos da aplicação**
A aplicação gerencia isso por meio de atribuições de atribuições de recursos independentes que ela controla.
AWS os aplicativos gerenciados fornecem uma interface de usuário administrativa que você pode usar para gerenciar o acesso aos recursos do aplicativo. Por exemplo, os administradores do Quick podem designar usuários para acessar painéis com base na associação ao grupo. A maioria dos aplicativos AWS gerenciados também fornece uma Console de gerenciamento da AWS experiência que permite atribuir usuários ao aplicativo. A experiência do console para essas aplicações pode integrar ambas as funções, para combinar os recursos de atribuição de usuários com a capacidade de gerenciar o acesso aos recursos das aplicações.
## Compartilhamento de informações de identidade
### Considerações sobre o compartilhamento de informações de identidade no Contas da AWS
O IAM Identity Center é compatível com os atributos mais usados em todos as aplicações. Esses atributos incluem nome e sobrenome, número de telefone, endereço de e-mail, endereço e idioma preferido. Considere cuidadosamente quais aplicações e quais contas podem usar essas informações de identificação pessoal.
Você pode controlar o acesso a essas informações de uma dessas duas maneiras:
+ Você pode optar por ativar o acesso somente na conta AWS Organizations de gerenciamento ou em todas as contas em AWS Organizations.
+ Como alternativa, você pode usar políticas de controle de serviço (SCPs) para controlar quais aplicativos podem acessar as informações em quais contas estão AWS Organizations.
Por exemplo, se você ativar o acesso somente na conta AWS Organizations de gerenciamento, os aplicativos nas contas dos membros não terão acesso às informações. No entanto, se você ativar o acesso em todas as contas, poderá usar SCPs para proibir o acesso de todos os aplicativos, exceto aqueles que você deseja permitir.
As políticas de controle de serviços são uma característica do AWS Organizations. Para obter instruções sobre como anexar uma SCP, consulte [Attaching and detaching service control policies](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) no *AWS Organizations User Guide.*
### Configurar o IAM Identity Center para compartilhar informações de identidade
Para habilitar esse recurso, o IAM Identity Center fornece um repositório de identidades que contém os atributos dos usuários e dos grupos, exceto as credenciais de login. Você pode usar qualquer um dos métodos a seguir para manter os usuários e grupos em seu armazenamento de identidades do IAM Identity Center atualizados:
+ Use o armazenamento de identidades do IAM Identity Center como fonte de identidade principal. Se você escolher esse método, gerencie seus usuários, suas credenciais de login e grupos a partir do console do IAM Identity Center ou AWS Command Line Interface ().AWS CLI Para obter mais informações, consulte [Gerenciar usuários no diretório do Identity Center](manage-your-identity-source-sso.md).
+ Configure o provisionamento (sincronização) de usuários e grupos provenientes de uma das seguintes fontes de identidade para seu armazenamento de identidades do IAM Identity Center:
+ **Active Directory**: para obter mais informações, consulte [Diretório Microsoft AD](manage-your-identity-source-ad.md).
+ **Provedor de identidades externo**: para obter mais informações, consulte [Provedores de identidades externos](manage-your-identity-source-idp.md).
Se você escolher esse método de provisionamento, continuará gerenciando os usuários e grupos na fonte de identidades, e essas alterações serão sincronizadas com o repositório de identidades do IAM Identity Center.
Seja qual for a fonte de identidade escolhida, o IAM Identity Center pode compartilhar as informações do usuário e do grupo com aplicativos AWS gerenciados. Assim, você pode conectar uma fonte de identidades ao IAM Identity Center uma vez e depois compartilhar as informações de identidade com várias aplicações na Nuvem AWS. Isso elimina a necessidade de configurar a federação e o provisionamento de identidades com cada aplicação separadamente. Esse atributo de compartilhamento também facilita o acesso dos usuários de sua força de trabalho a muitas aplicações em diferentes Contas da AWS.
## Restringindo o uso de aplicativos AWS gerenciados
Quando você habilita o IAM Identity Center pela primeira vez, ele se torna disponível como uma fonte de identidade para aplicações gerenciadas pela AWS em todas as suas contas no AWS Organizations. Para restringir os aplicativos, você deve implementar políticas de controle de serviço (SCPs). SCPs são um recurso AWS Organizations que você pode usar para controlar centralmente o máximo de permissões que as identidades (usuários e funções) em sua organização podem ter. Você pode usar SCPs para bloquear o acesso às informações de usuários e grupos do IAM Identity Center e impedir que o aplicativo seja iniciado, exceto nas contas designadas. Para obter mais informações, consulte [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do usuário.*
O exemplo de SCP a seguir bloqueia o acesso às informações de usuário e grupo do IAM Identity Center e impede que a aplicação seja iniciado, exceto em contas designadas (111111111111 e 222222222222):
```
{
"Sid": "DenyIdCExceptInDesignatedAWSAccounts",
"Effect": "Deny",
"Action": [
"identitystore:*",
"sso:*",
"sso-directory:*",
"sso-oauth:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
}
}
}
```
# AWS aplicativos gerenciados que você pode usar com o IAM Identity Center
O IAM Identity Center permite que você conecte a fonte de identidade existente ou crie usuários uma vez. Isso permite que os administradores de aplicativos gerenciem o acesso aos seguintes aplicativos AWS gerenciados sem federação separada ou sincronização de usuários e grupos.
Todos os aplicativos AWS gerenciados na tabela a seguir se integram às [instâncias organizacionais do IAM Identity Center](organization-instances-identity-center.md). A tabela também fornece informações sobre o seguinte para um aplicativo AWS gerenciado compatível:
+ Se a aplicação também se integra a uma instância de conta do IAM Identity Center
+ Se a aplicação pode habilitar a propagação de identidade confiável por meio do IAM Identity Center
+ Se a aplicação é compatível com o IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente
+ Se o aplicativo oferece suporte à implantação em regiões adicionais do IAM Identity Center
**nota**
Os aplicativos que oferecem suporte à implantação em regiões adicionais do IAM Identity Center também oferecem suporte ao IAM Identity Center configurado com uma chave KMS gerenciada pelo cliente. Cada aplicativo AWS gerenciado listado aqui oferece suporte à implantação na região principal. Para obter mais informações, consulte [Implantação e gerenciamento de aplicativos AWS gerenciados em vários Regiões da AWS](multi-region-application-use.md#multi-region-aws-managed-applications).
**AWS aplicativos gerenciados que se integram ao IAM Identity Center**
| AWS aplicativo gerenciado | Integradas com uma [instância de conta do IAM Identity Center](account-instances-identity-center.md) | Permite a [propagação de identidades confiáveis](trustedidentitypropagation-overview.md) por meio do IAM Identity Center | Compatível com o IAM Identity Center configurado com uma [chave KMS gerenciada pelo cliente](encryption-at-rest.md) | Oferece suporte à implantação em [regiões adicionais do IAM Identity Center](multi-region-iam-identity-center.md) |
| --- | --- | --- | --- | --- |
| SQL do Amazon Athena | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Recursos do Amazon EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon EMR no EC2 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon EMR no EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon EMR Sem Servidor | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº |
| OpenSearch Serviço Amazon | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| OpenSearch Serviço Amazon Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| banco de dados de origem | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim2 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) |
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) |
| SageMaker Estúdio Amazon | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon SageMaker Unified Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| AWS App Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) |
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº |
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) |
| AWS re:Post Privado | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Cadeia de Suprimentos AWS | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg)Sim - Desktop remoto do Fleet Manager |
| AWS Transfer Family aplicativos da web | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| AWS Transformação | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Acesso Verificado pela AWS | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Nº | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Sim1 | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| Aprovação Multilateral | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/success_icon.svg) Yes (Sim) | ![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/negative_icon.svg) Não |
1 Para o Kiro, as instâncias de conta do IAM Identity Center são suportadas, a menos que seus usuários precisem acessar o conjunto completo de recursos do Kiro nos AWS sites. Para obter mais informações, consulte [Configurando o Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html) no Guia do *usuário do Kiro*.
2 Para o Amazon Redshift, as instâncias de conta do IAM Identity Center são suportadas, exceto para aplicativos como o Query Editor v2, que exigem conjuntos de permissões, que não são compatíveis com instâncias de conta.
**nota**
Alguns AWS serviços, como o Amazon Connect, não AWS Client VPN estão listados nesta tabela, embora você possa usá-los com o IAM Identity Center. Isso ocorre porque eles se integram ao IAM Identity Center usando exclusivamente SAML e, portanto, são categorizados como aplicativos [gerenciados pelo cliente](customermanagedapps.md).
# Início rápido: configuração do IAM Identity Center para testar aplicativos AWS gerenciados
Se seu administrador ainda não tiver fornecido acesso ao IAM Identity Center, você pode usar as etapas deste tópico para configurar o IAM Identity Center para testar aplicativos AWS gerenciados. Você aprenderá como habilitar o IAM Identity Center, criar um usuário diretamente no IAM Identity Center e atribuir esse usuário a um aplicativo AWS gerenciado.
Este tópico fornece etapas de início rápido sobre como habilitar o IAM Identity Center de uma das seguintes formas:
+ **Com AWS Organizations** — Se você escolher essa opção, uma *instância organizacional* do IAM Identity Center será criada.
+ **Somente no seu caso específico Conta da AWS** — Se você escolher essa opção, uma *instância de conta* do IAM Identity Center será criada.
Para obter informações sobre esses tipos de instâncias, consulte [Instâncias de organização e de conta do IAM Identity Center](identity-center-instances.md).
## Pré-requisitos
Antes de habilitar o IAM Identity Center, confirme o seguinte:
+ **Você tem um Conta da AWS** — Se você não tiver um Conta da AWS, consulte [Introdução a um Conta da AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) no *Guia de referência de gerenciamento de AWS contas.*
+ **O aplicativo AWS gerenciado funciona com o IAM Identity Center** — revise a lista [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md) para confirmar se o aplicativo AWS gerenciado que você deseja testar funciona com o IAM Identity Center.
+ **Você analisou as considerações regionais** — Certifique-se de que o aplicativo AWS gerenciado que você deseja testar seja compatível com o local em Região da AWS que você habilita o IAM Identity Center. Para obter mais informações, consulte a documentação da aplicação gerenciada pela AWS .
**nota**
Você deve implantar seu aplicativo AWS gerenciado na mesma região em que planeja ativar o IAM Identity Center.
## Configurar uma instância organizacional do IAM Identity Center para testar aplicativos AWS gerenciados
**nota**
Este tópico descreve como habilitar o IAM Identity Center com AWS Organizations, que é a forma recomendada de habilitar o IAM Identity Center.
**Confirmar as permissões**
Para habilitar o IAM Identity Center com AWS Organizations, você deve entrar no AWS Management Console usando uma das seguintes opções:
+ Um usuário com permissões administrativas na Conta da AWS em que o IAM Identity Center será habilitado com o AWS Organizations.
+ O usuário-raiz (não recomendado, a menos que não existam outros usuários administrativos).
**Importante**
O usuário root tem acesso a todos os AWS serviços e recursos da conta. Como prática recomendada de segurança, a menos que você não tenha outras credenciais, não use as credenciais raiz da sua conta para acessar AWS recursos. Estas credenciais fornecem acesso ilimitado à conta e são difíceis de revogar.
### Etapa 1. Ative o IAM Identity Center com AWS Organizations
1. Realize um dos procedimentos a seguir para fazer login no Console de gerenciamento da AWS.
+ **Novo em AWS (usuário root)** — Faça login como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
+ **Já está usando AWS com uma conta independente Conta da AWS (credenciais do IAM)** — Faça login usando suas credenciais do IAM com permissões administrativas.
1. Na página inicial do AWS Management Console, selecione o serviço IAM Identity Center ou navegue até o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Ativar** e habilite o IAM Identity Center com AWS Organizations. Ao fazer isso, você está criando uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center.
### Etapa 2. Criar um usuário administrativo no IAM Identity Center
Esse procedimento descreve como criar um usuário diretamente no diretório do Identity Center incorporado. Esse diretório não está conectado a outro diretório que o administrador possa usar para gerenciar usuários da força de trabalho. Depois de criar o usuário no IAM Identity Center, você especificará novas credenciais para esse usuário. Ao entrar como esse usuário para testar seu aplicativo AWS gerenciado, você entrará com as novas credenciais, não com as credenciais existentes que você usa para acessar os recursos corporativos.
**nota**
Recomendamos que você use esse método apenas para criar usuários para fins de teste.
1. No painel de navegação do console do IAM Identity Center, selecione **Usuários** e **Adicionar usuário**.
1. Siga as orientações no console para adicionar o usuário. Mantenha selecionado **Enviar um e-mail para este usuário com instruções de configuração de senha** e certifique-se de especificar um endereço de e-mail ao qual você tenha acesso.
1. No painel de navegação, escolha Contas da AWS, marque a caixa de seleção ao lado da sua conta e escolha **Atribuir usuários ou grupos**.
1. Escolha a aba **Usuários**, marque a caixa de seleção ao lado do usuário que você acabou de adicionar e escolha **Avançar**.
1. Escolha **Criar conjunto de permissões** e siga as orientações no console para criar o conjunto de permissões predefinido do `AdministratorAccess`.
1. Quando terminar, o novo conjunto de permissões será exibido na lista. Feche a aba **Conjuntos de permissões** na janela do navegador, retorne à aba **Atribuir usuários e grupos** e escolha o ícone de atualização ao lado de **Criar conjunto de permissões**.
1. Na aba do navegador **Atribuir usuários e grupos**, o novo conjunto de permissões aparece na lista. Marque a caixa de seleção ao lado do nome do conjunto de permissões, escolha **Avançar** e, em seguida, escolha **Enviar**.
1. Faça logout do Console da .
### Etapa 3. Entre no portal de AWS acesso como usuário administrativo
O portal de AWS acesso é um portal da web que fornece ao usuário que você criou acesso ao console AWS de gerenciamento. Antes de fazer login no portal de acesso da AWS , você deve aceitar o convite para entrar no IAM Identity Center e ativar as credenciais de usuário.
1. Verifique seu e-mail para ver a linha de assunto **Convite para participar do IAM Identity Center da AWS **.
1. Escolha **Aceitar convite** e siga as orientações na página de inscrição para definir uma nova senha, fazer login e registrar um dispositivo de MFA para o usuário.
1. Depois de registrar seu dispositivo de MFA, o portal de AWS acesso é aberto.
1. No portal de AWS acesso, selecione seu Conta da AWS e escolha **AdministratorAccess**. O sistema redireciona você para o AWS Management Console.
### Etapa 4: Configurar o aplicativo AWS gerenciado para usar o IAM Identity Center
1. Enquanto estiver conectado ao AWS Management Console, abra o console do aplicativo AWS gerenciado que você planeja usar.
1. Siga as orientações no console para configurar o aplicativo AWS gerenciado para usar o IAM Identity Center. Durante esse processo, você pode atribuir o usuário criado à aplicação.
## Configurar uma instância de conta do IAM Identity Center para testar aplicativos AWS gerenciados
**nota**
Uma instância de conta do IAM Identity Center limita a implantação a uma única organização Conta da AWS. Você deve habilitar essa instância da Região da AWS mesma forma que o AWS aplicativo que você deseja testar.
**Confirme o aplicativo**
Todos os aplicativos AWS gerenciados que funcionam com o IAM Identity Center podem ser usados com instâncias organizacionais do IAM Identity Center. No entanto, somente algumas dessas aplicações podem ser usadas com instâncias de conta do IAM Identity Center. Revise a lista do [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).
### Etapa 1. Habilitar uma instância de conta do IAM Identity Center
1. Realize um dos procedimentos a seguir para fazer login no Console de gerenciamento da AWS.
+ **Novo em AWS (usuário root)** — Faça login como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.
+ **Já está usando AWS com uma conta independente Conta da AWS (credenciais do IAM)** — Faça login usando suas credenciais do IAM com permissões administrativas.
1. Na página inicial do AWS Management Console, selecione o serviço IAM Identity Center ou navegue até o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Habilitar**.
1. Na página **Habilitar o IAM Identity Center com AWS Organizations**, escolha **habilitar uma instância de conta do IAM Identity Center**.
1. Na página **Habilitar instância de conta do IAM Identity Center**, revise as informações e, opcionalmente, adicione as tags que você deseja associar a essa instância de conta. Em seguida, selecione **Permitir**.
### Etapa 2. Criar um usuário no IAM Identity Center
Esse procedimento descreve como criar um usuário diretamente no diretório do Identity Center incorporado. Esse diretório não está conectado a outro diretório que o administrador possa usar para gerenciar usuários da força de trabalho. Depois de criar o usuário no IAM Identity Center, você especificará novas credenciais para esse usuário. Ao entrar como esse usuário para testar seu aplicativo AWS gerenciado, você entrará com as novas credenciais. As novas credenciais não permitirão que você acesse outros recursos corporativos.
**nota**
Recomendamos que você use esse método apenas para criar usuários para fins de teste.
1. No painel de navegação do console do IAM Identity Center, selecione **Usuários** e **Adicionar usuário**.
1. Siga as orientações no console para adicionar o usuário. Mantenha selecionado **Enviar um e-mail para este usuário com instruções de configuração de senha** e certifique-se de especificar um endereço de e-mail ao qual você tenha acesso.
1. Faça logout do Console da .
### Etapa 3. Faça login no portal de AWS acesso como usuário do IAM Identity Center
O portal de AWS acesso é um portal da web que fornece ao usuário que você criou acesso ao console AWS de gerenciamento. Antes de fazer login no portal de acesso da AWS , você deve aceitar o convite para entrar no IAM Identity Center e ativar as credenciais de usuário.
1. Verifique seu e-mail para ver a linha de assunto **Convite para participar do IAM Identity Center da AWS **.
1. Escolha **Aceitar convite** e siga as orientações na página de inscrição para definir uma nova senha, fazer login e registrar um dispositivo de MFA para o usuário.
