Geral

P: O que é o AWS IAM Identity Center (sucessor do AWS Single Sign-On)?

O IAM Identity Center foi desenvolvido com base no AWS Identity and Access Management (IAM) para simplificar o gerenciamento de acesso a várias contas da AWS, aplicações da AWS e outras aplicações de nuvem habilitadas para SAML. No IAM Identity Center, você cria ou conecta seus usuários de força de trabalho para uso na AWS. É possível optar por gerenciar o acesso apenas às suas contas da AWS, apenas às aplicações na nuvem ou ambas. Você pode criar usuários diretamente no IAM Identity Center ou trazê-los de seu diretório de força de trabalho existente. Com o IAM Identity Center, você obtém uma experiência de administração unificada para definir, personalizar e atribuir acesso detalhado. Os usuários da força de trabalho recebem um portal do usuário para acessar todas as suas contas da AWS atribuídas ou aplicações na nuvem.

P: Quais são os benefícios do uso do IAM Identity Center?

Use o IAM Identity Center para atribuir e gerenciar com rapidez e facilidade o acesso de seus funcionários a várias contas da AWS, aplicações em nuvem habilitadas para SAML (como Salesforce, Microsoft 365 e Box) e aplicações internas personalizadas, tudo de um só lugar. Os funcionários podem ser mais produtivos fazendo login com suas credenciais existentes ou com credenciais que você configura no IAM Identity Center. Eles podem usar um único portal de usuário personalizado. Você terá melhor visibilidade do uso da aplicação em nuvem, pois poderá monitorar e auditar a atividade de login de forma centralizada do AWS CloudTrail.

P: Quais problemas o IAM Identity Center resolve?

O IAM Identity Center elimina a complexidade administrativa de federar e gerenciar permissões separadamente para cada conta da AWS. Ele permite que você configure aplicações da AWS a partir de uma única interface e atribua acesso a suas aplicações em nuvem a partir de um único local.
O IAM Identity Center também ajuda a melhorar a visibilidade do acesso, integrando-se ao AWS CloudTrail e fornecendo um local central para você fazer auditoria do acesso por logon único às contas da AWS e aplicações em nuvem habilitadas para SAML, como Microsoft 365, Salesforce e Box.

P: Por que usar o IAM Identity Center?

O IAM Identity Center é nossa porta de entrada recomendada para a AWS. Deve ser sua principal ferramenta para gerenciar o acesso à AWS de seus usuários de força de trabalho. Ele permite que você gerencie suas identidades em sua fonte de identidade preferida, conecte-as uma vez para uso na AWS, defina permissões refinadas e aplique-as de forma consistente nas contas. À medida que o número de contas aumenta, o IAM Identity Center oferece a opção de usá-lo como um único local para gerenciar o acesso do usuário a todas as suas aplicações em nuvem.

P: O que posso fazer com o IAM Identity Center?

Use o IAM Identity Center para atribuir aos funcionários, de forma rápida e fácil, acesso às contas da AWS com o AWS Organizations, aplicações empresariais em nuvem (como Salesforce, Microsoft 365 e Box) e aplicações personalizadas que oferecem suporte a Security Assertion Markup Language (SAML) 2.0. Os funcionários podem entrar com suas credenciais corporativas ou as credenciais configuradas no IAM Identity Center para acessar as aplicações corporativas em um único portal de usuário. O IAM Identity Center também permite que você realize a auditoria do acesso dos usuários a serviços de nuvem usando o AWS CloudTrail.

P: Quem deveria usar o IAM Identity Center?

O IAM Identity Center serve para administradores que gerenciam várias contas e aplicativos empresariais da AWS, desejam centralizar o gerenciamento de acesso do usuário a esses serviços de nuvem e querem fornecer aos funcionários um único local para acessar essas contas e aplicativos sem precisar se lembrar de outra senha.

P: Como começar a usar o IAM Identity Center?

Como um novo cliente do IAM Identity Center, você:

  1. Entra no Console de Gerenciamento da AWS da conta de gerenciamento na sua conta da AWS e navegue até o console do IAM Identity Center.
  2. Seleciona o diretório que utiliza para armazenar identidades e grupos de usuários no console do IAM Identity Center. O IAM Identity Center oferece por padrão um diretório que você pode usar para gerenciar usuários e grupos dentro do IAM Identity Center. Você também pode alterar o diretório para conectar-se a um diretório do Microsoft AD clicando em uma lista de instâncias do AD gerenciadas pelas Microsoft e do AD Connector que o IAM Identity Center descobre em sua conta automaticamente. Se quiser se conectar a um diretório do Microsoft AD, consulte Comece a usar o AWS Directory Service.
  3. Concede aos usuários acesso por logon único às contas da AWS em sua organização, selecionando as contas da AWS de uma lista preenchida pelo IAM Identity Center e, em seguida, usuários ou grupos de seu diretório e as permissões que você deseja conceder a eles.
  4. Conceda aos usuários o acesso a aplicações empresariais de nuvem fazendo o seguinte:
    a. Selecionando um dos aplicativos na lista de aplicações pré-integradas que têm suporte do IAM Identity Center.
    b. Configurando a aplicação seguindo as instruções de configuração.
    c. Selecionando os usuários ou grupos que devem poder acessar essa aplicação.
  5. Dê aos seus usuários o endereço da Web de entrada do IAM Identity Center gerado durante a configuração do diretório. Assim, eles poderão entrar no IAM Identity Center e acessar as contas e aplicações empresariais.

