Domande frequenti sul Centro identità AWS IAM

D: Cos'è il Centro identità AWS IAM?

IAM Identity Center si basa su AWS Identity and Access Management (IAM) per semplificare la gestione degli accessi a più account AWS, ad applicazioni AWS e ad altre applicazioni cloud con SAML attivato. In IAM Identity Center crei o colleghi i tuoi utenti della forza lavoro da utilizzare in AWS. Puoi scegliere di gestire l'accesso solo ai tuoi account AWS, solo alle tue applicazioni cloud, o a entrambi. È possibile creare utenti direttamente in IAM Identity Center, oppure portarli dalla tua directory della forza lavoro esistente. Con IAM Identity Center, ottieni un'esperienza di amministrazione unificata per definire, personalizzare e assegnare un accesso granulare. Gli utenti della forza lavoro ottengono un portale utente per accedere ai loro account AWS assegnati o alle loro applicazioni cloud.

D: Quali sono i vantaggi di IAM Identity Center?

IAM Identity Center può essere utilizzato per assegnare e gestire in modo semplice e veloce l'accesso dei dipendenti a più account AWS, applicazioni cloud con SAML attivato (come Salesforce, Microsoft 365 e Box) e applicazioni in-house personalizzate da un'unica posizione. I dipendenti possono essere più produttivi accedendo con le loro credenziali esistenti o con quelle configurate in IAM Identity Center. Possono utilizzare un unico portale utente personalizzato. Avrai maggiore visibilità sull'utilizzo delle applicazioni cloud, dal momento che potrai monitorare e verificare l'attività di accesso a livello centralizzato da AWS CloudTrail.

D: Quali problemi risolve IAM Identity Center?

IAM Identity Center elimina la complessità amministrativa della federazione e della gestione delle autorizzazioni separatamente per ogni account AWS. Consente di configurare le applicazioni AWS da un'unica interfaccia e di assegnare l'accesso alle applicazioni cloud da un'unica postazione.
IAM Identity Center aiuta anche a migliorare la visibilità degli accessi integrandosi con AWS CloudTrail e offrendo una posizione centrale da cui verificare l'accesso single sign-on agli account AWS e applicazioni cloud con SAML abilitato come Microsoft 365, Salesforce e Box.

D: Perché dovrei utilizzare IAM Identity Center?

IAM Identity Center è la porta d'ingresso consigliata per AWS. Dovrebbe essere lo strumento principale per gestire l'accesso ad AWS dei tuoi utenti della forza lavoro. Consente di gestire le identità nella tua origine identità preferita, di collegarle una sola volta per utilizzarle in AWS, di definire autorizzazioni granulari e di applicarle in modo coerente in tutti gli account. Man mano che il numero di account aumenta, IAM Identity Center offre la possibilità di essere utilizzato come un unico luogo per gestire l'accesso degli utenti a tutte le applicazioni cloud.

D: Cosa posso fare con IAM Identity Center?

IAM Identity Center può essere utilizzato per assegnare ai dipendenti l'accesso agli account AWS all’interno di AWS Organizations, delle applicazioni cloud aziendali (come Salesforce, Microsoft 365 e Box) e delle applicazioni personalizzate che supportano Security Assertion Markup Language (SAML) 2.0 in modo semplice e veloce. I dipendenti possono accedere alle applicazioni di business da un singolo portale utente tramite le loro credenziali aziendali esistenti oppure tramite credenziali che configurano in IAM Identity Center. IAM Identity Center ti consente inoltre di verificare l'accesso degli utenti ai servizi cloud tramite AWS CloudTrail.

D: Chi dovrebbe utilizzare IAM Identity Center?

IAM Identity Center è rivolto agli amministratori che gestiscono più account e applicazioni di business di AWS, che desiderano centralizzare la gestione degli accessi utente su questi servizi cloud e offrire ai dipendenti una posizione unica dove poter accedere ad e applicazioni senza dover memorizzare ulteriori password.

D: Come si inizia a utilizzare IAM Identity Center?