1. Depois de registrar seu dispositivo de MFA, o portal de AWS acesso é aberto. Quando os aplicações estiverem disponíveis para você, você as encontrará na aba **Aplicativos**.
**nota**
AWS aplicativos que oferecem suporte a instâncias de conta permitem que os usuários façam login nos aplicativos sem exigir permissões adicionais. Portanto, a aba **Contas** permanecerá vazia.
### Etapa 4: Configurar o aplicativo AWS gerenciado para usar o IAM Identity Center
1. Enquanto estiver conectado ao AWS Management Console, abra o console do aplicativo AWS gerenciado que você planeja usar.
1. Siga as orientações no console para configurar o aplicativo AWS gerenciado para usar o IAM Identity Center. Durante esse processo, você pode atribuir o usuário criado à aplicação.
# Visualizando e alterando detalhes sobre um aplicativo AWS gerenciado
Depois de conectar um aplicativo AWS gerenciado ao IAM Identity Center usando o console ou APIs para o aplicativo, o aplicativo é registrado no IAM Identity Center. Depois que uma aplicação é registrada no IAM Identity Center, você pode visualizar e alterar detalhes sobre ela no console do IAM Identity Center.
As informações sobre a aplicação incluem se as atribuições de usuários e grupos são exigidas e, se for o caso, os usuários e os grupos atribuídos e as aplicações confiáveis para a propagação de identidades. Para obter mais informações sobre a propagação de identidades confiáveis, consulte [Visão geral da propagação de identidades confiáveis](trustedidentitypropagation-overview.md).
**Para visualizar e alterar informações sobre um aplicativo AWS gerenciado no console do IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pela AWS **.
1. Escolha o link da aplicação gerenciada que você deseja abrir e visualizar.
1. Se você quiser alterar as informações sobre um aplicativo AWS gerenciado, escolha **Ação** e, em seguida, escolha **Editar detalhes**.
1. Você pode alterar o nome de exibição e a descrição da aplicação, bem como o método de atribuição de usuários e grupos.
1. Para alterar o nome de exibição, insira o nome desejado no campo **Nome de exibição** e escolha **Salvar alterações**.
1. Para alterar a descrição, insira a descrição desejada no campo **Descrição** e escolha **Salvar alterações**.
1. Para alterar o método de atribuição de usuários e grupos, faça a alteração desejada e escolha **Salvar alterações**. Para obter mais informações, consulte [Usuários, grupos e provisionamento no IAM Identity Center](users-groups-provisioning.md).
# Desabilitando um aplicativo AWS gerenciado
Para impedir que os usuários se autentiquem em um aplicativo AWS gerenciado, você pode desativar o aplicativo no console do IAM Identity Center.
**Para desativar um aplicativo AWS gerenciado**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na página **Aplicações**, em **Aplicações gerenciadas pela AWS **, escolha a aplicação que você deseja desabilitar.
1. Com a aplicação selecionada, escolha **Ações** e depois escolha **Desabilitar**.
1. Na caixa de diálogo **Desabilitar aplicação**, escolha **Desabilitar**.
1. Na lista **Aplicações gerenciadas pela AWS **, o status da aplicação aparece como **Inativo**.
**nota**
**Se um aplicativo AWS gerenciado estiver desativado, você poderá restaurar a capacidade dos usuários de se autenticarem no aplicativo escolhendo **Ações** e, em seguida, Habilitar.**
# Como habilitar sessões de console com identidade avançada
Uma sessão com identidade aprimorada para o console aprimora a sessão do AWS console do usuário, fornecendo algum contexto adicional para personalizar a experiência do usuário. Atualmente, esse recurso é compatível com usuários do Kiro Pro do [Kiro em AWS aplicativos e sites](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html).
Você pode habilitar sessões de console com identidade aprimorada sem fazer nenhuma alteração nos padrões de acesso existentes ou na federação no AWS console. Se seus usuários fizerem login no AWS console com o IAM (por exemplo, se fizerem login como usuários do IAM ou por meio de acesso federado com o IAM), eles poderão continuar usando esses métodos. Se seus usuários entrarem no portal de AWS acesso, eles poderão continuar usando suas credenciais de usuário do IAM Identity Center.
**Topics**
+ [Pré-requisitos e considerações](#prereqs-and-considerations)
+ [Como habilitar identity-enhanced-console sessões](#enable-identity-enhanced-sessions-q)
+ [Como as sessões de console com identidade avançada funcionam](#how-identity-enhanced-sessions-work)
## Pré-requisitos e considerações
Antes de habilitar sessões de console com identidade avançada, revise os seguintes pré-requisitos e considerações:
+ Se seus usuários acessarem o Kiro em AWS aplicativos e sites por meio de uma assinatura do Kiro Pro, você deverá ativar as sessões de console com identidade aprimorada.
**nota**
Os usuários do Kiro podem acessar o Kiro sem sessões com identidade aprimorada, mas não terão acesso às suas assinaturas do Kiro Pro.
+ As sessões de console com identidade avançada exigem uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center.
+ A integração com o Kiro não é suportada se você habilitar o IAM Identity Center em um Região da AWS opt-in.
+ Para habilitar sessões de console com identidade avançada, você deve ter as seguintes permissões:
+ `sso:CreateApplication`
+ `sso:GetSharedSsoConfiguration`
+ `sso:ListApplications`
+ `sso:PutApplicationAssignmentConfiguration`
+ `sso:PutApplicationAuthenticationMethod`
+ `sso:PutApplicationGrant`
+ `sso:PutApplicationAccessScope`
+ `signin:CreateTrustedIdentityPropagationApplicationForConsole`
+ `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ Para permitir que seus usuários usem sessões de console com identidade avançada, você deve conceder a eles a permissão de `sts:setContext` em uma política baseada em identidade. Para obter informações, consulte [Como conceder permissões para o uso de sessões de console com identidade avançada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html).
## Como habilitar identity-enhanced-console sessões
Você pode habilitar sessões de console com identidade aprimorada no console Kiro ou no console do IAM Identity Center.
**Habilite sessões de console com identidade aprimorada no console Kiro**
Antes de habilitar sessões de console com identidade avançada, você deve ter uma instância de organização do IAM Identity Center com uma fonte de identidade conectada. Se você já configurou o IAM Identity Center, pule para a etapa 3.
1. Abra o console do IAM Identity Center. Escolha **Habilitar** e crie uma instância de organização do IAM Identity Center. Para mais informações, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
1. Conecte sua fonte de identidades ao IAM Identity Center e provisione usuários para o IAM Identity Center. Você pode conectar a fonte de identidade existente ao IAM Identity Center ou usar o diretório do Identity Center se ainda não estiver usando outra fonte de identidades. Para obter mais informações, consulte [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).
1. Depois de concluir a configuração do IAM Identity Center, abra o console do Kiro e siga as etapas em [Assinaturas no Guia](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html) do usuário do *Kiro*. Certifique-se de habilitar sessões de console de identidade avançada.
**nota**
Se você não tiver permissões suficientes para habilitar sessões de console com identidade avançada, talvez seja necessário pedir a um administrador do IAM Identity Center que faça essa tarefa para você no console do IAM Identity Center. Para obter mais informações, consulte o próximo procedimento.
**Habilitar sessões de console com identidade avançada no console do IAM Identity Center**
Outro administrador pode pedir ao administrador do IAM Identity Center para habilitar sessões de console de identidade avançada, no console do IAM Identity Center.
1. Abra o console do IAM Identity Center.
1. No painel de navegação, selecione **Configurações**.
1. Em **Habilitar sessões com identidade avançada**, escolha **Habilitar**.
1. Na segunda mensagem, escolha **Habilitar**.
1. Depois de habilitar sessões de console com identidade avançada, uma mensagem de confirmação é exibida na parte superior da página **Configurações**.
1. Na seção **Detalhes**, o status de **Sessões com identidade avançada** é **Habilitado**.
## Como as sessões de console com identidade avançada funcionam
O IAM Identity Center aprimora a sessão atual de console do usuário para incluir o ID do usuário ativo do IAM Identity Center e o ID da sessão do IAM Identity Center.
As sessões de console com identidade avançada incluem estes três valores:
+ **ID do usuário do repositório de identidades** ([loja de identidades: UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)): esse valor é usado para identificar exclusivamente um usuário na fonte de identidades conectada ao IAM Identity Center.
+ **ARN do diretório do repositório de identidades** ([loja de identidades: IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)): esse valor é o ARN do repositório de identidades conectado ao IAM Identity Center e é onde você pode pesquisar atributos do `identitystore:UserId`.
+ **ID de sessão do IAM Identity Center**: esse valor indica se a sessão do IAM Identity Center do usuário ainda é válida.
Os valores são os mesmos, mas são obtidos de maneiras diferentes e adicionados em diferentes pontos do processo, dependendo de como o usuário faz login:
+ **Centro de identidade do IAM (portal de AWS acesso)**: nesse caso, os valores de ID de usuário e ARN do repositório de identidades do usuário já são fornecidos na sessão ativa do IAM Identity Center. O IAM Identity Center aprimora a sessão atual adicionando apenas o ID da sessão.
+ **Outros métodos de login**: se o usuário fizer login na AWS como usuário do IAM, com um perfil do IAM ou como usuário federado com o IAM, nenhum desses valores será fornecido. O IAM Identity Center aprimora a sessão atual adicionando o ID do usuário do repositório de identidades, o ARN do diretório do repositório de identidades e o ID da sessão.
# Aplicações gerenciadas pelo cliente
O IAM Identity Center atua como um serviço central de identidades para os usuários e grupos da sua força de trabalho. Se você já usar um provedor de identidades (IdP), o IAM Identity Center poderá se integrar ao seu IdP para que você possa provisionar usuários e grupos para o IAM Identity Center e usar o IdP para autenticação. Com uma única conexão, o IAM Identity Center representa seu IdP na frente de vários Serviços da AWS e permite que seus aplicativos OAuth 2.0 solicitem acesso aos dados nesses serviços em nome de seus usuários. Você também pode usar o IAM Identity Center para atribuir aos usuários acesso às aplicações [SAML 2.0](https://wiki.oasis-open.org/security). Isso inclui AWS serviços como o Amazon Connect e AWS Client VPN, que se integram ao IAM Identity Center usando exclusivamente SAML e, portanto, são classificados como aplicativos gerenciados pelo cliente.
+ Se seu aplicativo for compatível com **JSON Web Tokens (JWTs)**, você poderá usar o recurso confiável de propagação de identidade do IAM Identity Center para permitir que seu aplicativo solicite acesso aos dados Serviços da AWS em nome de seus usuários. A propagação de identidade confiável é baseada na Estrutura de Autorização OAuth 2.0 e inclui uma opção para os aplicativos trocarem tokens de identidade provenientes de um servidor de autorização OAuth 2.0 externo por tokens emitidos pelo IAM Identity Center e reconhecidos pelo Serviços da AWS. Para obter mais informações, consulte [Casos de uso de propagação de identidades confiáveis](trustedidentitypropagation-integrations.md).
+ Se a aplicação for compatível com **SAML 2.0**, você poderá conectá-la a uma [instância de organização do IAM Identity Center](identity-center-instances.md). Você pode usar o IAM Identity Center para atribuir acesso à aplicação SAML 2.0.
**nota**
Ao integrar aplicativos gerenciados pelo cliente com uma instância do IAM Identity Center que usa uma [chave KMS gerenciada pelo cliente](encryption-at-rest.md), verifique se o aplicativo invoca o serviço IAM Identity Center APIs para confirmar se o aplicativo precisa de permissões de chave KMS. Siga as orientações para conceder permissões de chave KMS para fluxos de trabalho personalizados nas políticas [básicas](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) de chaves KMS do IAM Identity Center.
**Topics**
+ [Acesso de login único aos aplicativos SAML 2.0 e 2.0 OAuth](customermanagedapps-saml2-oauth2.md)
+ [Configurar aplicações SAML 2.0 gerenciadas pelo cliente](customermanagedapps-saml2-setup.md)
# Acesso de login único aos aplicativos SAML 2.0 e 2.0 OAuth
O IAM Identity Center permite que você forneça aos usuários acesso de login único aos aplicativos SAML 2.0 ou OAuth 2.0. Os tópicos a seguir fornecem uma visão geral de alto nível do SAML 2.0 e OAuth 2.0.
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
O SAML 2.0 é um padrão do setor usado para a troca segura de asserções SAML que transmitem informações sobre um usuário entre uma autoridade SAML (chamada de provedor de identidades ou IdP) e um consumidor SAML 2.0 (denominado provedor de serviços ou SP). O IAM Identity Center usa essas informações para fornecer acesso federado de login único para os usuários autorizados a usar aplicativos no AWS portal de acesso.
**nota**
O IAM Identity Center não oferece suporte à validação de assinaturas de solicitações de autenticação SAML recebidas de aplicações SAML.
## OAuth 2.0
OAuth 2.0 é um protocolo que permite que os aplicativos acessem e compartilhem dados do usuário com segurança sem compartilhar senhas. Esse recurso oferece uma maneira segura e padronizada para os usuários permitirem que as aplicações acessem seus recursos. O acesso é facilitado por diferentes fluxos de subsídios OAuth 2.0.
O IAM Identity Center permite que aplicativos executados em clientes públicos recuperem credenciais temporárias de acesso Contas da AWS e serviços de forma programática em nome de seus usuários. Clientes públicos geralmente são desktops, laptops ou outros dispositivos móveis usados para executar aplicações localmente. Exemplos de AWS aplicativos executados em clientes públicos incluem o AWS Command Line Interface (AWS CLI) e AWS Toolkit os kits de desenvolvimento de AWS software (SDKs). Para permitir que esses aplicativos obtenham credenciais, o IAM Identity Center oferece suporte a partes dos seguintes fluxos OAuth 2.0:
+ Concessão de código de autorização com Proof Key for Code Exchange (PKCE) ([RFC 6749](https://www.rfc-editor.org/rfc/rfc6749#section-4.1) e [RFC 7636](https://www.rfc-editor.org/rfc/rfc7636))
+ Concessão de autorização de dispositivo ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**nota**
Esses tipos de subsídios só podem ser usados com Serviços da AWS esse recurso. Esses serviços podem não ser compatíveis com esse tipo de concessão em todas as Regiões da AWS. Consulte a documentação relevante Serviços da AWS para diferenças regionais.
O OpenID Connect (OIDC) é um protocolo de autenticação baseado no 2.0 Framework. OAuth O OIDC especifica como usar OAuth 2.0 para autenticação. Por meio do [serviço OIDC do IAM Identity Center APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), um aplicativo registra um cliente OAuth 2.0 e usa um desses fluxos para obter um token de acesso que fornece permissões para o IAM Identity Center protegido. APIs Uma aplicação especifica os [escopos de acesso](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) para declarar seu usuário pretendido da API. Depois que você, como administrador do IAM Identity Center, configurar sua fonte de identidades, os usuários finais da aplicação deverão concluir um processo de login, se ainda não o fizeram. Os usuários finais deverão então fornecer seu consentimento para permitir que a aplicação faça chamadas de API. Essas chamadas de API são feitas usando as permissões dos usuários. Em resposta, o IAM Identity Center retorna um token de acesso à aplicação que contém os escopos de acesso nos quais os usuários consentiram.
### Usando um fluxo de concessão OAuth 2.0
OAuth Os fluxos de concessão 2.0 só estão disponíveis por meio de aplicativos AWS gerenciados que oferecem suporte aos fluxos. Para usar um fluxo OAuth 2.0, sua instância do IAM Identity Center e todos os aplicativos AWS gerenciados compatíveis que você usa devem ser implantados em um único Região da AWS. Consulte a documentação de cada um AWS service (Serviço da AWS) para determinar a disponibilidade regional dos aplicativos AWS gerenciados e a instância do IAM Identity Center que você deseja usar.
Para usar um aplicativo que usa um fluxo OAuth 2.0, o usuário final deve inserir a URL em que o aplicativo se conectará e se registrará na sua instância do IAM Identity Center. Dependendo da aplicação, como administrador, você deve fornecer aos usuários o **URL do portal de acesso AWS ** ou o **URL do emissor** da sua instância do IAM Identity Center. Você pode encontrar essas duas configurações na página **Configurações** do [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon/). Para obter informações adicionais sobre a configuração de uma aplicação cliente, consulte a documentação da aplicação.
A experiência do usuário final ao fazer login em uma aplicação e fornecer consentimento depende do uso de [Concessão de código de autorização com PKCE](#auth-code-grant-pkce) ou [Concessão de autorização de dispositivo](#device-auth-grant) pela aplicação.
#### Concessão de código de autorização com PKCE
Esse fluxo é usado pelas aplicações executadas em um dispositivo que tem navegador.
1. Uma janela do navegador se abre.
1. Se o usuário ainda não foi autenticado, o navegador o redirecionará para a autenticação de usuário.
1. Após a autenticação, é apresentada ao usuário uma tela de consentimento que exibe as seguintes informações:
+ O nome da aplicação
+ Os escopos de acesso que a aplicação está solicitando consentimento para usar
1. O usuário pode cancelar o processo de consentimento ou dar seu consentimento, e a aplicação prossegue com o acesso segundo as permissões do usuário.
#### Concessão de autorização de dispositivo
Esse fluxo pode ser usado por aplicações executadas em um dispositivo com ou sem navegador. Quando a aplicação inicia o fluxo, apresenta um URL e um código de usuário que o usuário deverá verificar mais adiante no fluxo. O código do usuário é necessário porque a aplicação que inicia o fluxo pode estar sendo executada em um dispositivo que não é o mesmo no qual o usuário fornece consentimento. O código garante que o usuário esteja consentindo o fluxo iniciado no outro dispositivo.
