As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Perfil do SCIM e implementação SAML 2.0
Tanto o SCIM quanto o SAML são considerações importantes para configurar o IAM Identity Center.
## Implementação SAML 2.0
O IAM Identity Center é compatível com federação de identidades com [SAML (Security Assertion Markup Language)](https://wiki.oasis-open.org/security) 2.0. Isso permite que o IAM Identity Center autentique identidades de provedores de identidade externos ()IdPs. O SAML 2.0 é um padrão aberto usado para trocar afirmações SAML com segurança. O SAML 2.0 transmite informações sobre um usuário entre uma autoridade SAML (chamada de provedor de identidades ou IdP) e um consumidor de SAML (chamado de provedor de serviços ou SP). O serviço IAM Identity Center usa essas informações para fornecer login único federado. O login único permite que os usuários acessem Contas da AWS e configurem aplicativos com base em suas credenciais de provedor de identidade existentes.
O IAM Identity Center adiciona recursos de SAML IdP à sua loja AWS Managed Microsoft AD do IAM Identity Center ou a um provedor de identidade externo. Os usuários podem então fazer login único em serviços que oferecem suporte ao SAML, incluindo aplicativos Console de gerenciamento da AWS de terceirosMicrosoft 365, como, e. Concur Salesforce
Porém, o protocolo SAML não oferece um modo de consultar o IdP para obter informações sobre usuários e grupos. Portanto, você deve informar o IAM Identity Center sobre esses usuários e grupos, provisionando-os no IAM Identity Center.
## Perfil do SCIM
O IAM Identity Center fornece suporte para o padrão System for Cross-domain Identity Management (SCIM) v2.0. O SCIM mantém as identidades do IAM Identity Center sincronizadas com as identidades do seu IdP. Isso inclui qualquer provisionamento, atualizações e desprovisionamento de usuários entre seu IdP e o IAM Identity Center.
Para obter mais informações sobre como implementar o SCIM, consulte[Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM](provision-automatically.md). Para obter mais detalhes sobre a implementação do SCIM do IAM Identity Center, consulte o [Guia do desenvolvedor de implementação do IAM Identity Center do SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
**Topics**
+ [Implementação SAML 2.0](#samlfederationconcept)
+ [Perfil do SCIM](#scim-profile)
+ [Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM](provision-automatically.md)
+ [Fazer rodízio de certificados SAML 2.0](managesamlcerts.md)
# Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) de informações de usuários e grupos do seu provedor de identidades (IdP) no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário do seu provedor de identidades (IdP) para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e seu IdP. Você configura essa conexão em seu IdP usando seu endpoint SCIM para o IAM Identity Center e um token de portador que você cria no IAM Identity Center.
**Topics**
+ [Considerações sobre o uso do provisionamento automático](#auto-provisioning-considerations)
+ [Como monitorar a expiração do token de acesso](#access-token-expiry)
+ [Gerar um token de acesso](generate-token.md)
+ [Habilitar provisionamento automático](how-to-with-scim.md)
+ [Excluir um token de acesso](delete-token.md)
+ [Desabilitar provisionamento automático](disable-provisioning.md)
+ [Fazer rodízio de um token de acesso](rotate-token.md)
+ [Auditar e reconciliar recursos provisionados automaticamente](reconcile-auto-provisioning.md)
+ [Provisionamento manual](#provision-manually)
## Considerações sobre o uso do provisionamento automático
Antes de começar a implantar o SCIM, recomendamos que você primeiro analise as seguintes considerações importantes sobre como ele funciona com o IAM Identity Center. Para considerações adicionais sobre provisionamento, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) aplicáveis ao seu IdP.
+ Se você estiver provisionando um endereço de e-mail principal, esse valor de atributo deverá ser exclusivo para cada usuário. Em alguns casos IdPs, o endereço de e-mail principal pode não ser um endereço de e-mail real. Por exemplo, pode ser um Universal Principal Name (UPN) que só se parece com um e-mail. Eles IdPs podem ter um endereço de e-mail secundário ou “outro” que contém o endereço de e-mail real do usuário. Você deve configurar o SCIM em seu IdP para mapear o endereço de e-mail exclusivo não NULL para o atributo de endereço de e-mail principal do IAM Identity Center. E você deve mapear o identificador de login exclusivo não NULL do usuário para o atributo de nome de usuário do IAM Identity Center. Verifique se o seu IdP tem um valor único que seja o identificador de login e o nome de e-mail do usuário. Nesse caso, você pode mapear esse campo IdP para o e-mail principal do IAM Identity Center e para o nome de usuário do IAM Identity Center.