Come nuovo cliente IAM Identity Center:

1. Accedi alla Console di gestione AWS dell'account di gestione nel tuo account AWS, quindi naviga nella console IAM Identity Center.
2. Seleziona la directory che utilizzi per archiviare le identità di utenti e gruppi dalla console IAM Identity Center. IAM Identity Center fornisce una directory per impostazione predefinita che è possibile utilizzare per gestire utenti e gruppi in IAM Identity Center. Puoi inoltre cambiare directory per connetterti a una directory Microsoft AD facendo clic su un elenco di istanze Managed Microsoft AD e AD Connector che IAM Identity Center individua automaticamente nel tuo account. Se desideri connetterti a una directory Microsoft AD, consulta la sezione Nozioni di base su Servizio di directory AWS.
3. Concedi agli utenti l'accesso single sign-on agli account AWS nella tua organizzazione selezionando gli account AWS da un elenco popolato da IAM Identity Center, quindi seleziona gli utenti o i gruppi dalla tua directory e le autorizzazioni che desideri concedere.
4. Concedi agli utenti l'accesso alle applicazioni cloud aziendali:
   a. Seleziona una delle applicazioni dall'elenco di applicazioni preintegrate supportate su IAM Identity Center.
   b. Configura l'applicazione attenendoti alle istruzioni di configurazione.
   c. Seleziona gli utenti o i gruppi che devono accedere a questa applicazione.
5. Comunica agli utenti l'indirizzo Web di accesso IAM Identity Center generato quando hai configurato la directory, in modo che possano accedere a IAM Identity Center, nonché agli account e alle applicazioni aziendali.

D: Quanto costa IAM Identity Center?

IAM Identity Center è disponibile senza costi aggiuntivi.

D: In quali regioni è disponibile IAM Identity Center?

Per informazioni sulla disponibilità di IAM Identity Center in base alla regione, consulta la tabella delle Regioni di AWS.

D: Quali origini identità posso utilizzare con IAM Identity Center?

Grazie a IAM Identity Center, è possibile creare e gestire le identità utente nell’archivio identità di IAM Identity Center. In alternativa, consente di connettere facilmente la tua origine identità esistente tra cui Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) o un altro provider di identità supportato. Per saperne di più, consulta il Manuale dell'utente IAM Identity Center.

D: Posso connettere più di un'origine identità a IAM Identity Center?

No. È possibile avere una sola directory o un solo gestore dell'identità digitale SAML 2.0 collegato contemporaneamente a IAM Identity Center. Tuttavia, è possibile cambiare l'origine identità collegata a un'altra.

D: Quali provider di identità SAML 2.0 posso utilizzare con IAM Identity Center?

Puoi connettere IAM Identity Center alla maggior parte dei provider di identità SAML 2.0, come ad esempio Okta Universal Directory o Azure Active Directory. Per saperne di più, consulta il Manuale dell'utente IAM Identity Center.

D: Come posso eseguire il provisioning delle identità dai miei gestori dell'identità digitale esistenti in IAM Identity Center?

È necessario effettuare il provisioning delle identità fornite dal gestore dell'identità digitale in IAM Identity Center prima di poter assegnare le autorizzazioni. È possibile sincronizzare automaticamente le informazioni su utenti e gruppi da Okta Universal Directory, Azure AD, OneLogin e PingFederate utilizzando lo standard SCIM (System for Cross-domain Identity Management). Per altri gestori di identità digitale, è possibile effettuare il provisioning di utenti dal tuo gestore dell'idendità digitale utilizzando la console IAM Identity Center. Per saperne di più, consulta il Manuale dell'utente IAM Identity Center.

È possibile automatizzare la sincronizzazione dell'identità in IAM Identity Center?

Sì. Se utilizzi Okta Universal Directory, Azure AD, OneLogin o PingFederate puoi utilizzare SCIM per sincronizzare automaticamente le informazioni su utenti e gruppi dal tuo gestore dell'identità digitale a IAM Identity Center. Per saperne di più, consulta il  Manuale dell'utente IAM Identity Center.

D: Come connetto IAM Identity Center a Microsoft Active Directory?

È possibile connettere IAM Identity Center ad Active Directory (AD) on-premise o a un AWS Managed Microsoft AD Directory utilizzando il servizio di directory AWS. Per saperne di più, consulta il Manuale dell'utente IAM Identity Center.

D: Gestisco utenti e gruppi in Active Directory on-premise. Come posso usufruire di questi gruppi e utenti in IAM Identity Center?

Per collegare Active Directory in hosting on-premise a IAM Identity Center sono disponibili due opzioni: (1) utilizzare AD Connector oppure (2) utilizzare una relazione di trust di AWS Managed Microsoft AD. AD Connector connette semplicemente l'Active Directory on-premise esistente ad AWS. AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a una Microsoft Active Directory on-premise senza memorizzare informazioni nella cache del cloud. Per connettere una directory on-premise utilizzando AD Connector consulta la Guida all’amministrazione del servizio di directory AWS. AWS Managed Microsoft AD semplifica la configurazione e l’esecuzione di Microsoft Active Directory in AWS. Può essere utilizzato per configurare una relazione di trust di insieme di strutture tra la directory on-premise e AWS Managed Microsoft AD. Per configurare una relazione di trust, consulta la Guida all’amministrazione del servizio di directory AWS.