**nota**
Se você tiver clientes usando o `device.sso.region.amazonaws.com`, deverá atualizar o fluxo de autorização para usar a chave de prova para troca de código (PKCE). Para obter mais informações, consulte [Como configurar a autenticação do IAM Identity Center com a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) no *Guia do Usuário do AWS Command Line Interface *.
1. Quando o fluxo é iniciado em um dispositivo com navegador, uma janela do navegador é aberta. Quando o fluxo é iniciado em um dispositivo sem navegador, o usuário deve abrir um navegador em um outro dispositivo e acessar o URL que a aplicação apresentou.
1. Em ambos os casos, se o usuário ainda não foi autenticado, o navegador o redirecionará para fazer a autenticação de usuário.
1. Após a autenticação, é apresentada ao usuário uma tela de consentimento que exibe as seguintes informações:
+ O nome da aplicação
+ Os escopos de acesso que a aplicação está solicitando consentimento para usar
+ O código do usuário que a aplicação apresentou ao usuário
1. O usuário pode cancelar o processo de consentimento ou dar seu consentimento, e a aplicação prossegue com o acesso segundo as permissões do usuário.
### Escopos de acesso
Um *escopo* define o acesso a um serviço que pode ser acessado por meio de um fluxo OAuth 2.0. Os escopos são uma forma de o serviço, também chamado de servidor de recursos, agrupar permissões relacionadas às ações e aos recursos do serviço e especificam as operações granulares que OAuth os clientes 2.0 podem solicitar. Quando um cliente OAuth 2.0 se registra no [serviço OIDC do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), o cliente especifica os escopos para declarar suas ações pretendidas, para as quais o usuário deve fornecer consentimento.
OAuth Os clientes 2.0 usam `scope` valores conforme definido na [seção 3.3 de OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) para especificar quais permissões estão sendo solicitadas para um token de acesso. Os clientes podem especificar até 25 escopos ao solicitar um token de acesso. Quando um usuário fornece consentimento durante uma concessão de código de autorização com PKCE ou um fluxo de concessão de autorização de dispositivo, o IAM Identity Center codifica os escopos no token de acesso que ele retorna.
AWS adiciona escopos ao IAM Identity Center para obter suporte Serviços da AWS. A tabela a seguir lista os escopos compatíveis com o serviço OIDC do IAM Identity Center quando você registra um cliente público.
#### Escopos de acesso compatíveis com o serviço IAM Identity Center OIDC ao registrar um cliente público
****
| Escopo | Description | Serviços com suporte de |
| --- | --- | --- |
| sso:account:access | Acesse contas gerenciadas e conjuntos de permissões do IAM Identity Center. | Centro de Identidade do IAM |
| codewhisperer:analysis | Habilite o acesso à análise de código do Kiro. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:completions | Habilite o acesso às sugestões de código em linha do Kiro. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:conversations | Habilite o acesso ao chat do Kiro. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:taskassist | Habilite o acesso ao Kiro Agent para desenvolvimento de software. | ID do builder AWS e o IAM Identity Center |
| codewhisperer:transformations | Habilite o acesso ao Kiro Agent para transformação de código. | ID do builder AWS e o IAM Identity Center |
| codecatalyst:read\$1write | Leia e grave em seus CodeCatalyst recursos da Amazon, permitindo acesso a todos os seus recursos existentes. | ID do builder AWS e o IAM Identity Center |
| verified\$1access:application:connect | Habilitar Acesso Verificado pela AWS | Acesso Verificado pela AWS |
| redshift:connect | Conectar-se ao Amazon Redshift | banco de dados de origem |
| datazone:domain:access | Acesse sua função DataZone de execução de domínio | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Criar e ler modelos de dados | NoSQL Workbench |
| transform:read\$1write | Habilite o acesso ao AWS Transform Agent para transformação de código | AWS Transformação |
# Configurar aplicações SAML 2.0 gerenciadas pelo cliente
Se você usar aplicações gerenciadas pelo cliente compatíveis com o [SAML 2.0](https://wiki.oasis-open.org/security), poderá federar seu IdP no IAM Identity Center por meio do SAML 2.0 e usar o IAM Identity Center para gerenciar o acesso dos usuários a essas aplicações. Você pode selecionar uma aplicação SAML 2.0 em um catálogo das aplicações mais usadas no console do IAM Identity Center ou configurar sua própria aplicação SAML 2.0.
**nota**
Se você tem aplicativos gerenciados pelo cliente que oferecem suporte à OAuth versão 2.0 e seus usuários precisam acessar esses aplicativos Serviços da AWS, você pode usar a propagação de identidade confiável. Com a propagação de identidade confiável, um usuário pode fazer login em uma aplicação e essa aplicação pode transmitir a identidade do usuário nas solicitações para acessar dados nos Serviços da AWS.
**Topics**
+ [Configurar uma aplicação do catálogo de aplicações do IAM Identity Center](saasapps.md)
+ [Configurar sua própria aplicação SAML 2.0](customermanagedapps-set-up-your-own-app-saml2.md)
# Configurar uma aplicação do catálogo de aplicações do IAM Identity Center
Você pode usar o catálogo de aplicações no console do IAM Identity Center para adicionar muitas aplicações SAML 2.0 usadas comumente que funcionam com o IAM Identity Center. Os exemplos incluem o Salesforce, o Box e o Office 365.
A maioria das aplicações fornece instruções detalhadas sobre como configurar a confiança entre o IAM Identity Center e o provedor de serviços da aplicação. Essas informações ficam disponíveis na página de configuração da aplicação depois que você a seleciona no catálogo. Depois de configurar a aplicação, você pode atribuir aos usuários ou grupos do IAM Identity Center acesso a ela, conforme necessário.
Use este procedimento para configurar uma relação de confiança SAML 2.0 entre o IAM Identity Center e o provedor de serviços da aplicação.
Antes de começar este procedimento, é útil ter o arquivo de troca de metadados do provedor do serviço para poder configurar a confiança de modo mais eficiente. Mesmo se não tiver esse arquivo, você poderá usar este procedimento para configurar manualmente a confiança.
**Para adicionar e configurar uma aplicação do catálogo de aplicações**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Escolha **Adicionar aplicação**.
1. Na página **Selecionar tipo de aplicação**, em **Preferências de configuração**, escolha **Quero selecionar uma aplicação do catálogo**.
1. Em **Catálogo de aplicações**, comece a digitar, na caixa de pesquisa, o nome da aplicação que você deseja adicionar.
1. Escolha o nome da aplicação na lista quando ele aparecer nos resultados da pesquisa e depois escolha **Avançar**.
1. Na página **Configurar aplicação**, os campos **Nome de exibição** e **Descrição** já estão preenchidos com os detalhes relevantes da aplicação. Você pode editar essas informações.
1. Em **Metadados do IAM Identity Center**, faça o seguinte:
1. Ao lado do **Arquivo de metadados de SAML do IAM Identity Center**, escolha **Download** para fazer download dos metadados do provedor de identidades.
1. Ao lado de **Certificado do IAM Identity Center**, escolha **Fazer download do certificado** para baixar o certificado do provedor de identidades.
**nota**
Você precisará desses arquivos mais tarde ao configurar a aplicação no site do provedor de serviços. Siga as instruções desse provedor.
1. (Opcional) Em **Propriedades da aplicação**, você pode especificar **URL de início da aplicação**, **Estado de retransmissão** e **Duração da sessão**. Para obter mais informações, consulte [Compreender as propriedades da aplicação no console do IAM Identity Center](appproperties.md).
1. Em **Metadados da aplicação**, faça o seguinte:
1. Se você tiver um arquivo de metadados, escolha **Carregar o arquivo de metadados SAML da aplicação**. Em seguida, selecione **Escolher arquivo** para encontrar e selecionar o arquivo de metadados.
1. Se você não tiver um arquivo de metadados, escolha **Digitar manualmente seus valores de metadados** e, em seguida, forneça os valores de **URL do ACS da aplicação** e do **público de SAML da aplicação**.
1. Selecione **Enviar**. Você é direcionado para a página de detalhes da aplicação que acabou de adicionar.
# Configurar sua própria aplicação SAML 2.0
Você pode configurar suas próprias aplicações que permitem a federação de identidades usando o SAML 2.0 e adicioná-las ao IAM Identity Center. A maioria das etapas para configurar suas próprias aplicações SAML 2.0 é igual à configuração de uma aplicação SAML 2.0 do catálogo de aplicações no console do IAM Identity Center. Porém, você também deve fornecer mapeamentos adicionais dos atributos SAML para suas próprias aplicações SAML 2.0. Esses mapeamentos informam ao IAM Identity Center como preencher corretamente a asserção SAML 2.0 para a aplicação. Você pode fornecer esse mapeamento de atributos SAML adicional quando configurar a aplicação pela primeira vez. Você também pode fornecer os mapeamentos dos atributos SAML 2.0 na página de detalhes da aplicação no IAM Identity Center.
Use o procedimento a seguir para configurar uma relação de confiança SAML 2.0 entre o IAM Identity Center e o provedor de serviços da sua aplicação SAML 2.0. Antes de iniciar este procedimento, verifique se você tem o certificado e os arquivos de troca de metadados do provedor de serviços, para que possa terminar de configurar a confiança.
**Para configurar sua própria aplicação SAML 2.0**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Escolha **Adicionar aplicação**.
1. Na página **Selecionar tipo de aplicação**, em **Preferências de configuração**, escolha **Eu tenho uma aplicação que quero configurar**.
1. Em **Tipo de aplicação**, escolha **SAML 2.0**.
1. Escolha **Próximo**.
1. Na página **Configurar aplicação**, em **Configurar aplicação**, insira um **nome de exibição** para a aplicação, como **MyApp**. Insira uma **Descrição**.
1. Em **Metadados do IAM Identity Center**, faça o seguinte:
1. Ao lado do **Arquivo de metadados de SAML do IAM Identity Center**, escolha **Download** para fazer download dos metadados do provedor de identidades.
1. Em **Certificado do IAM Identity Center**, escolha **Baixar** para baixar o certificado do provedor de identidades.
**nota**
Você precisará desses arquivos mais tarde ao configurar a aplicação personalizada no site do provedor de serviços.
1. (Opcional) Em **Propriedades da aplicação**, você também pode especificar **URL de início da aplicação**, **Estado de retransmissão** e **Duração da sessão**. Para obter mais informações, consulte [Compreender as propriedades da aplicação no console do IAM Identity Center](appproperties.md).
1. Em **Metadados da aplicação**, escolha **Digite manualmente seus valores de metadados**. Em seguida, forneça os valores de **URL do ACS da aplicação** e **Público do SAML da aplicação**.
1. Selecione **Enviar**. Você é direcionado para a página de detalhes da aplicação que acabou de adicionar.
# Visão geral da propagação de identidades confiáveis
A propagação de identidade confiável é um atributo do IAM Identity Center que permite que os administradores de Serviços da AWS concedam permissões com base em atributos do usuário, como associações a grupos. Com a propagação de identidade confiável, o contexto de identidade é adicionado a uma função do IAM para identificar o usuário que está solicitando acesso aos AWS recursos. Esse contexto é propagado para outros Serviços da AWS.
O contexto de identidade compreende informações que são Serviços da AWS usadas para tomar decisões de autorização ao receber solicitações de acesso. Essas informações incluem metadados que identificam o solicitante (por exemplo, um usuário do IAM Identity Center), o acesso AWS service (Serviço da AWS) ao qual o acesso é solicitado (por exemplo, Amazon Redshift) e o escopo do acesso (por exemplo, acesso somente para leitura). O destinatário AWS service (Serviço da AWS) usa esse contexto e todas as permissões atribuídas ao usuário para autorizar o acesso aos seus recursos.
## Benefícios da propagação de identidade confiável
A propagação confiável de identidades permite que os administradores concedam permissões Serviços da AWS a recursos, como dados, usando as identidades corporativas de sua força de trabalho. Além disso, eles podem auditar quem acessou quais dados examinando os registros de serviço ou AWS CloudTrail. Outros administradores do AWS service (Serviço da AWS) podem solicitar ao administrador do IAM Identity Center para habilitar a propagação de identidade confiável.
## Como habilitar a propagação de identidade confiável
O processo de habilitar a propagação de identidade confiável envolve as duas etapas a seguir:
1. **Ative o IAM Identity Center e conecte sua fonte existente de identidades ao IAM Identity Center** — Você continuará gerenciando suas identidades de força de trabalho em sua fonte de identidades existente; conectá-la ao IAM Identity Center cria uma referência à sua força de trabalho que todos Serviços da AWS em seu caso de uso podem compartilhar. Também está disponível para os proprietários de dados usarem em casos de uso futuros.
1. **Conecte o Serviços da AWS em seu caso de uso ao IAM Identity Center** — O administrador de cada AWS service (Serviço da AWS) caso de uso de propagação de identidade confiável segue as orientações na respectiva documentação do serviço para conectar o serviço ao IAM Identity Center.
**nota**
Se p caso de uso envolver uma aplicação desenvolvida por *terceiros* ou pelo *cliente*, você habilita a propagação de identidade confiável configurando uma relação de confiança entre o provedor de identidade que autentica os usuários da aplicação e o IAM Identity Center. Isso permite que a aplicação aproveite o fluxo de propagação de identidade confiável descrito anteriormente.
Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
## Como funciona a propagação de identidade confiável
O diagrama a seguir mostra o fluxo de trabalho de alto nível para a propagação de identidade confiável:
![\[Fluxo de trabalho simplificado de propagação de identidade confiável.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Os usuários se autenticam com um aplicativo voltado para o cliente, por exemplo, o Quick.
1. O aplicativo voltado para o cliente solicita acesso para usar e consultar dados e inclui informações sobre o usuário. AWS service (Serviço da AWS)
**nota**
Alguns casos de uso confiável de propagação de identidade envolvem ferramentas que interagem com o Serviços da AWS uso de drivers de serviço. Você pode descobrir se isso se aplica ao caso de uso na [orientação do caso de uso](trustedidentitypropagation-integrations.md).
1. Ele AWS service (Serviço da AWS) verifica a identidade do usuário com o IAM Identity Center e compara os atributos do usuário, como suas associações de grupo, com aqueles necessários para acesso. O AWS service (Serviço da AWS) autoriza o acesso, desde que o usuário ou seu grupo tenha as permissões necessárias.
1. Serviços da AWS podem registrar o identificador do usuário em seus registros de serviço. AWS CloudTrail Consulte a documentação do serviço para obter mais detalhes.
A imagem a seguir fornece uma visão geral das etapas descritas anteriormente no fluxo de trabalho de propagação de identidade confiável:
![\[Fluxo de trabalho simplificado de propagação de identidade confiável.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Benefícios da propagação de identidade confiável](#benefits-trusted-identity-propagation)
+ [Como habilitar a propagação de identidade confiável](#enabling-tip)
+ [Como funciona a propagação de identidade confiável](#how-tip-works)
+ [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md)
+ [Casos de uso de propagação de identidades confiáveis](trustedidentitypropagation-integrations.md)
+ [Serviços de autorização](authorization-services.md)
# Pré-requisitos e considerações
Antes de configurar a propagação de identidades confiáveis, revise os seguintes pré-requisitos e considerações.
**Topics**
+ [Pré-requisitos](#trustedidentitypropagation-prerequisites)
+ [Considerações](#trustedidentitypropagation-considerations)
+ [Considerações sobre aplicações gerenciadas pelo cliente](#trustedidentitypropagation-customer-apps)
## Pré-requisitos
Para usar a propagação de identidade confiável, confirme que o ambiente atende aos pré-requisitos a seguir:
+ Habilitar e provisionar o IAM Identity Center
+ Para usar a propagação de identidade confiável, você deve habilitar o IAM Identity Center no mesmo Região da AWS local em que os AWS aplicativos e serviços que seus usuários acessarão estão habilitados. Para mais informações, consulte [Habilitar o IAM Identity Center](enable-identity-center.md).
+ Instância de organização recomendada do IAM Identity Center: recomendamos que você use uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center habilitada na conta gerencial do AWS Organizations. Você pode [delegar a administração](organization-instances-identity-center.md) de uma instância de organização do IAM Identity Center a uma conta de membro. Se você escolher uma [instância de conta](account-instances-identity-center.md) do IAM Identity Center, todos os Serviços da AWS que você deseja que os usuários acessem com propagação de identidade confiável devem residir na mesma Conta da AWS em que você habilitou o IAM Identity Center. Para obter mais informações, consulte [Instâncias de conta do Centro de Identidade do IAM](account-instances-identity-center.md).
+ Conecte o provedor de identidade existente ao IAM Identity Center e provisione os usuários e grupos no IAM Identity Center. Para obter mais informações, consulte [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md).
+ Conecte os aplicativos e serviços AWS gerenciados em seu caso de uso confiável de propagação de identidade ao IAM Identity Center. Para usar a propagação de identidade confiável, os aplicativos AWS gerenciados devem estar conectados ao IAM Identity Center.
## Considerações
Ao configurar e usar a propagação de identidade confiável, leve em consideração o seguinte:
+ **Instâncias de organização versus de conta do IAM Identity Center**
+ Uma [instância de organização](organization-instances-identity-center.md) do IAM Identity Center lhe dará o máximo de controle e flexibilidade para expandir os casos de uso para vários Contas da AWS, usuários e Serviços da AWS. Se você não conseguir usar uma instância de organização, o caso de uso pode ser compatível com instâncias de conta do IAM Identity Center. Para saber mais sobre quais Serviços da AWS no caso de uso são compatíveis com instâncias de conta do IAM Identity Center, consulte [AWS aplicativos gerenciados que você pode usar com o IAM Identity Center](awsapps-that-work-with-identity-center.md).