+ Para que a sincronização do SCIM funcione, cada usuário deve ter um valor **especificado de nome**, **sobrenome, nome** **de usuário** e **nome de exibição**. Se algum desses valores estiver ausente de um usuário, esse usuário não será provisionado.
+ Se você precisar usar aplicativos de terceiros, primeiro precisará mapear o atributo de assunto SAML de saída para o atributo de nome de usuário. Se o aplicativo de terceiros precisar de um endereço de e-mail roteável, você deverá fornecer o atributo de e-mail ao seu IdP.
+ Os intervalos de provisionamento e atualização do SCIM são controlados pelo seu provedor de identidades. As alterações nos usuários e grupos em seu provedor de identidade só são refletidas no IAM Identity Center depois que seu provedor de identidades envia essas alterações para o IAM Identity Center. Consulte seu provedor de identidades para obter detalhes sobre a frequência das atualizações de usuários e grupos.
+ Atualmente, atributos de vários valores (como vários e-mails ou números de telefone de um determinado usuário) não são provisionados com o SCIM. As tentativas de sincronizar atributos de vários valores no IAM Identity Center com o SCIM falharão. Para evitar falhas, certifique-se de que somente um único valor seja passado para cada atributo. Se você tiver usuários com atributos de vários valores, remova ou modifique os mapeamentos de atributos duplicados no SCIM em seu IdP para a conexão com o IAM Identity Center.
+ Verifique se o mapeamento `externalId` SCIM em seu IdP corresponde a um valor exclusivo, sempre presente e com menor probabilidade de alteração para seus usuários. Por exemplo, seu IdP pode fornecer um identificador `objectId` garantido ou outro que não seja afetado por alterações nos atributos do usuário, como nome e e-mail. Nesse caso, você pode mapear esse valor para o campo `externalId` do SCIM. Isso garante que seus usuários não percam AWS direitos, atribuições ou permissões se você precisar alterar o nome ou o e-mail deles.
+ Usuários que ainda não foram atribuídos a um aplicativo ou que Conta da AWS não podem ser provisionados no IAM Identity Center. Para sincronizar usuários e grupos, certifique-se de que eles estejam atribuídos ao aplicativo ou a outra configuração que represente a conexão do seu IdP com o IAM Identity Center.
+ O comportamento de desprovisionamento de usuários é gerenciado pelo provedor de identidades e pode variar de acordo com sua implementação. Consulte seu provedor de identidades para obter detalhes sobre desprovisionamento de usuários.
+ Depois de configurar o provisionamento automático com o SCIM para o IdP, você não pode mais adicionar ou editar usuários no console do IAM Identity Center. Se precisar adicionar ou modificar um usuário, você deve fazer isso no IdP externo ou da fonte de identidade.
Para obter mais informações sobre a implementação do SCIM do IAM Identity Center, consulte o [Guia do desenvolvedor de implementação do IAM Identity Center do SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html).
## Como monitorar a expiração do token de acesso
Os tokens de acesso ao SCIM são gerados com validade de um ano. Quando seu token de acesso ao SCIM está configurado para expirar em 90 dias ou menos, AWS envia lembretes no console do IAM Identity Center e no AWS Health painel para ajudá-lo a alternar o token. Ao fazer rodízio do token de acesso do SCIM antes que ele expire, você protege continuamente o provisionamento automático das informações do usuário e do grupo. Se o token de acesso do SCIM expirar, a sincronização das informações do usuário e do grupo do seu provedor de identidades no IAM Identity Center será interrompida, portanto, o provisionamento automático não poderá mais fazer atualizações ou criar e excluir informações. A interrupção do provisionamento automático pode impor riscos de segurança mais graves e afetar o acesso aos seus serviços.