D: È possibile utilizzare i pool di utenti di Amazon Cognito come origine identità in IAM Identity Center?

Amazon Cognito è un servizio che aiuta a gestire le identità per le applicazioni orientate al cliente. Non è un'origine identità supportata in IAM Identity Center. È possibile creare e gestire le identità della forza lavoro in IAM Identity Center o nell'origine identità esterna tra cui Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) o un altro gestore dell'identità digitale supportato.

D: IAM Identity Center supporta la riga di comando del browser e le interfacce dei dispositivi mobili?

Sì, è possibile utilizzare IAM Identity Center per controllare l’accesso alla console di gestione AWS e CLI v2. IAM Identity Center consente agli utenti di accedere alla CLI e alla console di gestione AWS con autenticazione Single Sign-On. L'app della console mobile di AWS supporta anche IAM Identity Center. In questo modo potrai ottenere un'esperienza di accesso uniforme tra browser, dispositivi mobili e interfacce della linea di comando.

D: Quali applicazioni cloud posso connettere a IAM Identity Center?

A IAM Identity Center è possibile connettere le seguenti applicazioni:

1. Applicazioni integrate in IAM Identity Center: le applicazioni integrate in IAM Identity Center come SageMaker Studio e IoT SiteWise utilizzano IAM Identity Center per l'autenticazione e operano con le identità presenti in IAM Identity Center. Non è necessaria un'ulteriore configurazione per sincronizzare le identità in queste applicazioni o per configurare la federazione separatamente.
2. Applicazioni SAML preintegrate: IAM Identity Center è disponibile con applicazioni aziendali preintegrate di utilizzo comune. Un elenco completo è disponibile nella console IAM Identity Center.
3. Applicazioni SAML personalizzate: IAM Identity Center supporta le applicazioni che permettono la federazione delle identità utilizzando SAML 2.0. È possibile abilitare IAM Identity Center per supportare queste applicazioni utilizzando la procedura guidata personalizzata.

D: Quali account AWS è possibile collegare a IAM Identity Center?

Su IAM Identity Center è possibile aggiungere qualsiasi account AWS gestito tramite AWS Organizations. Per gestire gli account Single Sign-On è necessario attivare tutte le funzioni nella tua organizzazione.

D: Come posso configurare Single Sign-On sugli account AWS in un'unità organizzativa all'interno della mia organizzazione?

Puoi scegliere gli account all'interno dell'organizzazione oppure filtrarli per unità organizzativa.

D: Com'è possibile controllare le autorizzazioni degli utenti quando utilizzano IAM Identity Center per accedere al loro account?

Quando concedi l'accesso ai tuoi utenti, puoi limitare le loro autorizzazioni scegliendo un set di autorizzazioni. I set di autorizzazioni sono una serie di autorizzazioni che è possibile creare in IAM Identity Center, personalizzandole in base alle policy gestite da AWS per le funzioni lavorative o qualsiasi policy gestita da AWS. Le policy gestite da AWS per le funzioni lavorative sono progettate per allinearsi il più possibile alle funzioni lavorative comuni nel settore IT. Se necessario, puoi anche personalizzare completamente il set di autorizzazioni in modo da soddisfare i tuoi requisiti di sicurezza. IAM Identity Center applica automaticamente tali autorizzazioni agli account selezionati. Se modifichi i set di autorizzazioni, IAM Identity Center ti consente di applicare facilmente le modifiche ai relativi account. Quando gli utenti accedono agli account tramite il portale di accesso AWS, queste autorizzazioni limitano ciò che possono fare all'interno degli account. Puoi anche concedere più set di autorizzazioni ai tuoi utenti. Quando accedono all'account tramite il portale utente, possono scegliere il set di autorizzazioni di cui hanno bisogno per la sessione in questione.

D: Come posso automatizzare la gestione delle autorizzazioni su più account?

IAM Identity Center fornisce il supporto per le API e AWS CloudFormation per automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recuperare programmaticamente le autorizzazioni ai fini di audit e di governance.

D: Come si selezionano gli attributi utente da utilizzare per ABAC?

Per implementare ABAC, è possibile selezionare gli attributi dall'archiviazione delle identità di IAM Identity Center per gli utenti IAM Identity Center e gli utenti sincronizzati da Microsoft AD o da gestori dell'identità digitale SAML 2.0 esterni, tra cui Okta Universal Directory, Azure AD, OneLogin o PingFederate. Quando si utilizza un gestore dell'identità digitale come origine identità, è possibile inviare gli attributi come parte di un'asserzione SAML 2.0.

D: Per quali account AWS posso ottenere credenziali dell'interfaccia della linea di comando AWS (AWS CLI)?