+ **Permissões de várias contas (conjuntos de permissões) não exigidas**
+ A propagação de identidades confiáveis não exige que você configure [permissões de várias contas](manage-your-accounts.md) (conjuntos de permissões). Você pode habilitar o IAM Identity Center e usá-lo somente para a propagação de identidades confiáveis.
## Considerações sobre aplicações gerenciadas pelo cliente
Sua força de trabalho pode se beneficiar da propagação confiável de identidade, mesmo que seus usuários interajam com aplicativos voltados para o cliente que não são gerenciados, por exemplo AWSTableau, por seus aplicativos desenvolvidos sob medida. Os usuários dessas@aplicações podem não estar provisionados no IAM Identity Center. Para permitir o reconhecimento e a autorização fáceis do acesso do usuário aos AWS recursos, o IAM Identity Center permite que você configure uma relação confiável entre o provedor de identidade que autentica seus usuários e o IAM Identity Center. Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
Além disso, configurar a propagação de identidade confiável para a aplicação exigirá:
+ Seu aplicativo deve usar a estrutura OAuth 2.0 para autenticação. A propagação de identidade confiável não é compatível com integrações do SAML 2.0.
+ A aplicação deve ser reconhecida pelo IAM Identity Center. Siga as orientações específicas para o [caso de uso](trustedidentitypropagation-integrations.md).
# Casos de uso de propagação de identidades confiáveis
Pode ser solicitado ao administrador do IAM Identity Center que ajude a configurar a propagação de identidade confiável das aplicações voltadas para os Serviços da AWS. Para apoiar essa solicitação, serão necessárias as seguintes informações:
+ Com qual aplicação voltada para o cliente os usuários interagirão?
+ Quais Serviços da AWS são usados para consultar os dados e autorizar o acesso aos dados?
+ O que AWS service (Serviço da AWS) autoriza o acesso aos dados?
A função em permitir **casos de uso de propagação de identidade confiável que não envolvam aplicações de terceiros ou aplicações desenvolvidas sob medida** é:
1. [Ative o IAM Identity Center](enable-identity-center.md).
1. [Conecte a fonte atual de identidades ao IAM Identity Center](tutorials.md).
As etapas restantes da configuração de identidade confiável para esses casos de uso são executadas nos aplicativos conectados Serviços da AWS e. Os administradores dos aplicativos conectados Serviços da AWS ou dos aplicativos devem consultar os respectivos guias do usuário para obter uma orientação abrangente e específica do serviço.
Função em permitir **casos de uso de propagação de identidade confiáveis que envolvam aplicações de terceiros ou aplicações desenvolvidas sob medida** inclui as etapas [Habilitar o IAM Identity Center](enable-identity-center.md) e a [conexão da fonte de identidades](tutorials.md), bem como:
1. Como configurar a conexão do provedor de identidade (IdP) com a aplicação de terceiros ou desenvolvida de forma personalizada.
1. Como permitir que o IAM Identity Center reconheça a aplicação de terceiros ou desenvolvida de forma personalizada.
1. Como configurar o IdP como um emissor de tokens confiáveis no IAM Identity Center Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
Os administradores dos aplicativos conectados Serviços da AWS devem consultar os respectivos guias do usuário para obter uma orientação abrangente e específica do serviço.
## Casos de uso de analytics, data lakehouse e machine learning
Você pode habilitar casos de uso de propagação confiável com os seguintes serviços de analytics e machine learning:
+ **Amazon Redshift** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon Redshift](tip-usecase-redshift.md).
+ **Amazon EMR** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon EMR](tip-usecase-emr.md).
+ **Amazon Athena** — Para obter orientação, consulte [Propagação de identidade confiável com o Amazon Athena](tip-usecase-ate.md).
+ **SageMaker Studio** - Para obter orientação, consulte[Propagação de identidade confiável com o Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Casos de uso adicionais
Você pode habilitar o IAM Identity Center e a propagação de identidade confiável com estes Serviços da AWS adicionais:
+ **Amazon Q Business** — Para obter orientação, consulte:
+ [Fluxo de trabalho administrativo para aplicações que usam o IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Como configurar uma aplicação do Amazon Q Business usando o IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configure o Amazon Q Business com a propagação de identidade confiável do IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** — para obter orientação, consulte:
+ [Suporte confiável de propagação de identidade do IAM Identity Center para Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Interface de OpenSearch usuário centralizada (painéis) com o Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family** — Para obter orientações, consulte:
+ [Aplicativos Transfer Family da web](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Casos de uso de analytics, data lakehouse e machine learning](#tip-data-analytic-usecases-overview)
+ [Casos de uso adicionais](#tip-additional-usecases)
+ [Propagação de identidade confiável com o Amazon Redshift](tip-usecase-redshift.md)
+ [Propagação de identidade confiável com o Amazon EMR](tip-usecase-emr.md)
+ [Propagação de identidade confiável com o Amazon Athena](tip-usecase-ate.md)
+ [Propagação de identidade confiável com o Amazon Studio SageMaker](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagação de identidade confiável com o Amazon Redshift
As etapas para permitir a propagação de identidade confiável dependem de seus usuários interagirem com aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente. O diagrama a seguir mostra uma configuração confiável de propagação de identidade para aplicativos voltados ao cliente — AWS gerenciados ou externos AWS — que consultam dados do Amazon Redshift com controle de acesso fornecido pelo Amazon Redshift ou por serviços de autorização, como o Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagação de identidade confiável usando Amazon Redshift, Quick, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Quando a propagação de identidade confiável para o Amazon Redshift está habilitada, os administradores do Redshift podem configurar o Redshift para [criar perfis automaticamente](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) para o IAM Identity Center como provedor de identidade, mapear perfis do Redshift para grupos no IAM Identity Center e usar o controle de acesso baseado em perfis do Redshift para conceder acesso.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Aplicações voltadas para o cliente compatíveis
**AWS aplicativos gerenciados**
Os seguintes aplicativos AWS gerenciados voltados para o cliente oferecem suporte à propagação confiável de identidade para o Amazon Redshift:
+ [Query Editor V2 do Amazon Redshift](setting-up-tip-redshift.md)
+ [Rápido](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**nota**
Se você estiver usando o Amazon Redshift Spectrum para acessar bancos de dados ou tabelas externas no AWS Glue Data Catalog, pense em [configurar o Lake Formation](tip-tutorial-lf.md) e o [Amazon S3 Access Grants](tip-tutorial-s3.md) para fornecer controle de acesso refinado.
**Aplicações gerenciadas pelo cliente**
As seguintes aplicações gerenciadas pelo cliente oferecem suporte à propagação de identidade confiável para o Amazon Redshift:
+ **Tableau** incluindo Tableau Desktop, Tableau Server e Tableau Prep
+ Para permitir a propagação de identidade confiável para usuários do Tableau, consulte [Integrar Tableau e Okta com o Amazon Redshift usando o IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) no *Blog de big data da AWS *.
+ **Clientes SQL** (DBeaver e DBVisualizer)
+ Para habilitar a propagação de identidade confiável para usuários de Clientes SQL (DBeaver e DBVisualizer), consulte [Integrar o Provedor de Identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o Cliente SQL usando o IAM Identity Center para logon único contínuo](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) no *Blog de big data da AWS *.
# Como configurar a propagação de identidade confiável com o Editor de Consultas V2 do Amazon Redshift
O procedimento a seguir explica como obter uma propagação de identidade confiável do Editor de Consultas V2 do Amazon Redshift para o Amazon Redshift.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
A habilitação da propagação de identidade confiável inclui tarefas executadas por um administrador do IAM Identity Center no console do IAM Identity Center e tarefas executadas por um administrador do Amazon Redshift no console do Amazon Redshift.
## Tarefas executadas pelo administrador do IAM Identity Center
As seguintes tarefas precisavam ser concluídas pelo administrador do IAM Identity Center:
1. **Crie um [perfil do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** na conta em que existe o cluster do Amazon Redshift ou a instância Serverless com a seguinte política de permissão. Para obter mais informações, consulte [Criação do Perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Os exemplos de políticas a seguir incluem as permissões necessárias para concluir este tutorial. Para usar essa política, substitua *italicized placeholder text* a política do exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Política de permissão:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Política de confiança:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Crie um conjunto de permissões** na conta gerencial do AWS Organizations em que o IAM Identity Center está habilitado. Você o usará na próxima etapa para permitir que usuários federados acessem o Editor de Consultas V2 do Redshift.
1. Acesse o console do **IAM Identity Center** e, em **Permissões de várias contas**, escolha **Conjuntos de permissões**.
1. Escolha **Create permission set (Criar conjunto de permissões)**.
1. Escolha **Conjunto de permissões personalizado** e, em seguida, escolha **Avançar**.
1. Em **Políticas gerenciadas pela AWS **, escolha **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Em **Política embutida**, adicione a seguinte política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Selecione **Avançar** e forneça um nome para o nome do conjunto de permissões. Por exemplo, .**Redshift-Query-Editor-V2**
1. Em **Estado de retransmissão — opcional**, defina o estado de retransmissão padrão para o URL do Editor de Consultas V2, usando o formato: `https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Revise as configurações e escolha **Criar**.
1. Navegue até o painel do IAM Identity Center e copie o URL do portal de acesso do AWS da seção **Resumo da configuração**.
![\[Etapa 1, Copie o URL do portal de AWS acesso do console do IAM Identity Center.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Abra uma nova janela de navegador anônimo e cole o URL.
Isso o levará ao seu portal de AWS acesso, garantindo que você esteja fazendo login com um usuário do IAM Identity Center.
![\[Etapa j, Faça login para AWS acessar o portal.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Para obter mais informações sobre o conjunto de permissões, consulte [Gerencie Contas da AWS com conjuntos de permissões](permissionsetsconcept.md).
1. **Permita que usuários federados acessem o Editor de Consultas V2 do Redshift**.
1. Na conta AWS Organizations de gerenciamento, abra o console **do IAM Identity Center**.
1. No painel de navegação, em **Permissões de várias contas**, escolha **Contas da AWS**.
1. Na Contas da AWS página, selecione o Conta da AWS que você deseja atribuir acesso.
1. Escolha **Atribuir usuários ou grupos**.
1. Na página **Atribuir usuários e grupos**, escolha os usuários e/ou grupos para os quais deseja criar o conjunto de permissões. Em seguida, escolha **Próximo**.
1. Na página **Atribuir conjuntos de permissões**, escolha o conjunto de permissões que você criou na etapa anterior. Em seguida, escolha **Próximo**.
1. Na página **Revisar e enviar atribuições**, revise as seleções e escolha **Enviar**.
## Tarefas executadas por um administrador do Amazon Redshift
A habilitação da propagação de identidade confiável para o Amazon Redshift exige que um administrador de cluster do Amazon Redshift ou administrador do Amazon Redshift sem servidor execute várias tarefas no console do Amazon Redshift. Para obter mais informações, consulte [Integrar o provedor de identidades (IdP) com o Editor de Consultas V2 do Amazon Redshift e o cliente SQL usando o IAM Identity Center para um login único direto](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) no *Blog de big data da AWS *.
# Propagação de identidade confiável com o Amazon EMR
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o Amazon EMR Studio usando o Amazon EMR no Amazon EC2 com controle de acesso fornecido pelo Amazon S3. AWS Lake Formation Access Grants
![\[Diagrama de propagação de identidade confiável usando Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Aplicações voltadas para o cliente compatíveis**
+ Amazon EMR Studio
**Para habilitar a propagação de identidade confiável, siga estas etapas:**
+ [Configure o Amazon EMR Studio](setting-up-tip-emr.md) como aplicação voltada para o cliente para o cluster do Amazon EMR.
+ Configure o [Cluster do Amazon EMR no Amazon EC2 com Apache Spark](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html).
+ *Recomendado*: [AWS Lake Formation](tip-tutorial-lf.md)e o [Amazon S3 Access Grants](tip-tutorial-s3.md) para fornecer controle de acesso refinado AWS Glue Data Catalog e locais de dados subjacentes no S3.
# Como configurar a propagação de identidade confiável com o Amazon EMR Studio
O procedimento a seguir orienta você na configuração do Amazon EMR Studio para a propagação confiável de identidade em consultas em grupos de trabalho do Amazon Athena ou clusters do Amazon EMR que executam o Apache Spark.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
Para concluir a configuração da propagação de identidade confiável do Amazon EMR Studio, o administrador do EMR Studio deve executar as seguintes etapas.
## Etapa 1. Criar os perfis do IAM exigidos para o EMR Studio
Nesta etapa, o administrador do Amazon EMR Studio cria um perfil de serviço do IAM e um perfil de usuário do IAM para o EMR Studio.
1. **[Crie um perfil de serviço do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** — O EMR Studio assume esse perfil do IAM para gerenciar com segurança espaços de trabalho e notebooks, conectar-se a clusters e lidar com interações de dados.
1. Navegue até o console do IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) e crie uma função do IAM.
1. Selecione **AWS service (Serviço da AWS)** como entidade confiável e, em seguida, escolha **Amazon EMR**. Anexe as políticas a seguir para definir as permissões e a relação de confiança do perfil.
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Para obter uma referência de todas as permissões de perfil de serviço, consulte [Permissões de perfil de serviço do EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Crie um perfil de usuário do EMR Studio para autenticação do IAM Identity Center](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** — o EMR Studio assume esse perfil quando um usuário faz login pelo IAM Identity Center para gerenciar espaços de trabalho, clusters do EMR, tarefas e repositórios git. **Esse perfil é usado para iniciar o fluxo de trabalho de propagação de identidade confiável**.
**nota**
A função de usuário do EMR Studio não precisa incluir permissões para acessar as localizações das tabelas no Amazon S3 no Catálogo. AWS Glue AWS Lake Formation as permissões e as localizações registradas dos lagos serão usadas para receber permissões temporárias.
O exemplo de política a seguir pode ser usado em um perfil que permite que um usuário do EMR Studio use grupos de trabalho do Athena para executar consultas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
A política de confiança a seguir permite que o EMR Studio assuma o perfil:
**nota**
Permissões adicionais são necessárias para aproveitar os EMR Studio Workspaces e os EMR Notebooks. Consulte [Criar políticas de permissões para usuários do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) para obter mais informações.
**Você pode encontrar essas informações nos seguintes links:**
+ [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Permissões de função de serviço do EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Etapa 2. Criar e configurar o EMR Studio
Nesta etapa, você criará um Amazon EMR Studio no console do EMR Studio e usará os perfis do IAM que você criou em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1).
1. Navegue até o console do EMR Studio, selecione **Criar Studio** e a opção **Configuração personalizada**. Você pode criar um bucket S3 ou novo usar um existente. Você pode marcar a caixa **Criptografar arquivos do espaço de trabalho com as próprias chaves KMS**. Para obter mais informações, consulte [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Etapa 1: criar o EMR Studio no console do EMR.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Em **Perfil de serviço para permitir que o Studio acesse os recursos**, selecione um perfil de serviço criado em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1) no menu.
1. Escolha **IAM Identity Center** em **Autenticação**. Selecione o perfil de usuário criado em [Etapa 1. Criar os perfis do IAM exigidos para o EMR StudioEtapa 2. Criar e configurar o EMR Studio](#setting-up-tip-emr-step1).
![\[Etapa 3: criar o EMR Studio no console do EMR, selecionando o IAM Identity Center como método de autenticação.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Marque a caixa **Propagação de identidade confiável**. Escolha **Somente usuários e grupos atribuídos** na seção Acesso à aplicação, o que permitirá que você conceda somente usuários e grupos autorizados a acessar este studio.
1. *(Opcional)* — Você pode configurar a VPC e a sub-rede se estiver usando este Studio com clusters do EMR.
![\[Etapa 4: criar o EMR Studio no console do EMR selecionando as configurações de rede e segurança.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Revise todos os detalhes e selecione **Criar Studio**.
1. Depois de configurar um cluster do WorkGroup Athena ou do EMR, faça login na URL do Studio para:
1. Executar consultas do Athena com o Editor de Consultas.
1. Execute as tarefas do Spark no espaço de trabalho usando o caderno Jupyter.
# Propagação de identidade confiável com o Amazon Athena
As etapas para permitir a propagação de identidade confiável dependem de seus usuários interagirem com aplicativos AWS gerenciados ou aplicativos gerenciados pelo cliente. O diagrama a seguir mostra uma configuração confiável de propagação de identidade para aplicativos voltados ao cliente — AWS gerenciados ou externos AWS — que usam o Amazon Athena para consultar dados do Amazon S3 com controle de acesso fornecido pelo Amazon S3. AWS Lake Formation Access Grants
**nota**
Propagação de identidade confiável com o Amazon Athena requer o uso do Trino.
Os clientes Apache Spark e SQL conectados ao Amazon Athena por meio de drivers ODBC e JDBC não são compatíveis.
![\[Diagrama de propagação de identidade confiável usando Athena, Amazon EMR, Lake Formation e IAM Identity Center\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS aplicativos gerenciados**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade com o Athena:
+ Amazon EMR Studio
**Para habilitar a propagação de identidade confiável, siga estas etapas:**
+ [Configure o Amazon EMR Studio](setting-up-tip-emr.md) como aplicação voltada para o cliente para o Athena. O Editor de Consultas no EMR Studio é necessário para executar as consultas do Athena quando a propagação de identidade confiável está habilitada.
+ [Configure o Athena Workgroup](setting-up-tip-ate.md).
+ [Configure AWS Lake Formation](tip-tutorial-lf.md) para ativar o controle de acesso refinado para AWS Glue tabelas com base no usuário ou grupo no IAM Identity Center.
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no S3.
**nota**
Tanto o Lake Formation quanto o Amazon S3 Access Grants são necessários para o controle de acesso AWS Glue Data Catalog e para os resultados da consulta do Athena no Amazon S3.