Os lembretes do console do Identity Center persistem até que você faça rodízio do token de acesso do SCIM e exclua todos os tokens de acesso não utilizados ou expirados. Os eventos do AWS Health Dashboard são renovados semanalmente entre 90 a 60 dias, duas vezes por semana de 60 a 30 dias, três vezes por semana de 30 a 15 dias e diariamente a partir de 15 dias até que os tokens de acesso ao SCIM expirem.
# Gerar um token de acesso
Use o procedimento a seguir para gerar um novo token de acesso no console do IAM Identity Center.
**nota**
Esse procedimento exige que você tenha habilitado antes o provisionamento automático. Para obter mais informações, consulte [Habilitar provisionamento automático](how-to-with-scim.md).
**Para gerar um novo token de acesso**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, em **Tokens de acesso**, escolha **Gerar token**.
1. Na caixa de diálogo **Gerar novo token de acesso**, copie o novo token de acesso e salve-o em um local seguro.
1. Escolha **Fechar**.
# Habilitar provisionamento automático
Use o procedimento a seguir para ativar o provisionamento automático de usuários e grupos do seu IdP para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de iniciar esse procedimento, recomendamos que você analise antes as considerações de provisionamento que sejam aplicáveis ao seu IdP. Para obter mais informações, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para o seu IdP.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Depois de concluir este procedimento, você deve configurar o provisionamento automático em seu IdP. Para obter mais informações, consulte os [Tutoriais sobre fontes de identidade do IAM Identity Center](tutorials.md) para o seu IdP.
# Excluir um token de acesso
Use o procedimento a seguir para excluir um token de acesso existente no console do IAM Identity Center.
**Para excluir um token de acesso**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, em **Tokens de acesso**, exclua e selecione **Excluir**.
1. Na caixa de diálogo **Excluir token de acesso**, revise as informações, digite **EXCLUIR** e escolha **Excluir token de acesso**.
# Desabilitar provisionamento automático
Use o procedimento a seguir para desabilitar o provisionamento automático no console do IAM Identity Center.
**Importante**
Você deve excluir o token de acesso antes de iniciar esse procedimento. Para obter mais informações, consulte [Excluir um token de acesso](delete-token.md).
**Para desabilitar o provisionamento automático no console do IAM Identity Center**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, escolha **Desabilitar**.
1. Na caixa de diálogo **Desabilitar provisionamento automático**, revise as informações, digite **DESABILITAR** e escolha **Desabilitar provisionamento automático**.
# Fazer rodízio de um token de acesso
Um diretório do IAM Identity Center suporta até dois tokens de acesso por vez. Para gerar um token de acesso adicional antes de qualquer rodízio, exclua todos os tokens de acesso expirados ou não utilizados.
Se seu token de acesso SCIM estiver prestes a expirar, você poderá usar o procedimento a seguir para alternar um token de acesso existente no console do IAM Identity Center.
**Para fazer rodízio de um token de acesso**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar provisionamento**.
1. Na página **Provisionamento automático**, em **Tokens de acesso**, anote o ID do token que você deseja alternar.
1. Siga as etapas em [Gerar um token de acesso](generate-token.md) para criar um novo token. Se você já criou o número máximo de tokens de acesso ao SCIM, primeiro precisará excluir um dos tokens existentes.
1. Acesse o site do seu provedor de identidades e configure o novo token de acesso para provisionamento do SCIM e, em seguida, teste a conectividade com o IAM Identity Center usando o novo token de acesso do SCIM. Depois de confirmar que o provisionamento está funcionando com êxito usando o novo token, continue com a próxima etapa desse procedimento.
1. Siga as etapas em [Excluir um token de acesso](delete-token.md) para excluir o token de acesso antigo que você anotou anteriormente. Você também pode usar a data de criação do token como uma dica de qual token remover.
# Auditar e reconciliar recursos provisionados automaticamente
O SCIM permite que você provisione automaticamente usuários, grupos e associações de grupos da fonte de identidade para o IAM Identity Center. Este guia ajuda você a verificar e reconciliar esses recursos para manter uma sincronização precisa.
## Por que auditar os recursos?
A auditoria regular ajuda a garantir que os controles de acesso permaneçam precisos e que seu provedor de identidade (IdP) permaneça devidamente sincronizado com o IAM Identity Center. Isso é particularmente importante para a conformidade de segurança e o gerenciamento de acesso.