Puoi ottenere credenziali AWS CLI per qualsiasi account AWS e autorizzazioni utente assegnate dall’amministratore IAM Identity Center. Le credenziali CLI possono essere utlizzate per l'accesso programmatico all’account AWS.

D: Per quanto tempo sono valide le credenziali AWS CLI ottenute dal portale di accesso AWS?

Le credenziali AWS CLI ottenute tramite IAM Identity Center sono valide per 60 minuti. Puoi ottenere una nuova serie di credenziali ogni qualvolta sia necessario.

D: Come si configura IAM Identity Center sulle applicazioni di aziendali, ad esempio Salesforce?

Dalla console IAM Identity Center, accedi al riquadro delle applicazioni, scegli "Configure new application" ("Configura nuova applicazione"), quindi scegli un'applicazione dall'elenco di applicazioni cloud che hanno IAM Identity Center integrato. Segui le istruzioni visualizzate sullo schermo per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e gli utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona "Assign Access" ("Assegna l'accesso") per completare la procedura.

D: La mia azienda utilizza applicazioni aziendali che non sono presenti nell'elenco delle applicazioni con IAM Identity Center integrato. Posso utilizzare comunque IAM Identity Center?

Sì. Se la tua applicazione supporta SAML 2.0, puoi configurarla come applicazione SAML 2.0 personalizzata. Dalla console IAM Identity Center, accedi al riquadro delle applicazioni, scegli "Configure new application" ("Configura nuova applicazione"), quindi scegli Custom SAML 2.0 application. Segui le istruzioni per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e gli utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona "Assign Access" ("Assegna l'accesso") per completare la procedura.

D: La mia applicazione supporta esclusivamente OpenID Connect (OIDC). Posso utilizzarla con IAM Identity Center?

IAM Identity Center supporta solo applicazioni basate su SAML 2.0.

D: IAM Identity Center supporta il Single Sign-On sulle applicazioni native per dispositivi mobili e desktop?

No. IAM Identity Center supporta il Single Sign-On sulle applicazioni aziendali solamente tramite browser web.

D: Quali dati vengono archiviati da IAM Identity Center per mio conto?

IAM Identity Center archivierà dati relativi agli account e alle applicazioni cloud di AWS che sono assegnati a determinati utenti e gruppi, oltre alle autorizzazioni che sono state concesse per accedere agli account AWS. IAM Identity Center creerà e gestirà inoltre i ruoli IAM nei singoli account AWS per ciascun set di autorizzazioni concesso per gli utenti.

D: Quali funzionalità di autenticazione a più fattori (MFA) si possono usare con IAM Identity Center?

Con IAM Identity Center, è possibile abilitare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un gestore dell'identità digitale SAML 2.0 supportato come origine identità, è possibile abilitare le funzionalità di autenticazione a più fattori del provider. Quando si utilizza IAM Identity Center o Active Directory come origine identità, IAM Identity Center supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza che utilizzano FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.

È inoltre possibile utilizzare la configurazione MFA Remote Authentication Dial-In User Service (RADIUS) esistente con IAM Identity Center e servizio di directory AWS per autenticare gli utenti come forma di verifica secondaria. Per ulteriori informazioni sulla configurazione di MFA con IAM Identity Center, consulta il Manuale dell'utente IAM Identity Center.

IAM Identity Center supporta la specifica di autenticazione Web?

Sì. Per le identità utente nell'archiviazione delle identità di IAM Identity Center e Active Directory, IAM Identity Center supporta la specifica di autenticazione Web (WebAuthn) per contribuire a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza con FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.

D: In che modo i miei dipendenti possono iniziare a utilizzare IAM Identity Center?

I dipendenti possono iniziare a utilizzare IAM Identity Center visitando il portale di accesso generato durante la configurazione della tua origine identità su IAM Identity Center. Se gestisci gli utenti su IAM Identity Center, i dipendenti possono utilizzare l'indirizzo e-mail e la password che hanno configurato con IAM Identity Center per effettuare l'accesso ad altri portali utenti. Se connetti IAM Identity Center a Microsoft Active Directory o a un gestore dell'identità digitale SAML 2.0, i dipendenti possono accedere al portale utente con le credenziali aziendali esistenti e visualizzare quindi gli account e le applicazioni a loro assegnati. Per accedere a un account o a un'applicazione, i dipendenti devono scegliere l'icona associata dal portale di accesso.

D: Sono disponibili API per IAM Identity Center?

Sì. IAM Identity Center fornisce API di assegnazione account per consentire di automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recupera programmaticamente le autorizzazioni a fini di audit e di governance.