**Aplicações gerenciadas pelo cliente**
*Para habilitar a propagação de identidade confiável para usuários de *aplicativos desenvolvidos sob medida*, consulte [Access Serviços da AWS programaticamente usando propagação de identidade confiável](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) no Blog de Segurança.AWS *
# Como configurar a propagação de identidade confiável com grupos de trabalho do Amazon Athena
A procedimento a seguir explica como configurar grupos de trabalho do Amazon Athena para propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
1. [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. Essa configuração requer o [Amazon EMR Studio](setting-up-tip-emr.md) e a [Concessão de Acesso do Amazon S3](tip-tutorial-s3.md). [AWS Lake Formation](tip-tutorial-lf.md)
## Como configurar a propagação de identidade confiável com o Athena
Para configurar a propagação de identidade confiável com o Athena, o administrador do Athena deve:
1. Analise [Considerações e limitações do uso de grupos de trabalho do Athena habilitados para o IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Crie um grupo de trabalho do Athena habilitado para o IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagação de identidade confiável com o Amazon Studio SageMaker
[O Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) se integra ao IAM Identity Center e oferece suporte a [sessões em segundo plano de usuários](user-background-sessions.md) e propagação confiável de identidade. As sessões em segundo plano do usuário permitem que um usuário inicie um trabalho de longa duração no SageMaker Studio, sem que o usuário precise permanecer conectado enquanto o trabalho é executado. A tarefa é executada imediatamente e em segundo plano, usando as permissões do usuário que iniciou a tarefa. O trabalho pode continuar em execução mesmo que o usuário desligue o computador, a sessão de login do IAM Identity Center expire ou o usuário saia do AWS portal de acesso. A duração padrão da sessão para as sessões de usuários em segundo plano é de 7 dias, mas você pode especificar uma duração máxima de 90 dias. A propagação de identidade confiável permite que seja fornecido acesso refinado a recursos da AWS como buckets do Amazon S3 com base na identidade do usuário ou na associação ao grupo.
O diagrama a seguir mostra uma configuração confiável de propagação de identidade para o SageMaker Studio, com acesso aos dados armazenados em um bucket do Amazon S3. As sessões em segundo plano do usuário estão habilitadas para o IAM Identity Center, o que permite que o trabalho de treinamento do SageMaker Studio seja executado em segundo plano. O controle de acesso aos dados de treinamento é fornecido pelo Amazon S3 Access Grants.
![\[Diagrama de propagação de identidade confiável para o SageMaker Studio, com um trabalho de treinamento do SageMaker Studio em execução em uma sessão em segundo plano do usuário e acesso aos dados de treinamento no Amazon S3 fornecidos pelo Amazon S3. Access Grants\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS aplicativo gerenciado**
O seguinte aplicativo AWS gerenciado voltado para o cliente oferece suporte à propagação confiável de identidade:
+ [ SageMaker Estúdio Amazon](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Para habilitar a propagação de identidade confiável e as sessões de usuários em segundo plano, siga estas etapas:**
+ [Configure o SageMaker Studio como o aplicativo voltado para o cliente.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configure o Amazon S3 Access Grants](tip-tutorial-s3.md) para permitir o acesso temporário aos locais de dados subjacentes no Amazon S3.
# Configurando a propagação de identidade confiável com o Studio SageMaker
O procedimento a seguir orienta você na configuração do SageMaker Studio para propagação confiável de identidade e sessões em segundo plano do usuário.
## Pré-requisitos
Antes de começar este tutorial, você precisará concluir as seguintes tarefas:
1. [Ative o IAM Identity Center](enable-identity-center.md). É exigida uma instância de organização. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
1. [Provisione os usuários e grupos da fonte de identidades no IAM Identity Center](tutorials.md).
1. [Confirme se as sessões de usuários em segundo plano estão habilitadas](user-background-sessions.md) no console do IAM Identity Center. Por padrão, as sessões de usuários em segundo plano estão habilitadas e a duração da sessão é definida como 7 dias. Você pode alterar essa duração.
Para configurar a propagação de identidade confiável do SageMaker Studio, o administrador do SageMaker Studio deve executar as etapas a seguir.
## Etapa 1: Habilitar a propagação de identidade confiável em um domínio do SageMaker Studio novo ou existente
SageMaker O Studio usa domínios para organizar perfis de usuário, aplicativos e seus recursos associados. Para habilitar a propagação de identidade confiável, você deve criar um domínio do SageMaker Studio ou modificar um domínio existente conforme descrito no procedimento a seguir.
1. Abra o console do SageMaker AI, navegue até **Domínios** e siga um dos procedimentos a seguir.
+ **Crie um novo domínio do SageMaker Studio usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Escolha **Configurar para organizações** e, em seguida, faça o seguinte:
+ Escolha **AWS Identity Center** como método de autenticação.
+ Marque a caixa de seleção **Habilitar propagação de identidade confiável para todos os usuários neste domínio**.
+ **Modifique um domínio do SageMaker Studio existente.**
+ Selecione um domínio existente que use o IAM Identity Center para autenticação.
**Importante**
A propagação de identidade confiável só é suportada em domínios do SageMaker Studio que usam o IAM Identity Center para autenticação. Se o domínio usar o IAM para autenticação, você não poderá alterar o método de autenticação e, portanto, não poderá habilitar a propagação de identidade confiável.
+ [Editar configurações de domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Edite as configurações de **Autenticação e permissões** para permitir a propagação de identidade confiável.
1. Vá para a [Etapa 2: configurar o perfil de execução de domínio padrão](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Essa função é necessária para que os usuários de um domínio do SageMaker Studio acessem outros AWS serviços, como o Amazon S3.
## Etapa 2: configure o perfil de execução do domínio padrão e a política de confiança do perfil
Uma *função de execução de domínio* é uma [função do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) que um domínio do SageMaker Studio assume em nome de todos os usuários no domínio. As permissões que você atribui a essa função determinam quais ações o SageMaker Studio pode realizar.
1. Para criar ou selecionar um perfil de execução de domínio, execute uma das seguintes ações:
+ **Crie ou selecione um perfil usando a [Configuração para organizações](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Abra o console de SageMaker IA e siga as orientações do console na **Etapa 2: Configurar funções e atividades de ML** para criar uma nova função de execução de domínio ou selecionar uma função existente.
+ Conclua o restante das etapas de configuração para criar seu domínio do SageMaker Studio.
+ **Crie um perfil de execução manualmente.**
+ Abra o console do IAM e [crie o perfil de execução](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Atualize a política de confiança](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) anexada ao perfil de execução do domínio para que ela inclua as duas ações a seguir: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) e [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Para obter informações sobre como encontrar a função de execução do seu domínio SageMaker Studio, consulte [Obter função de execução do domínio](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Uma *política de confiança* especifica a identidade que pode assumir um perfil. Essa política é necessária para permitir que o serviço SageMaker Studio assuma a função de execução do domínio. Adicione essas duas ações para que elas apareçam da seguinte forma na política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Etapa 3: verificar as permissões exigidas da Concessão de Acesso do Amazon S3 para o perfil de execução do domínio
Para usar o Amazon S3 Access Grants, você deve ter uma política de permissões anexada (como uma política embutida ou uma política gerenciada pelo cliente) à sua função de execução de domínio do SageMaker Studio que contenha as seguintes permissões.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Se você não tiver uma política que contenha essas permissões, siga as instruções em [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Etapa 4: atribuir grupos e usuários ao domínio
Atribua grupos e usuários ao domínio do SageMaker Studio seguindo as etapas em [Adicionar grupos e usuários](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Etapa 5: configurar a Concessão de Acesso do Amazon S3
Para configurar a Concessão de Acesso do Amazon S3, siga as etapas em [Como configurar Concessão de Acesso do Amazon S3 para propagação de identidade confiável por meio do IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Use as step-by-step instruções para concluir as seguintes tarefas:
1. Crie instâncias de Concessão de Acesso do Amazon S3.
1. Registre um local nessa instância.
1. Crie subsídios para permitir que usuários ou grupos específicos do IAM Identity Center acessem locais ou subconjuntos designados do Amazon S3 (por exemplo, prefixos específicos) dentro desses locais.
## Etapa 6: enviar um trabalho de SageMaker treinamento e visualizar os detalhes da sessão em segundo plano do usuário
No SageMaker Studio, lance um novo notebook Jupyter e envie um trabalho de treinamento. Enquanto a tarefa estiver em execução, conclua as etapas a seguir para visualizar as informações da sessão e verificar se o contexto da sessão de usuário em segundo plano está ativo.
1. Abra o console do IAM Identity Center.
1. Selecione **Usuários**.
1. Na página **Usuários**, escolha o nome do usuário cujas sessões você deseja gerenciar. Isso leva você a uma página com as informações do usuário.
1. Na página do usuário, escolha a aba **Sessões ativas**. O número entre parênteses ao lado de **Sessões ativas** indica o número de sessões ativas desse usuário.
1. Para pesquisar sessões pelo nome do recurso da Amazon (ARN) da tarefa que está usando a sessão, na lista **Tipo de sessão**, escolha **Sessões de usuários em segundo plano** e insira o ARN da tarefa na caixa de pesquisa.
Veja a seguir um exemplo de como uma tarefa de treinamento usando uma sessão de usuário em segundo plano aparece na aba **Sessões ativas** para um usuário.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Etapa 7: Exibir os CloudTrail registros para verificar a propagação de identidade confiável no CloudTrail
Quando a propagação de identidade confiável está ativada, as ações aparecem nos registros de CloudTrail eventos abaixo do `onBehalfOf` elemento. O `userId` reflete a ID do usuário do IAM Identity Center que iniciou a tarefa de treinamento. O CloudTrail evento a seguir captura o processo de propagação de identidade confiável.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considerações sobre runtime
Se um administrador definir trabalhos **MaxRuntimeInSeconds**de treinamento ou processamento de longa duração que sejam inferiores à duração da sessão em segundo plano do usuário, o SageMaker Studio executará o trabalho pelo mínimo de uma **MaxRuntimeInSeconds **ou da duração da sessão em segundo plano do usuário.
Para obter mais informações sobre **MaxRuntimeInSeconds**, consulte a orientação para o `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)parâmetro na *Amazon SageMaker API Reference*.
# Serviços de autorização
Em todos os [casos de uso de analytics e data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), você pode obter controles de acesso refinados usando:
+ AWS Lake Formation - para obter orientação, consulte[Configuração AWS Lake Formation com o IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants — Para obter orientação, consulte. [Como configurar a Concessão de Acesso do Amazon S3 com o IAM Identity Center](tip-tutorial-s3.md)
# Configuração AWS Lake Formation com o IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) é um serviço gerenciado que simplifica a criação e o gerenciamento de data lakes na AWS. Ele automatiza a coleta, catalogação e segurança de dados, fornecendo um repositório centralizado para armazenar e analisar diversos tipos de dados. O Lake Formation oferece controles de acesso refinados e se integra a vários serviços de AWS análise, permitindo que as organizações configurem, protejam e obtenham insights de seus data lakes com eficiência.
Siga estas etapas para permitir que o Lake Formation conceda permissões de dados com base na identidade do usuário usando o IAM Identity Center e a propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
+ [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
## Etapas para configurar a propagação de identidade confiável
1. **Integre o IAM Identity Center ao AWS Lake Formation** seguindo as orientações em [Como conectar o Lake Formation ao IAM Identity Center](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html).
**Importante**
**Se você não tiver tabelas AWS Glue Data Catalog **, deverá criá-las para usar o AWS Lake Formation para conceder acesso aos usuários e grupos do IAM Identity Center. Consulte [Como criar objetos no AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) para obter mais informações.
1. **Registre os locais de data lake**.
[Registre os locais do S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) em que os dados das tabelas Glue são armazenados. Ao fazer isso, o Lake Formation provisionará acesso temporário aos locais necessários do S3 quando as tabelas forem consultadas, eliminando a necessidade de incluir permissões do S3 na função de serviço (por exemplo, a função de serviço Athena configurada no). WorkGroup
1. Navegue até os **locais do Data Lake** na seção **Administração** no painel de navegação do AWS Lake Formation console. Selecione **Registrar local**.
Isso permitirá que o Lake Formation provisione credenciais temporárias do IAM com as permissões necessárias para acessar os locais de dados do S3.
![\[Etapa 1: registrar o local do data lake no console do Lake Formation.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Insira o caminho S3 dos locais de dados das tabelas AWS Glue no campo **Caminho do Amazon S3**.
1. Na seção **Perfil do IAM**, não selecione o perfil vinculado ao serviço se quiser usá-lo com a propagação de identidade confiável. Crie um perfil separado com as seguintes permissões.
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). A política de permissão deve conceder acesso ao local do S3 especificado no caminho:
1. **Política de permissão**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relação de confiança**: deve incluir `sts:SectContext`, exigido para a propagação de identidade confiável.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**nota**
O perfil do IAM criado pelo assistente é um perfil vinculado ao serviço e não inclui `sts:SetContext`.
1. Depois de criar o perfil do IAM, selecione **Registrar local**.
## Propagação de identidade confiável com Lake Formation em todo o lado Contas da AWS
AWS Lake Formation suporta o uso [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) para compartilhar tabelas Contas da AWS e funciona com propagação de identidade confiável quando a conta do concedente e a conta do beneficiário estão na mesma Região da AWS, na mesma e compartilham a mesma AWS Organizations instância organizacional do IAM Identity Center. Consulte [Compartilhamento de dados entre contas no Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html) para obter mais informações.
# Como configurar a Concessão de Acesso do Amazon S3 com o IAM Identity Center
O [Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) oferece a flexibilidade de conceder controle de acesso refinado baseado em identidade aos locais do S3. Você pode usar o Amazon S3 Access Grants para conceder acesso ao bucket do Amazon S3 diretamente aos usuários e grupos corporativos. Siga estas etapas para habilitar o S3 Access Grants com o IAM Identity Center e obter uma propagação de identidade confiável.
## Pré-requisitos
Antes de começar este tutorial, você precisará configurar o seguinte:
+ [Ative o IAM Identity Center](enable-identity-center.md). A [instância de organização](organization-instances-identity-center.md) é recomendada. Para obter mais informações, consulte [Pré-requisitos e considerações](trustedidentitypropagation-overall-prerequisites.md).
## Como configurar a Concessão de acesso do S3 para propagação de identidade confiável por meio do IAM Identity Center
**Se você já tiver uma instância do Amazon S3 Access Grants com um local registrado, siga estas etapas:**
1. [Associe a instância do IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Crie uma concessão](#tip-tutorial-s3-create-grant)
**Se você ainda não criou uma Amazon S3 Access Grants, siga estas etapas:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - Você pode criar uma Access Grants instância S3 por. Região da AWS Ao criar a instância de S3 Access Grants, certifique-se de marcar a caixa **Adicionar instância do IAM Identity Center** e fornecer o ARN da instância do IAM Identity Center. Escolha **Próximo**.
A imagem a seguir mostra a página Criar instância de S3 Access Grants no console do Amazon S3 Access Grants:
![\[Página Criar instância de S3 Access Grants no console da Concessão de Acesso do S3.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Registre um local** - Depois de criar e [criar uma Access Grants instância do Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Região da AWS em sua conta, você [registra um local do S3 nessa](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) instância. Um local do S3 Access Grants mapeia a região padrão do S3 (`S3://`), um bucket ou um prefixo a um perfil do (IAM). O S3 Access Grants assume esse perfil do Amazon S3 para distribuir credenciais temporárias ao beneficiário que está acessando esse local específico. Primeiro, é necessário registrar pelo menos um local na instância do S3 Access Grants para poder criar uma concessão de acesso.
Para **Escopo do loca**, especifique `s3://`, o que inclui todos os buckets nessa região. Esse é o escopo de local recomendado para a maioria dos casos de uso. Se você tiver um caso de uso de gerenciamento de acesso avançado, poderá definir o escopo do local para um bucket `s3://bucket` ou prefixo específico dentro de um bucket `s3://bucket/prefix-with-path`. Para obter mais informações, consulte [Registrar um local](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) no *Guia do usuário do Amazon Simple Storage Service*.
**nota**
Certifique-se de que as localizações S3 das AWS Glue tabelas às quais você deseja conceder acesso estejam incluídas nesse caminho.
O procedimento exige que você configure um perfil do IAM para o local. Esse perfil deve incluir permissões para acessar o escopo do local. Você pode usar o assistente do console do S3 para criar o perfil. Você precisará especificar o ARN da instância do S3 Access Grants nas políticas desse perfil do IAM. O valor padrão do ARN da instância do S3 Access Grants é `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
O exemplo de política de permissões a seguir concede permissões ao Amazon S3 para o perfil do IAM que você criou. E a política de confiança de exemplo a seguir permite que a entidade principal de serviço do S3 Access Grants assuma o perfil do IAM.
1. **Política de permissão**
Para usar essas políticas, substitua a política *italicized placeholder text* no exemplo por suas próprias informações. Para obter instruções adicionais, consulte [Criar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Editar uma política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Política de confiança**
Na política de confiança do perfil do IAM, dê à entidade principal do serviço Concessão de Acesso do S3 (`access-grants.s3.amazonaws.com`) acesso ao perfil do IAM que você criou. Para fazer isso, você pode criar um arquivo JSON que contém as instruções a seguir. Para adicionar a política de confiança à sua conta, consulte [Criar uma função usando políticas de confiança personalizadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Criar uma Concessão de Acesso do Amazon S3
Se você tiver uma instância do Amazon S3 Access Grants com um local registrado e tiver associado a instância do IAM Identity Center a ela, poderá [criar uma concessão](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). Na página **Criar concessão** do console do S3, conclua o seguinte:
**Criar uma concessão**
1. Selecione o local criado na etapa anterior. Você pode reduzir o escopo da concessão adicionando um subprefixo. O subprefixo pode ser um `bucket`, `bucket/prefix` ou um objeto no bucket. Para obter mais informações, acesse [Subprefixo](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) no *Guia do usuário do Amazon Simple Storage Service*.