Recursos que podem ser auditados:
+ Usuários
+ Groups (Grupos)
+ Associações de grupo
Você pode usar os [comandos do AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou da CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) para conduzir a auditoria e a reconciliação. Os exemplos a seguir usam comandos AWS CLI . Para alternativas de API, consulte as [operações correspondentes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) na *referência da API do Identity Store*.
## Como auditar recursos
Aqui estão alguns exemplos de como auditar esses recursos usando AWS CLI comandos.
Antes de começar, verifique se você tem:
+ Acesso de administrador ao IAM Identity Center.
+ AWS CLI instalado e configurado. Para obter informações, consulte o Guia do usuário da interface da linha de comando da [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Permissões do IAM exigidas para comandos do Identity Store.
### Etapa 1: listar os recursos atuais
Você pode visualizar seus recursos atuais usando AWS CLI o.
**nota**
Ao usar o AWS CLI, a paginação é processada automaticamente, a menos que você especifique. `--no-paginate` Se você estiver chamando a API diretamente (por exemplo, com um SDK ou um script personalizado), manipule o `NextToken` na resposta. Isso garante que você recupere todos os resultados em várias páginas.
**Example para usuários**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example para grupos**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example para associações de grupo**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Etapa 2: comparar a fonte de identidade
Compare os recursos listados com a fonte de identidade para identificar quaisquer discrepâncias, como:
+ Recursos ausentes que devem ser provisionados no IAM Identity Center.
+ Recursos extras que devem ser removidos do IAM Identity Center.
**Example para usuários**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example para grupos**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example para associações de grupo**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Considerações
+ Os comandos estão sujeitos a [cotas de serviço e controle de utilização de API.](limits.md#ssothrottlelimits)
+ Quando você encontrar muitas diferenças durante a reconciliação, faça pequenas alterações graduais no AWS Identity Store. Isso ajuda a evitar erros que afetam vários usuários.
+ A sincronização do SCIM pode substituir as alterações manuais. Verifique as configurações de IdP para entender esse comportamento.
## Provisionamento manual
Alguns IdPs não têm suporte ao System for Cross-domain Identity Management (SCIM) ou têm uma implementação de SCIM incompatível. Nesses casos, você pode provisionar usuários manualmente por meio do console do IAM Identity Center. Ao adicionar usuários ao IAM Identity Center, certifique-se de definir o nome de usuário para ser idêntico ao nome de usuário que você tem no seu IdP. No mínimo, você deve ter um endereço de e-mail e nome de usuário exclusivos. Para obter mais informações, consulte [Exclusividade do nome de usuário e endereço de e-mail](users-groups-provisioning.md#username-email-unique).
Você também deve gerenciar todos os grupos manualmente no IAM Identity Center. Para fazer isso, você cria os grupos e os adiciona usando o console do IAM Identity Center. Esses grupos não precisam corresponder ao que existe em seu IdP. Para obter mais informações, consulte [Groups (Grupos)](users-groups-provisioning.md#groups-concept).
# Fazer rodízio de certificados SAML 2.0
O IAM Identity Center usa certificados para configurar uma relação de confiança SAML entre seu provedor de identidades (IdP) e o IAM Identity Center. Ao adicionar um IdP externo no IAM Identity Center, você também deve obter pelo menos um certificado SAML 2.0 X.509 público do IdP externo. Esse certificado geralmente é instalado automaticamente durante a troca de metadados SAML do IdP durante a criação da confiança.
Como administrador do IAM Identity Center, você ocasionalmente precisará substituir certificados IdP antigos por outros mais novos. Por exemplo, talvez seja necessário substituir um certificado IdP quando a data de expiração do certificado se aproximar. O processo de substituição de um certificado antigo por um mais recente é conhecido como rodízio de certificados.