1. Em **Permissões e acesso**, selecione **Ler** e/ou **Gravar** de acordo com as necessidades.
1. Em **Tipo de concedente**, escolha **Identidade de diretório no IAM Identity Center**.
1. Forneça o **ID de usuário ou grupo** do IAM Identity Center. Você pode encontrar o usuário e o grupo IDs no console do IAM Identity Center [nas seções **Usuário** e **Grupo**](howtoviewandchangepermissionset.md). Escolha **Próximo**.
1. Na página **Revisar e concluir**, revise as configurações do S3 Access Grant e selecione **Criar concessão**.
A imagem a seguir mostra a página Criar concessão no console do Amazon S3 Access Grants:
![\[Crie uma página de concessão no console da Concessão de Acesso do Amazon S3\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)
# Configurando seu próprio aplicativo OAuth 2.0
A propagação confiável de identidade permite que um aplicativo gerenciado pelo cliente solicite acesso aos dados nos AWS serviços em nome de um usuário. O gerenciamento de acesso aos dados é baseado na identidade do usuário, portanto, os administradores podem conceder acesso com base no usuário e nas associações a grupo existentes dos usuários. A identidade do usuário, as ações realizadas em seu nome e outros eventos são registrados em registros e CloudTrail eventos específicos do serviço.
Com a propagação de identidade confiável, um usuário pode fazer login em uma aplicação gerenciada pelo cliente e essa aplicação pode transmitir a identidade do usuário em solicitações para acessar dados nos Serviços da AWS.
**Importante**
Para acessar um AWS service (Serviço da AWS), os aplicativos gerenciados pelo cliente devem obter um token de um emissor de token confiável, externo ao IAM Identity Center. Um *emissor de token confiável* é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam aplicativos que iniciam solicitações de acesso Serviços da AWS (recebimento de aplicativos). Para obter mais informações, consulte [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md).
**Topics**
+ [Configure aplicativos OAuth 2.0 gerenciados pelo cliente para propagação confiável de identidade](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)
+ [Especificar aplicações confiáveis](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)
+ [Usar aplicações com um emissor de tokens confiáveis](using-apps-with-trusted-token-issuer.md)
# Configure aplicativos OAuth 2.0 gerenciados pelo cliente para propagação confiável de identidade
Para configurar um aplicativo OAuth 2.0 gerenciado pelo cliente para propagação confiável de identidade, você deve primeiro adicioná-lo ao IAM Identity Center. Use o procedimento a seguir para adicionar a aplicação ao IAM Identity Center.
**Topics**
+ [Etapa 1: selecionar o tipo de aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [Etapa 2: especificar detalhes da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [Etapa 3: especificar as configurações de autenticação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [Etapa 4: especificar as credenciais da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [Etapa 5: revisar e configurar](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## Etapa 1: selecionar o tipo de aplicação
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Escolha **Adicionar aplicação**.
1. Na página **Selecionar tipo de aplicação**, em **Preferências de configuração**, escolha **Eu tenho uma aplicação que quero configurar**.
1. Em **Tipo de aplicativo**, escolha **OAuth 2.0**.
1. Escolha **Avançar** para prosseguir para a próxima página, [Etapa 2: especificar detalhes da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details).
## Etapa 2: especificar detalhes da aplicação
1. Na página **Especificar detalhes da aplicação**, em **Nome e descrição da aplicação**, insira um **Nome de exibição** para a aplicação, como **MyApp**. Insira uma **Descrição**.
1. Em **Método de atribuição de usuário e grupo**, escolha uma das seguintes opções:
+ **Exigir atribuições**: permita apenas que usuários e grupos do IAM Identity Center atribuídos a essa aplicação a acessem.
**Visibilidade do bloco do aplicativo — Somente usuários atribuídos ao aplicativo diretamente ou por meio de uma atribuição em grupo podem visualizar o quadro do aplicativo no portal de AWS acesso, desde que a **visibilidade do aplicativo no portal de AWS acesso** esteja definida como Visível.**
+ **Não exigir atribuições**: permita que todos os usuários e grupos autorizados do IAM Identity Center acessem essa aplicação.
Visibilidade do bloco do aplicativo — O bloco do aplicativo é visível para todos os usuários que entram no portal de AWS acesso, a menos que a **visibilidade do aplicativo no portal de AWS acesso** esteja definida como **Não visível**.
1. Em **portal de AWS acesso**, insira a URL na qual os usuários podem acessar o aplicativo e especifique se o mosaico do aplicativo ficará visível ou não no portal de AWS acesso. Se você escolher **Não visível**, nem mesmo os usuários atribuídos poderão visualizar o bloco da aplicação.
1. Expanda **Tags (opcional)**, escolha **Adicionar nova tag** e especifique valores de **Chave** e **Valor (opcional)**.
Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md).
1. Escolha **Avançar** e prossiga para a próxima página, [Etapa 3: especificar as configurações de autenticação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings).
## Etapa 3: especificar as configurações de autenticação
Para adicionar um aplicativo gerenciado pelo cliente que suporte OAuth 2.0 ao IAM Identity Center, você deve especificar um emissor de token confiável. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam as aplicações que iniciam as solicitações (aplicações solicitantes) a acessar as aplicações gerenciadas pela AWS (aplicações recebedoras).
1. Na página **Especificar configurações de autenticação**, em **Emissores de token confiáveis**, faça uma das seguintes alternativas:
+ Para usar um emissor de tokens confiáveis existente:
Marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você deseja excluir.
+ Para adicionar um novo emissor de tokens confiáveis:
1. Escolha **Criar emissor de tokens confiáveis.**
1. Uma nova guia de navegador é aberta. Siga as etapas de 5 a 8 em [Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer).
1. Depois de concluir essas etapas, volte à janela do navegador que você está usando para a configuração da aplicação e selecione o emissor de tokens confiáveis que acabou de adicionar.
1. Na lista de emissores de tokens confiáveis, marque a caixa de seleção ao lado do nome do emissor de tokens confiáveis que você acabou de adicionar.
Depois de selecionar um emissor de tokens confiáveis, a seção **Configurar os emissores de tokens confiáveis selecionados** é exibida.
1. Em **Configurar os emissores de token confiáveis selecionados**, insira a **declaração Aud**. A **declaração Aud** identifica o público-alvo (destinatários) do token gerado pelo emissor de tokens confiáveis. Para obter mais informações, consulte [Declaração de Aud](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
1. Para evitar que os usuários precisem ser autenticados novamente quando estiverem usando essa aplicação, selecione **Habilitar concessão de tokens de atualização**. Quando selecionada, essa opção atualiza o token de acesso da sessão a cada 60 minutos, até que a sessão expire ou o usuário encerre a sessão.
1. Escolha **Avançar** e prossiga para a próxima página, [Etapa 4: especificar as credenciais da aplicação](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials).
## Etapa 4: especificar as credenciais da aplicação
Conclua as etapas deste procedimento para especificar as credenciais que a aplicação usa para realizar ações de troca de tokens com aplicações confiáveis. Essas credenciais são usadas em uma política baseada no recurso. A política exige que você especifique uma entidade principal que tenha permissões para fazer as ações nela especificadas. **Você deve especificar uma entidade principal**, mesmo que as aplicações confiáveis estejam na mesma Conta da AWS.
**nota**
Ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para a realização de uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo.
Essa política exige a ação de API [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Para obter mais informações sobre essa política e um exemplo que você pode adaptar conforme exigido ao ambiente, consulte [Exemplo de política baseada em recursos para o IAM Identity Center](iam-auth-access-using-resource-based-policies.md).
1. Na página **Especificar credenciais da aplicação**, escolha uma das seguintes opções:
+ Para especificar rapidamente um ou mais perfis do IAM:
1. Selecione **Inserir um ou mais perfis do IAM**.
1. Em **Inserir perfis do IAM**, especifique o nome do recurso da Amazon (ARN) de um perfil do IAM existente. Para especificar o ARN, use a sintaxe a seguir. A parte da região do ARN está em branco porque os recursos do IAM são globais.
```
arn:aws:iam::account:role/role-name-with-path
```
*Para obter mais informações, consulte [Acesso entre contas usando políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies) e [IAM ARNs no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) usuário.AWS Identity and Access Management *
+ Para editar manualmente a política (necessária se você especificar informações não AWS credenciais):
1. Selecione **Editar a política da aplicação**.
1. Modifique a política digitando ou colando texto na caixa de texto JSON.
1. Resolva todos os avisos de segurança, erros ou avisos gerais gerados durante a validação de política. Para obter mais informações, consulte [Validating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) no *AWS Identity and Access Management User Guide*.
1. Escolha **Avançar** e prossiga para a próxima página, [Etapa 5: revisar e configurar](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure).
## Etapa 5: revisar e configurar
1. Na página **Revisar e configurar**, revise as escolhas feitas. Para fazer alterações, escolha a seção de configuração desejada, escolha **Editar** e faça as alterações necessárias.
1. Quando terminar, escolha **Adicionar aplicação**.
1. A aplicação que você adicionou aparece na lista **Aplicações gerenciadas pelo cliente**.
1. Depois de configurar seu aplicativo gerenciado pelo cliente no IAM Identity Center, você deve especificar um ou mais Serviços da AWS aplicativos confiáveis para propagação de identidade. Isso permite que os usuários façam login na aplicação gerenciada pelo cliente e acessem os dados na aplicação confiável.
Para obter mais informações, consulte [Especificar aplicações confiáveis](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md).
# Especificar aplicações confiáveis
Depois de [configurar seu aplicativo gerenciado pelo cliente](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md), você deve especificar um ou mais AWS serviços confiáveis, ou aplicativos confiáveis, para propagação de identidade. Especifique um AWS serviço que tenha dados que os usuários dos aplicativos gerenciados pelo cliente precisam acessar. Quando os usuários fizerem login na aplicação gerenciada pelo cliente, ela passará a identidade dos usuários para a aplicação confiável.
Use o procedimento a seguir para selecionar um serviço e especificar as aplicações individuais confiáveis para esse serviço.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Escolha a guia **Gerenciada pelo cliente**.
1. Na lista de **aplicativos gerenciados pelo cliente**, selecione o aplicativo OAuth 2.0 que você deseja iniciar solicitações de acesso. Essa é a aplicação na qual seus usuários fazem login.
1. Na **página Detalhes**, em **Aplicações confiáveis para a propagação de identidades**, escolha **Especificar aplicações confiáveis**.
1. Em **Tipo de configuração**, selecione **Aplicações individuais e especificar acesso** e escolha **Avançar**.
1. Na página **Selecionar serviço**, escolha o serviço da AWS que tem aplicações nos quais a aplicação gerenciada pelo cliente pode confiar para a propagação de identidades e depois escolha **Avançar**.
O serviço que você seleciona define as aplicações confiáveis. Você selecionará as aplicações na próxima etapa.
1. Na página **Selecionar aplicações**, escolha **Aplicações individuais**, marque a caixa de seleção de cada aplicação que pode receber solicitações de acesso e escolha **Avançar**.
1. Na página **Configurar acesso**, em **Método de configuração**, escolha uma das seguintes opções:
+ **Selecionar acesso por aplicação**: selecione essa opção para configurar diferentes níveis de acesso para cada aplicação. Escolha a aplicação para a qual você deseja configurar o nível de acesso e depois escolha **Editar acesso**. Em **Nível de acesso a ser aplicado**, altere os níveis de acesso conforme necessário e escolha **Salvar alterações**.
+ **Aplicar o mesmo nível de acesso a todas as aplicações**: selecione essa opção se você não precisar configurar níveis de acesso por aplicação.
1. Escolha **Próximo**.
1. Na página **Revisar configuração**, revise as escolhas que fez. Para fazer alterações, escolha a seção de configuração desejada, escolha **Editar acesso** e faça as alterações necessárias.
1. Quando terminar, escolha **Confiar nas aplicações**.
# Usar aplicações com um emissor de tokens confiáveis
Os emissores de tokens confiáveis permitem que você use a propagação de identidade confiável com aplicativos que se autenticam fora do. AWS Com emissores de tokens confiáveis, você pode autorizar esses aplicativos a fazer solicitações em nome de seus usuários para acessar aplicativos AWS gerenciados.
Os tópicos a seguir descrevem como os emissores de tokens confiáveis funcionam além de fornecer orientação sobre configuração.
**Topics**
+ [Visão geral do emissor de tokens confiáveis](#trusted-token-issuer-overview)
+ [Pré-requisitos e considerações para emissores de tokens confiáveis](#trusted-token-issuer-prerequisites)
+ [Detalhes da declaração JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Configurações de emissor de tokens confiáveis](trusted-token-issuer-configuration-settings.md)
+ [Configurar um emissor de tokens confiáveis](setuptrustedtokenissuer.md)
+ [Sessões de perfil do IAM aprimoradas com identidade](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)
## Visão geral do emissor de tokens confiáveis
A propagação de identidade confiável fornece um mecanismo que permite que aplicativos que se autenticam externamente AWS façam solicitações em nome de seus usuários com o uso de um emissor de token confiável. Um *emissor de token confiável* é um servidor de autorização OAuth 2.0 que cria tokens assinados. Esses tokens autorizam aplicativos que iniciam solicitações (solicitando aplicativos) para acesso Serviços da AWS(recebimento de aplicativos). As aplicações solicitantes iniciam solicitações de acesso em nome dos usuários que o emissor de tokens confiáveis autentica. Os usuários são conhecidos tanto pelo emissor de tokens confiáveis quanto pelo IAM Identity Center.
Serviços da AWS que recebem solicitações gerenciam autorizações refinadas para seus recursos com base em seus usuários e membros de grupos, conforme representado no diretório do Identity Center. Serviços da AWS não pode usar os tokens diretamente do emissor externo do token.
Para resolver isso, o IAM Identity Center oferece uma maneira para a aplicação solicitante, ou um driver da AWS usado pela aplicação solicitante, trocar o token emitido pelo emissor de tokens confiáveis por um token gerado pelo IAM Identity Center. O token gerado pelo IAM Identity Center referencia o usuário correspondente do IAM Identity Center. A aplicação solicitante, ou o driver, usa o novo token para iniciar uma solicitação à aplicação recebedora. Como o novo token referencia o usuário correspondente no IAM Identity Center, a aplicação recebedora pode autorizar o acesso solicitado com base no usuário ou na sua associação a um grupo, conforme representado no IAM Identity Center.
**Importante**
Escolher um servidor de autorização OAuth 2.0 para adicionar como um emissor de token confiável é uma decisão de segurança que requer uma análise cuidadosa. Escolha somente emissores de token confiáveis em que você confia para realizar as seguintes tarefas:
Autenticar o usuário especificado no token.
Autorizar o acesso desse usuário à aplicação recebedora.
Gerar um token que o IAM Identity Center possa trocar por um token criado pelo IAM Identity Center.
## Pré-requisitos e considerações para emissores de tokens confiáveis
Antes de configurar um emissor de tokens confiáveis, revise os seguintes pré-requisitos e considerações.
+ **Configuração de emissor de tokens confiáveis**
Você deve configurar um servidor de autorização OAuth 2.0 (o emissor confiável do token). Embora o emissor de tokens confiáveis seja normalmente o provedor de identidades que você usa como fonte de identidades para o IAM Identity Center, não precisa ser. Para obter informações sobre como configurar o emissor de tokens confiáveis, consulte a documentação do provedor de identidades relevante.
**nota**
Você pode configurar até 10 emissores de tokens confiáveis para usar com o IAM Identity Center, desde que mapeie a identidade de cada usuário no emissor de tokens confiáveis para um usuário correspondente no IAM Identity Center.
+ O servidor de autorização OAuth 2.0 (o emissor confiável do token) que cria o token deve ter um endpoint de descoberta do [OpenID Connect (](https://openid.net/specs/openid-connect-discovery-1_0.html)OIDC) que o IAM Identity Center possa usar para obter chaves públicas para verificar as assinaturas do token. Para obter mais informações, consulte [URL do endpoint de descoberta OIDC (URL do emissor)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Tokens emitidos pelo emissor de tokens confiáveis**
Os tokens do emissor de tokens confiáveis devem atender aos seguintes requisitos:
+ O token deve ser assinado e estar no formato [JSON Web Token (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) usando o RS256 algoritmo.
+ O token deve conter as seguintes declarações:
+ [Emissor](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss): a entidade que emitiu o token. Esse valor deve corresponder ao valor configurado no endpoint de descoberta OIDC (URL do emissor) no emissor de tokens confiáveis.
+ [Assunto](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sub): o usuário autenticado.
+ [Público](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud): o destinatário pretendido do token. Esse é o AWS service (Serviço da AWS) que será acessado após o token ser trocado por um token do IAM Identity Center. Para obter mais informações, consulte [Declaração de Aud](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
+ [Tempo de validade](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp): o tempo após o qual o token expira.
+ O token pode ser um token de identidade ou um token de acesso.
+ O token deve ter um atributo que possa ser mapeado exclusivamente para um usuário do IAM Identity Center.
**nota**
Não há suporte para o uso de uma chave JWTs de Microsoft Entra ID assinatura personalizada para from. Para usar tokens do Microsoft Entra ID com um emissor de token confiável, você não pode usar uma chave de assinatura personalizada.
+ **Declarações opcionais**
O IAM Identity Center é compatível com todas as declarações opcionais definidas na RFC 7523. Para obter mais informações, consulte a [Seção 3: formato JWT e requisitos de processamento](https://datatracker.ietf.org/doc/html/rfc7523#section-3) dessa RFC.
Por exemplo, o token pode conter uma declaração [JTI (JWT ID)](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7). Essa declaração, quando presente, impede que tokens com Lo mesmo JTI sejam reutilizados para trocas de tokens. Para obter mais informações sobre a declaração, consulte [Detalhes da declaração JTI](#trusted-token-issuer-configuration-jti-claim).
+ **Configuração do IAM Identity Center para funcionar com um emissor de tokens confiáveis**
Você também deve habilitar o IAM Identity Center, configurar a fonte de identidades para o IAM Identity Center e provisionar os usuários que correspondem aos usuários no diretório do emissor de tokens confiáveis.
Para isso, faça uma das seguintes alternativas:
+ Sincronize os usuários com o IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0.
+ Crie os usuários diretamente no IAM Identity Center.
## Detalhes da declaração JTI
Se o IAM Identity Center receber uma solicitação para trocar um token que o IAM Identity Center já trocou, a solicitação falhará. Para detectar e evitar a reutilização de um token em trocas de tokens, você pode incluir uma declaração JTI. O IAM Identity Center protege contra a repetição de tokens com base nas declarações neles contidas.
Nem todos os servidores de autorização OAuth 2.0 adicionam uma reivindicação de JTI aos tokens. Alguns servidores de autorização OAuth 2.0 podem não permitir que você adicione uma JTI como uma declaração personalizada. OAuth Os servidores de autorização 2.0 que suportam o uso de uma declaração de JTI podem adicionar essa declaração somente aos tokens de identidade, somente aos tokens de acesso ou a ambos. Para obter mais informações, consulte a documentação do seu servidor de autorização OAuth 2.0.
Para obter informações sobre a criação de aplicações que trocam tokens, consulte a documentação da API do IAM Identity Center. Para obter informações sobre como configurar uma aplicação gerenciada pelo cliente para obter e trocar os tokens corretos, consulte a documentação da aplicação.
# Configurações de emissor de tokens confiáveis
As seções a seguir descrevem as configurações necessárias para configurar e usar um emissor de tokens confiáveis.
**Topics**
+ [URL do endpoint de descoberta OIDC (URL do emissor)](#oidc-discovery-endpoint-url)
+ [Mapeamento de atributos](#trusted-token-issuer-attribute-mappings)
+ [Declaração de Aud](#trusted-token-issuer-aud-claim)
## URL do endpoint de descoberta OIDC (URL do emissor)
Ao adicionar um emissor de tokens confiáveis ao console do IAM Identity Center, é necessário especificar o URL do endpoint de descoberta OIDC. Esse URL é comumente referenciado por seu URL relativo, `/.well-known/openid-configuration`. No console do IAM Identity Center, esse URL é chamado de *URL do emissor*.
**nota**
Você deve colar o URL do endpoint de descoberta *até e sem*`.well-known/openid-configuration`. Se `.well-known/openid-configuration` for incluída no URL, a configuração do emissor de tokens confiáveis não funcionará. Como o IAM Identity Center não valida esse URL, se o URL não estiver formado corretamente, a configuração do emissor de tokens confiáveis falhará sem notificação.
O URL do endpoint de descoberta OIDC só deve ser acessível pelas portas 80 e 443.
O IAM Identity Center usa esse URL para obter informações adicionais sobre o emissor de tokens confiáveis. Por exemplo, o IAM Identity Center usa esse URL para obter as informações necessárias para verificar os tokens gerados pelo emissor de tokens confiáveis. Quando adicionar um emissor de tokens confiáveis ao IAM Identity Center, você deve especificar esse URL. Para encontrar a URL, consulte a documentação do provedor de servidor de autorização OAuth 2.0 que você usa para gerar tokens para seu aplicativo ou entre em contato diretamente com o provedor para obter assistência.
## Mapeamento de atributos
Os mapeamentos de atributos permitem que o IAM Identity Center faça a correspondência entre o usuário declarado em um token emitido por um emissor de tokens confiáveis e um único usuário no IAM Identity Center. Você deve especificar o mapeamento de atributos quando adicionar o emissor de tokens confiáveis ao IAM Identity Center. Esse mapeamento de atributos é usado em uma declaração no token gerado pelo emissor de tokens confiáveis. O valor na declaração é usado para pesquisar no IAM Identity Center. A pesquisa usa o atributo especificado para recuperar um único usuário no IAM Identity Center, que será usado como usuário no AWS. A declaração que você escolher deve ser mapeada para um único atributo em uma lista fixa de atributos disponíveis no repositório de identidades do IAM Identity Center. Você pode escolher um dos seguintes atributos do repositório de identidades do IAM Identity Center: nome de usuário, e-mail e ID externo. O valor do atributo que você especifica no IAM Identity Center deve ser exclusivo para cada usuário.
## Declaração de Aud
Uma *declaração aud* identifica o público (destinatários) ao qual um token se destina. Quando a aplicação que solicita acesso é autenticada por um provedor de identidades que não está federado ao IAM Identity Center, esse provedor de identidades deve ser configurado como um emissor de tokens confiáveis. A aplicação que recebe a solicitação de acesso (a aplicação recebedora) deve trocar o token gerado pelo emissor de tokens confiáveis por um token gerado pelo IAM Identity Center.
Para obter informações sobre como obter os valores da declaração aud para a aplicação recebedora como registrados no emissor de tokens confiáveis, consulte a documentação do emissor de tokens confiáveis ou entre em contato com o administrador do emissor de tokens confiáveis para obter ajuda.
# Configurar um emissor de tokens confiáveis
Para permitir a propagação de identidades confiáveis para uma aplicação que faz a autenticação fora do IAM Identity Center, um ou mais administradores devem configurar um emissor de tokens confiáveis. Um emissor de token confiável é um servidor de autorização OAuth 2.0 que emite tokens para aplicativos que iniciam solicitações (solicitando aplicativos). Os tokens autorizam esses aplicativos a iniciar solicitações em nome de seus usuários para um aplicativo receptor (an AWS service (Serviço da AWS)).
**Topics**
+ [Coordenar perfis e responsabilidades administrativas](#coordinating-administrative-roles-responsibilities)
+ [Tarefas para configurar um emissor de tokens confiáveis](#setuptrustedtokenissuer-tasks)
+ [Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Como visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center](#view-edit-trusted-token-issuers)
+ [Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis](#setuptrustedtokenissuer-setup-process-request-flow)
## Coordenar perfis e responsabilidades administrativas
Em alguns casos, um único administrador pode realizar todas as tarefas necessárias para configurar um emissor de tokens confiáveis. Se vários administradores realizarem essas tarefas, será necessária uma coordenação estreita. A tabela a seguir descreve como vários administradores podem se coordenar para configurar um emissor de token confiável e configurar o AWS serviço para usá-lo.
**nota**
O aplicativo pode ser qualquer AWS serviço integrado ao IAM Identity Center e que ofereça suporte à propagação de identidade confiável.
Para obter mais informações, consulte [Tarefas para configurar um emissor de tokens confiáveis](#setuptrustedtokenissuer-tasks).
****
| Perfil | Executa essas tarefas | Coordena com |
| --- | --- | --- |
| Administrador do IAM Identity Center | Adiciona o IdP externo como um emissor de tokens confiáveis ao console do IAM Identity Center. Ajuda a configurar o mapeamento correto dos atributos entre o IAM Identity Center e o IdP externo. Notifica o administrador do AWS serviço quando o emissor de token confiável é adicionado ao console do IAM Identity Center. | Administrador do IdP (emissor de tokens confiáveis) externo AWS administrador do serviço |
| Administrador do IdP (emissor de tokens confiáveis) externo | Configura o IdP externo para emitir tokens. Ajuda a configurar o mapeamento correto dos atributos entre o IAM Identity Center e o IdP externo. Fornece o nome do público (declaração Aud) ao administrador do serviço da AWS . | Administrador do IAM Identity Center AWS administrador do serviço |
| AWS administrador do serviço | Verifica o console AWS de serviço em busca do emissor de token confiável. O emissor confiável do token ficará visível no console de AWS serviço depois que o administrador do IAM Identity Center o adicionar ao console do IAM Identity Center. Configura o AWS serviço para usar o emissor de token confiável. | Administrador do IAM Identity Center Administrador do IdP (emissor de tokens confiáveis) externo |
## Tarefas para configurar um emissor de tokens confiáveis
Para configurar um emissor de tokens confiáveis, um administrador do IAM Identity Center, o administrador do IdP (emissor de tokens confiáveis) externo e o administrador da aplicação devem realizar as tarefas a seguir.
**nota**
O aplicativo pode ser qualquer AWS serviço integrado ao IAM Identity Center e que ofereça suporte à propagação de identidade confiável.
1. **Adicione o emissor de token confiável ao IAM Identity Center** — O administrador do IAM Identity Center [adiciona o emissor de token confiável usando o console do IAM Identity Center](#how-to-add-trustedtokenissuer) ou. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Essa configuração requer a especificação do seguinte:
+ Um nome de emissor de tokens confiáveis.
+ O URL do endpoint de descoberta OIDC (no console do IAM Identity Center, esse URL é chamado de *URL do emissor*). O endpoint de descoberta só deve ser acessível pelas portas 80 e 443.
+ Mapeamento de atributos para pesquisa de usuários. Esse mapeamento de atributos é usado em uma declaração no token que é gerado pelo emissor de tokens confiáveis. O valor na declaração é usado para pesquisar no IAM Identity Center. A pesquisa usa o atributo especificado para recuperar um único usuário do IAM Identity Center.
1. **Conectar o AWS serviço ao IAM Identity Center** — O administrador do AWS serviço deve conectar o aplicativo ao IAM Identity Center usando o console do aplicativo ou do aplicativo APIs.
Depois que o emissor de token confiável é adicionado ao console do IAM Identity Center, ele também fica visível no console de AWS serviço e está disponível para seleção pelo administrador do AWS serviço.
1. **Configurar o uso da troca de tokens** — No console de AWS serviço, o administrador do AWS serviço configura o AWS serviço para aceitar tokens emitidos pelo emissor confiável do token. Esses tokens são trocados por tokens gerados pelo IAM Identity Center. Isso requer a especificação do nome do emissor de token confiável da Etapa 1 e o valor da solicitação de Aud que corresponde ao AWS serviço.
O emissor confiável do token coloca o valor da reivindicação Aud no token que ele emite para indicar que o token se destina ao uso pelo AWS serviço. Para obter esse valor, entre em contato com o administrador do emissor de tokens confiáveis.
## Como adicionar um emissor de tokens confiáveis ao console do IAM Identity Center
Em uma organização que tem vários administradores, essa tarefa é realizada por um administrador do IAM Identity Center. Se você for o administrador do IAM Identity Center, deverá escolher qual IdP externo usar como emissor de tokens confiáveis.
**Para adicionar um emissor de tokens confiáveis ao console do IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Autenticação**.
1. Em **Emissores de token confiáveis**, escolha **Criar emissor de tokens confiáveis**.
1. Na página **Configurar um IdP externo para emitir tokens confiáveis**, em **Detalhes do emissor de tokens confiáveis**, faça o seguinte:
+ Em **URL do emissor**, especifique o [URL de descoberta OIDC](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) do IdP externo que emitirá tokens para a propagação de identidade confiável. Você deve especificar o URL do endpoint de descoberta até e sem `.well-known/openid-configuration`. O administrador do IdP externo pode fornecer esse URL.
**nota**
Observação: esse URL deve corresponder ao URL na declaração do emissor (iss) em tokens emitidos para propagação de identidades confiáveis.
+ Em **Nome do emissor de tokens confiáveis**, insira um nome para identificar esse emissor de tokens confiáveis no IAM Identity Center e no console da aplicação.
1. Em **Mapear atributos**, faça o seguinte:
+ Em **Atributo do provedor de identidades**, selecione um atributo na lista para mapear para um atributo no repositório de identidades do IAM Identity Center.
+ Em **Atributo do IAM Identity Center**, selecione o atributo correspondente para o mapeamento de atributos.
1. Em **Tags (opcional)**, escolha **Adicionar nova tag** e especifique um valor para **Chave** e, opcionalmente, para **Valor**.
Para obter mais informações sobre tags, consulte [Recursos de marcação Centro de Identidade do AWS IAM](tagging.md).
1. Escolha **Criar emissor de tokens confiáveis.**
1. Depois de concluir a criação do emissor de tokens confiáveis, entre em contato com o administrador da aplicação para informar o nome do emissor de tokens confiáveis, para que ele possa confirmar que o emissor de tokens confiáveis está visível no console aplicável.
1. O administrador da aplicação deve selecionar esse emissor de tokens confiáveis no console aplicável para permitir o acesso do usuário à aplicação a partir das aplicações configuradas para a propagação de identidades confiáveis.
## Como visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center
Depois de adicionar um emissor de tokens confiáveis ao console do IAM Identity Center, você pode visualizar e editar as configurações relevantes.
Se você pretende editar as configurações do emissor de tokens confiáveis, lembre-se de que isso pode fazer com que os usuários percam o acesso a qualquer aplicação configurada para usar o emissor de tokens confiáveis. Para evitar interromper o acesso dos usuários, recomendamos que você coordene com os administradores de todas as aplicações configuradas para que usem o emissor de tokens confiáveis antes de editar as configurações.
**Para visualizar ou editar as configurações do emissor de tokens confiáveis no console do IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Autenticação**.
1. Em **Emissores de tokens confiáveis**, selecione o emissor de tokens confiáveis que você deseja visualizar ou editar.
1. Escolha **Ações** e, em seguida, escolha **Editar**.
1. Na página **Editar emissor de tokens confiáveis**, visualize ou edite as configurações conforme necessário. Você pode editar o nome do emissor de tokens confiáveis os mapeamentos de atributos e as tags.
1. Escolha **Salvar alterações**.
1. Na caixa de diálogo **Editar emissor de tokens confiáveis**, será solicitado que você confirme se deseja fazer alterações. Escolha **Confirmar**.
## Processo de configuração e fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis
Esta seção descreve o processo de configuração e o fluxo de solicitação para aplicações que usam um emissor de tokens confiáveis para a propagação de identidades confiáveis. O diagrama a seguir fornece uma visão geral desse processo.
![\[Processo de configuração e os fluxos de solicitação para aplicações que usam um emissor de tokens confiáveis para a propagação de identidades confiáveis\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)
As etapas a seguir fornecem informações adicionais sobre esse processo.
1. Configure o IAM Identity Center e o aplicativo AWS gerenciado de recebimento para usar um emissor de token confiável. Para mais informações, consulte [Tarefas para configurar um emissor de tokens confiáveis](#setuptrustedtokenissuer-tasks).
1. O fluxo de solicitação começa quando um usuário abre a aplicação solicitante.
1. O aplicativo solicitante solicita um token do emissor confiável do token para iniciar solicitações ao aplicativo gerenciado receptor AWS . Se o usuário ainda não tiver sido autenticado, esse processo acionará um fluxo de autenticação. O token contém as seguintes informações:
+ O assunto (Sub) do usuário.
+ O atributo que o IAM Identity Center usa para pesquisar o usuário correspondente no IAM Identity Center.
+ Uma declaração de público (Aud) que contém um valor que o emissor de tokens confiáveis associa à aplicação gerenciada pela AWS recebedora. Se outras declarações estiverem presentes, elas não serão usadas pelo IAM Identity Center.
1. O aplicativo solicitante, ou o AWS driver que ele usa, passa o token para o IAM Identity Center e solicita que o token seja trocado por um token gerado pelo IAM Identity Center. Se você usar um driver da AWS , talvez seja necessário configurá-lo para esse caso de uso. Para obter mais informações, consulte a documentação do aplicativo AWS gerenciado relevante.
1. O IAM Identity Center usa o endpoint de descoberta OIDC para obter a chave pública que pode ser usada para verificar a autenticidade do token. Em seguida, o IAM Identity Center faz o seguinte:
+ Verifica o token.
+ Pesquisa o diretório do Identity Center. Para fazer isso, o IAM Identity Center usa o atributo mapeado especificado no token.
+ Verifica se o usuário está autorizado a acessar a aplicação recebedora. Se o aplicativo AWS gerenciado estiver configurado para exigir atribuições a usuários e grupos, o usuário deverá ter uma atribuição direta ou baseada em grupo ao aplicativo; caso contrário, a solicitação será negada. Se o aplicativo AWS gerenciado estiver configurado para não exigir atribuições de usuários e grupos, o processamento continuará.
**nota**
AWS os serviços têm uma configuração de configuração padrão que determina se as atribuições são necessárias para usuários e grupos. Recomendamos que você não modifique a configuração **Exigir atribuições** para essas aplicações se planejar usá-las com a propagação de identidades confiáveis. Mesmo que você tenha configurado permissões refinadas que permitam que o usuário acesse recursos específicos da aplicação, modificar a configuração **Exigir atribuições** pode resultar em um comportamento inesperado, incluindo interrupção do acesso do usuário a esses recursos.
+ Verifica se o aplicativo solicitante está configurado para usar escopos válidos para o aplicativo gerenciado receptor AWS .
1. Se as etapas de verificação anteriores forem bem-sucedidas, o IAM Identity Center criará um novo token. O novo token é um token opaco (criptografado) que inclui a identidade do usuário correspondente no IAM Identity Center, o público (Aud) do aplicativo AWS gerenciado receptor e os escopos que o aplicativo solicitante pode usar ao fazer solicitações ao aplicativo gerenciado receptor AWS .
1. A aplicação solicitante, ou o driver que ela usa, inicia uma solicitação de recurso para a aplicação recebedora e passa o token que o IAM Identity Center gerou para a aplicação recebedora.
1. A aplicação recebedora faz chamadas para o IAM Identity Center para obter a identidade do usuário e os escopos que estão codificados no token. Ela também pode fazer solicitações para obter os atributos do usuário ou das associações a grupos do usuário no diretório do Identity Center.
1. A aplicação recebedora usa sua configuração de autorização para definir se o usuário está autorizado a acessar o recurso da aplicação solicitado.