**Topics**
+ [Alternar um certificado SAML 2.0](rotatesamlcert.md)
+ [Indicadores de status de expiração do certificado](samlcertexpirationindicators.md)
# Alternar um certificado SAML 2.0
Talvez seja necessário importar certificados periodicamente para alternar certificados inválidos ou expirados emitidos pelo seu provedor de identidades. Isso ajuda a evitar a interrupção da autenticação ou o tempo de inatividade da autenticação. Todos os certificados importados são automaticamente ativos. Os certificados só devem ser excluídos depois de garantir que não estejam mais em uso com o provedor de identidades associado.
Você também deve considerar que alguns IdPs podem não oferecer suporte a vários certificados. Nesse caso, o ato de alternar certificados com eles IdPs pode significar uma interrupção temporária do serviço para seus usuários. O serviço é restaurado quando a confiança com esse IdP é restabelecida com sucesso. Planeje essa operação com cuidado fora do horário de pico, se possível.
**nota**
Como prática recomendada de segurança, em caso de qualquer sinal de comprometimento ou manuseio incorreto de um certificado SAML existente, você deve remover e alternar o certificado imediatamente.
A rotatividade de um certificado do IAM Identity Center é um processo de várias etapas que envolve o seguinte:
+ Obtendo um novo certificado do IdP
+ Importação do novo certificado para o IAM Identity Center
+ Ativando o novo certificado no IdP
+ Excluindo o certificado antigo
Use todos os procedimentos a seguir para concluir o processo de rotação de certificados e, ao mesmo tempo, evitar qualquer tempo de inatividade da autenticação.
**Etapa1: Obter um novo certificado do IdP**
Acesse o site do IdP e baixe o certificado SAML 2.0. Certifique-se de que o arquivo do certificado seja baixado no formato codificado PEM. A maioria dos provedores permite que você crie vários certificados SAML 2.0 no IdP. É provável que sejam marcados como desativados ou inativos.
**Etapa 2: Importar o novo certificado para o IAM Identity Center**
Use o procedimento a seguir para importar o novo certificado usando o console do IAM Identity Center.
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar autenticação**.
1. Na página **Gerenciar certificados SAML 2.0** escolha **Importar certificado**.
1. Na caixa de diálogo **Importar certificado SAML 2.0**, selecione **Escolher arquivo**, navegue até seu arquivo de certificado, selecione-o e, em seguida, escolha **Importar certificado**.
Nesse ponto, o IAM Identity Center confiará em todas as mensagens SAML recebidas assinadas pelos dois certificados que você importou.
**Etapa 3: Ativar o novo certificado no IdP**
Volte ao site do IdP e marque o novo certificado que você criou anteriormente como primário ou ativo. Nesse ponto, todas as mensagens SAML assinadas pelo IdP devem estar usando o novo certificado.
**Etapa 4: Excluir o certificado antigo**
Use o procedimento a seguir para concluir o processo de rodízio de certificados do seu IdP. Sempre deve haver pelo menos um certificado válido listado e ele não pode ser removido.
**nota**
Certifique-se de que seu provedor de identidades não esteja mais assinando respostas SAML com esse certificado antes de excluí-lo.
1. Na página **Gerenciar certificados SAML 2.0**, escolha o certificado que você quer excluir. Escolha **Excluir**.
1. Na caixa de diálogo **Excluir certificado SAML 2.0**, digite **DELETE** para confirmar e escolha **Excluir**.
1. Volte ao site do IdP e execute as etapas necessárias para remover o certificado inativo antigo.
# Indicadores de status de expiração do certificado
A página **Gerenciar certificados SAML 2.0** exibe ícones indicadores de status coloridos na coluna **Expira em** ao lado de cada certificado da lista. A seguir, descrevemos os critérios que o IAM Identity Center usa para determinar qual ícone é exibido para cada certificado.
+ **Vermelho**: indica que um certificado expirou.
+ **Amarelo**: indica que um certificado expira em 90 dias ou menos.
+ **Verde**: indica que um certificado é válido e permanecerá válido por, pelo menos, mais 90 dias.
**Para verificar o status atual de um certificado**
1. No [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon), escolha **Configurações**.
1. Na página **Configurações**, escolha a guia **Origem da identidade** e escolha **Ações > Gerenciar autenticação**.
1. Na página **Gerenciar autenticação SAML 2.0**, em **Gerenciar certificados SAML 2.0**, revise o status dos certificados na lista, conforme indicado na coluna **Expira em**.