1. Se o usuário estiver autorizado a acessar o recurso da aplicação solicitado, a aplicação recebedora responderá à solicitação.
1. A identidade do usuário, as ações realizadas em seu nome e outros eventos são registrados nos registros e CloudTrail eventos do aplicativo receptor. O modo específico como essas informações são registradas varia de acordo com a aplicação.
# Sessões de perfil do IAM aprimoradas com identidade
O [AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html) (STS) permite que uma aplicação obtenha uma sessão de perfil do IAM de identidade avançada. As sessões de função aprimorada com identidade têm um contexto de identidade adicional que carrega um identificador de usuário para AWS service (Serviço da AWS) aquele que ela chama. Serviços da AWS pode pesquisar as associações de grupo e os atributos do usuário no IAM Identity Center e usá-los para autorizar o acesso do usuário aos recursos.
AWS os aplicativos obtêm sessões de função aprimoradas com identidade fazendo solicitações à ação da AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API e transmitindo uma declaração de contexto com o identificador do usuário (`userId`) no `ProvidedContexts` parâmetro da solicitação para. `AssumeRole` A declaração de contexto é obtida da reivindicação `idToken` recebida em resposta a uma solicitação a `SSO OIDC` para [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Quando um AWS aplicativo usa uma sessão de função com identidade aprimorada para acessar um recurso, CloudTrail registra `userId` a sessão inicial e a ação realizada. Para obter mais informações, consulte [Registro em log de sessão de perfil do IAM aprimorado com identidade](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Tipos de sessões de perfil do IAM aprimoradas com identidade](#types-identity-enhanced-iam-role-sessions)
+ [Registro em log de sessão de perfil do IAM aprimorado com identidade](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Tipos de sessões de perfil do IAM aprimoradas com identidade
AWS STS pode criar dois tipos diferentes de sessões de função do IAM com identidade aprimorada, dependendo da afirmação de contexto fornecida à solicitação. `AssumeRole` As aplicações que obtiveram tokens de ID do IAM Identity Center podem adicionar `sts:identiy_context` (recomendado) ou `sts:audit_context` (compatível em versões anteriores) às sessões de perfil do IAM. Uma sessão de perfil do IAM de identidade avançada só pode ter uma dessas asserções de contexto, não ambas.
### Sessões de perfil do IAM aprimoradas com identidade criadas com o `sts:identity_context`
Quando uma sessão de perfil de identidade avançada contém `sts:identity_context`, o AWS service (Serviço da AWS) chamado determina se a autorização do recurso é baseada no usuário representado na sessão de perfil ou se é baseada no perfil. O Serviços da AWS que oferece suporte à autorização baseada no usuário fornece ao administrador da aplicação controles para atribuir acesso ao usuário ou aos grupos dos quais o usuário é membro.
Serviços da AWS que não oferecem suporte à autorização baseada no usuário, desconsidere o. `sts:identity_context` CloudTrail registra o UserID do usuário do IAM Identity Center com todas as ações realizadas pela função. Para obter mais informações, consulte [Registro em log de sessão de perfil do IAM aprimorado com identidade](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Para obter esse tipo de sessão de função com identidade aprimorada AWS STS, os aplicativos fornecem o valor do `sts:identity_context` campo na [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)solicitação usando o parâmetro de `ProvidedContexts` solicitação. Use `arn:aws:iam::aws:contextProvider/IdentityCenter` como valor de `ProviderArn`.
Para obter mais informações sobre como a autorização se comporta, consulte a documentação do recebimento. AWS service (Serviço da AWS)
### Sessões de perfil do IAM aprimoradas com identidade criadas com o `sts:audit_context`
No passado, `sts:audit_context` era usado para permitir registrar Serviços da AWS a identidade do usuário sem usá-la para tomar uma decisão de autorização. Serviços da AWS agora são capazes de usar um único contexto - `sts:identity_context` - para conseguir isso, bem como para tomar decisões de autorização. Recomendamos usar `sts:identity_context` em todas as novas implantações de propagação de identidade confiável.
## Registro em log de sessão de perfil do IAM aprimorado com identidade
Quando uma solicitação é feita para AWS service (Serviço da AWS) usar uma sessão de função do IAM com identidade aprimorada, o IAM Identity Center do usuário `userId` é conectado ao elemento CloudTrail . `OnBehalfOf` A forma como os eventos são registrados CloudTrail varia de acordo com o. AWS service (Serviço da AWS) Nem todos os Serviços da AWS registram em log o elemento `onBehalfOf`.
Veja a seguir um exemplo de como uma solicitação feita a uma AWS service (Serviço da AWS) sessão de função com identidade aprimorada é registrada. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```
# Fazer o rodízio de certificados do IAM Identity Center
O IAM Identity Center usa certificados para configurar uma relação de confiança SAML entre o IAM Identity Center e o provedor de serviços da aplicação. Quando você adiciona uma aplicação no IAM Identity Center, um certificado do IAM Identity Center é criado automaticamente para uso com essa aplicação durante o processo de configuração. Por padrão, esse certificado do IAM Identity Center gerado automaticamente é válido por um período de cinco anos.
Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados antigos por novos para um determinada aplicação. Por exemplo, você talvez precise substituir um certificado quando a data de expiração do certificado está se aproximando. O processo de substituição de um certificado antigo por um mais novo é chamado de *rotação de certificados*.
## Considerações antes de fazer a rotação de um certificado
Antes de iniciar o processo de rotação de um certificado no IAM Identity Center, considere o seguinte:
+ O processo de rotação da certificação exige que você restabeleça a confiança entre o IAM Identity Center e o provedor de serviços. Para restabelecer a confiança, use os procedimentos fornecidos em [Fazer a rotação de um certificado do IAM Identity Center](rotatecert.md).
+ A atualização do certificado com o provedor de serviços pode causar uma interrupção temporária do serviço para seus usuários até que a confiança seja restabelecida com sucesso. Planeje essa operação com cuidado fora do horário de pico, se possível.
# Fazer a rotação de um certificado do IAM Identity Center
A rotação de um certificado do IAM Identity Center é um processo de várias etapas que envolve o seguinte:
+ Gerar um novo certificado
+ Adicionar o novo certificado ao site do provedor de serviços
+ Configurar o novo certificado como ativo
+ Excluir o certificado inativo
Use todos os procedimentos a seguir na seguinte ordem para concluir o processo de rotação de certificados para um determinada aplicação.
## Etapa 1: gerar um novo certificado
Os novos certificados do IAM Identity Center que você gera podem ser configurados para usar as seguintes propriedades:
+ **Período de validade**: especifica o tempo alocado (em meses) antes que um novo certificado do IAM Identity Center expire.
+ **Tamanho da chave**: determina o número de bits que uma chave deve usar com seu algoritmo criptográfico. Você pode definir esse valor como RSA de 1024 bits ou RSA de 2048 bits. Para obter informações gerais sobre como os tamanhos das chaves funcionam na criptografia, consulte [Tamanho da chave](https://en.wikipedia.org/wiki/Key_size).
+ **Algoritmo**: especifica o algoritmo que o IAM Identity Center usa ao assinar a asserção/resposta do SAML. Você pode definir esse valor como SHA-1 ou SHA-256. AWS recomenda usar SHA-256 quando possível, a menos que seu provedor de serviços exija SHA-1. Para obter informações gerais sobre como os algoritmos de criptografia funcionam, consulte [Criptografia de chave pública](https://en.wikipedia.org/wiki/Public-key_cryptography).
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na lista de aplicações, escolha a aplicação para o qual deseja gerar um novo certificado.
1. Na página de detalhes da aplicação, selecione a guia **Configuração**. Em **Metadados do IAM Identity Center**, escolha **Gerenciar certificado**. Se você não tiver uma aba **Configuração** ou se a configuração não estiver disponível, não será necessário alternar o certificado para essa aplicação.
1. Na página **Certificado do IAM Identity Center**, escolha **Gerar novo certificado**.
1. Na caixa de diálogo **Gerar novo certificado do IAM Identity Center**, especifique os valores apropriados para **Período de validade**, **Algoritmo** e **Tamanho da chave**. Em seguida, escolha **Gerar**.
## Etapa 2: atualizar o site do provedor de serviços
Use o procedimento a seguir para restabelecer a confiança com o provedor de serviços da aplicação.
**Importante**
Quando você carrega o novo certificado para o provedor de serviços, talvez seus usuários não consigam se autenticar. Para corrigir essa situação, defina o novo certificado como ativo conforme descrito na próxima etapa.
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha a aplicação para o qual você acabou de gerar um novo certificado.
1. Na página de detalhes da aplicação, escolha **Editar configuração**.
1. Escolha **Ver instruções** e siga as instruções do site do seu provedor de serviços de aplicações específico para adicionar o certificado recém-gerado.
## Etapa 3: definir o novo certificado como ativo
Uma aplicação pode ter até dois certificados atribuídos a ela. O IAM Identity Center usará a certificação que está definida como ativa para assinar todas as asserções SAML.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na lista de aplicações, escolha sua aplicação.
1. Na página de detalhes da aplicação, selecione a guia **Configuração**. Em **Metadados do IAM Identity Center**, escolha **Gerenciar certificado**.
1. Na página do **certificado do IAM Identity Center**, selecione o certificado que você deseja definir como ativo, escolha **Ações** e, em seguida, escolha **Definir como ativo**.
1. Na caixa de diálogo **Definir o certificado selecionado como ativo**, confirme que você entende que definir um certificado como ativo pode exigir que você restabeleça a confiança e escolha **Tornar ativo**.
## Etapa 4: Excluir o certificado antigo
Use o procedimento a seguir para concluir o processo de rotação do certificado para sua inscrição. Você só pode excluir um certificado que esteja em um estado **inativo**.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na lista de aplicações, escolha sua aplicação.
1. Na página de detalhes da aplicação, selecione a aba **Configuração**. Em **Metadados do IAM Identity Center**, escolha **Gerenciar certificado**.
1. Na página do **certificado do IAM Identity Center**, selecione o certificado que deseja excluir. Escolha **Ações** e, em seguida, escolha **Excluir**.
1. Na caixa de diálogo **Excluir certificado**, escolha **Excluir**.
# Indicadores do status de expiração do certificado
No console do IAM Identity Center, a página **Aplicações** exibe ícones indicadores de status nas propriedades de cada aplicação. Esses ícones são exibidos na coluna **Expira em** ao lado de cada certificado na lista. A seguir está a descrição dos critérios que o IAM Identity Center usa para determinar qual ícone será exibido para cada certificado.
+ **Vermelho**: indica que um certificado está expirado no momento.
+ **Amarelo**: indica que um certificado expirará em 90 dias ou menos.
+ **Verde**: indica que um certificado está atualmente válido e permanecerá válido por pelo menos mais 90 dias.
**Para verificar o status de um certificado**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na lista de aplicações, revise o status dos certificados na lista, conforme indicado na coluna **Expira em**.
# Compreender as propriedades da aplicação no console do IAM Identity Center
No IAM Identity Center, você pode personalizar a experiência do usuário configurando o URL de início da aplicação, o estado de retransmissão e a duração da sessão.
## URL de início da aplicação
Você usa um URL de início da aplicação para iniciar o processo de federação com sua aplicação. O uso típico é para uma aplicação que só permite vínculo iniciado pelo provedor de serviços (SP).
As etapas e o diagrama a seguir ilustram o fluxo de trabalho de autenticação de URL de início da aplicação quando um usuário escolhe uma aplicação no portal de acesso do AWS :
1. O navegador do usuário redireciona a solicitação de autenticação usando o valor da URL inicial do aplicativo (nesse caso https://example.com).
1. A aplicação envia um `HTML` `POST` com `SAMLRequest` para o IAM Identity Center.
1. O IAM Identity Center então envia um `HTML` `POST` com uma `SAMLResponse` de volta para a aplicação.
![\[O diagrama mostra o fluxo de trabalho de autenticação do URL de início do aplicativo: etapas quando o usuário escolhe o aplicativo no portal de AWS acesso.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/app_properties_start_url.png)
## Estado de retransmissão
Durante o processo de autenticação de federação, o estado de retransmissão redireciona os usuários dentro da aplicação. Para o SAML 2.0, esse valor é passado, não modificado, para a aplicação. Depois que as propriedades da aplicação são configuradas, o IAM Identity Center envia o valor do estado de retransmissão juntamente com uma resposta SAML para a aplicação.
![\[O diagrama mostra o processo de autenticação da federação: estado de retransmissão, SAML 2.0, IAM Identity Center, aplicação recebe resposta.\]](http://docs.aws.amazon.com/pt_br/singlesignon/latest/userguide/images/app_properties_relay_state.png)
## Duração da sessão
A duração da sessão é o período de tempo durante o qual as sessões dos usuários da aplicação permanecem válidas. Para o SAML 2.0, isso é usado para definir a data de `SessionNotOnOrAfter` do elemento `saml2:AuthNStatement` da asserção SAML.
A duração da sessão pode ser interpretada pelas aplicações de uma das seguintes maneiras:
+ As aplicações podem usá-la para determinar o tempo máximo permitido para a sessão do usuário. As aplicações podem gerar uma sessão de usuário com uma duração menor. Isso pode acontecer quando a aplicação permite apenas sessões de usuário com duração menor que a duração da sessão configurada.
+ As aplicações podem usá-la como a duração exata e podem impedir que os administradores configurem o valor. Isso pode acontecer quando a aplicação permite apenas um tamanho de sessão específico.
Para obter mais informações sobre como a duração da sessão é usada, consulte a documentação a sua aplicação específica.
# Atribuir acesso de usuário às aplicações no console do IAM Identity Center
Você pode atribuir aos usuários acesso de logon único a aplicações SAML 2.0 do catálogo de aplicações ou a aplicações SAML 2.0 personalizadas.
Considerações sobre exercícios em grupo:
+ **Atribua acesso diretamente aos grupos.** Para ajudar a simplificar a administração de permissões de acesso, é recomendável atribuir acesso diretamente a grupos, em vez de a usuários específicos. Com grupos, você pode conceder ou negar permissões para grupos de usuários, em vez de ter de aplicar essas permissões a cada indivíduo. Se um usuário se mudar para uma organização diferente, basta mover esse usuário para um grupo diferente. Em seguida, o usuário recebe automaticamente as permissões necessárias para a nova organização.
+ **Grupos aninhados não são compatíveis.** Ao atribuir acesso de usuário às aplicações, o IAM Identity Center não oferece suporte à adição de usuários a grupos aninhados. Se um usuário for adicionado a um grupo aninhado, ele poderá receber a mensagem “Você não tem nenhuma aplicação” durante o login. As atribuições devem ser feitas em relação ao grupo imediato do qual o usuário é membro.
**Para atribuir acesso de usuário ou grupo a aplicações**
**Importante**
Para aplicativos AWS gerenciados, você deve adicionar usuários diretamente dos consoles de aplicativos relevantes ou por meio do APIs.
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**nota**
Se você gerencia usuários em AWS Managed Microsoft AD, certifique-se de que o console do IAM Identity Center esteja usando a AWS região em que seu AWS Managed Microsoft AD diretório está localizado antes de dar a próxima etapa.
1. Selecione **Aplicações**.
1. Na lista de aplicações, escolha o nome da aplicação à qual deseja atribuir acesso.
1. Na página de detalhes da aplicação, na seção **Usuários atribuídos**, selecione **Atribuir usuários**.
1. Na caixa de diálogo **Atribuir usuários**, insira um nome de exibição de usuário ou grupo. Você pode especificar vários usuários ou grupos selecionando as contas aplicáveis à medida que elas aparecem nos resultados da pesquisa.
1. Escolha **Atribuir usuários**.
# Remover o acesso dos usuários a aplicações SAML 2.0
Use esse procedimento para remover o acesso do usuário às aplicações SAML 2.0 do catálogo de aplicações ou às aplicações SAML 2.0 personalizadas. Para obter mais informações sobre sessões de autenticação e durações, consulte [Como entender as sessões de autenticação no IAM Identity Center](authconcept.md).
**Para remover acesso do usuário de uma aplicação**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na lista de aplicações, escolha a aplicação da qual você deseja remover o acesso de usuário.
1. Na página de detalhes da aplicação, na guia **Usuários atribuídos**, selecione o usuário ou grupo que você deseja remover e, em seguida, escolha o botão **Remover acesso**.
1. Na caixa de diálogo **Remove access (Remover acesso)**, confirme o nome do usuário ou do grupo. Em seguida, escolha **Remove access (Remover acesso)**.
# Mapear atributos em sua aplicação para atributos do IAM Identity Center
Alguns provedores de serviço personalizados exigem asserções do SAML para transmitir dados adicionais sobre logins de usuário. Nesse caso, use o procedimento a seguir para especificar como os atributos de usuário de suas aplicações devem ser mapeados para atributos correspondentes no IAM Identity Center.
**Para mapear atributos da aplicação para atributos no IAM Identity Center**
1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Selecione **Aplicações**.
1. Na lista de aplicações, escolha a aplicação na qual deseja mapear atributos.
1. Na página de detalhes da aplicação, escolha **Ações** e depois escolha **Editar mapeamento de atributos**.
1. Escolha **Adicionar novo mapeamento de atributo**.
1. Na primeira caixa de texto, digite o atributo da aplicação.
1. Na segunda caixa de texto, digite o atributo no IAM Identity Center que você deseja mapear para o atributo da aplicação. Por exemplo, você pode mapear o atributo **Username** da aplicação para o atributo **email** do usuário do IAM Identity Center. Para ver a lista de atributos de usuário permitidos no IAM Identity Center, consulte a tabela em [Mapeamento de atributos entre o IAM Identity Center e o diretório de provedores de identidades externos](attributemappingsconcept.md).
1. Na terceira coluna da tabela, escolha o formato apropriado para o atributo no menu.
1. Escolha **Salvar alterações**.