P: Quanto custa o IAM Identity Center?

O IAM Identity Center é oferecido gratuitamente.

P: Em que regiões o IAM Identity Center está disponível?

Consulte a Tabela de regiões da AWS para saber a disponibilidade do IAM Identity Center por região.

Suporte a origens de identidade e a aplicações

P:Que origens de identidade posso usar com o IAM Identity Center?

Com o IAM Identity Center, você pode criar e gerenciar identidades de usuário no armazenamento de identidades do IAM Identity Center ou conectar-se facilmente à sua origem de identidade existente, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Azure Active Directory (Azure AD) ou outro IdP com suporte. Consulte o Guia do usuário do IAM Identity Center para saber mais.

Posso conectar mais de uma origem de identidade ao IAM Identity Center?

Não. Em um determinado momento, você só pode ter um diretório ou um provedor de identidade SAML 2.0 conectado ao IAM Identity Center. Porém, você pode alterar a origem da identidade que esteja conectada a um diferente.

P:Que IdPs SAML 2.0 posso usar com o IAM Identity Center?

Você pode conectar o IAM Identity Center à maioria dos provedores de identidade (IdPs) SAML 2.0, como o Diretório universal da Okta ou o Azure Active Directory. Consulte o Guia do usuário do IAM Identity Center para saber mais.

P: Como posso provisionar identidades do meu IdP existente para o IAM Identity Center?

Identidades do seu IdP existente devem ser provisionadas ao IAM Identity Center antes que você possa atribuir permissões. Você pode sincronizar informações de usuários e grupos do Diretório universal da Okta, do Azure AD, do OneLogin e do PingFederate usando o padrão System for Cross-domain Identity Management (SCIM). Para outros IdPs, é possível provisionar usuários no seu IdP usando o console do IAM Identity Center. Consulte o Guia do usuário do IAM Identity Center para saber mais.

Posso automatizar a sincronização de identidade no IAM Identity Center?

Sim. Se você usar o Diretório universal da Okta, o Azure AD, o OneLogin ou o PingFederate, poderá usar o SCIM para sincronizar as informações de usuário e grupo de seu IdP para o IAM Identity Center automaticamente. Consulte o Guia do usuário do IAM Identity Center para saber mais.

P: Como faço para conectar o IAM Identity Center ao Microsoft Active Directory?

É possível conectar o IAM Identity Center ao seu Active Directory (AD) on-premises ou a um diretório do AWS Managed Microsoft AD usando o AWS Directory Service. Consulte o Guia do usuário do IAM Identity Center para saber mais.

P: Gerencio usuários e grupos no Active Directory on-premises. Como posso aproveitar esses usuários e grupos no IAM Identity Center?

Você tem duas opções para conectar o Active Directory hospedado on-premises ao IAM Identity Center: (1) usar o AD Connector ou (2) usar a relação de confiança do AWS Managed Microsoft AD. O AD Connector simplesmente conecta o Active Directory on-premises à AWS. O AD Connector é um gateway de diretório com o qual é possível redirecionar solicitações para o Microsoft Active Directory on-premises sem armazenar em cache quaisquer informações na nuvem. Para conectar diretórios on-premises usando o AD Connector, consulte o Guia de administração do AWS Directory Service. O AWS Managed Microsoft AD facilita a configuração e a execução do Microsoft Active Directory na AWS. Ele pode ser usado para configurar uma relação de confiança de floresta entre seu diretório on-premises e o AWS Managed Microsoft AD. Para configurar uma relação de confiança, consulte o Guia de administração do AWS Directory Service.

P: Posso usar grupos de usuários do Amazon Cognito como a origem de identidade no IAM Identity Center?

O Amazon Cognito é um serviço que ajuda você a gerenciar identidades para aplicações direcionadas a clientes; não é uma origem de identidade compatível com o IAM Identity Center. Você pode criar e gerenciar identidades da sua força de trabalho no IAM Identity Center ou na sua origem de identidade externa, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Azure Active Directory (Azure AD) ou outro IdP com suporte.

P: O IAM Identity Center oferece suporte para navegador, linha de comando e interfaces móveis?

Sim, é possível usar o IAM Identity Center para controlar o acesso ao Console de gerenciamento da AWS e à CLI v2. O IAM Identity Center permite que seus usuários acessem a CLI e o Console de gerenciamento da AWS por meio de logon único. O aplicativo AWS Mobile Console também oferece suporte ao IAM Identity Center, para que você tenha uma experiência consistente de login nas interfaces de navegador, dispositivos móveis e linha de comando.

P: Que aplicações de nuvem posso conectar ao IAM Identity Center?

É possível conectar as seguintes aplicações ao IAM Identity Center:

  1. Aplicações integradas ao IAM Identity Center: aplicações integradas ao IAM Identity Center, como o SageMaker Studio e o IoT SiteWise, usam o IAM Identity Center para autenticação e trabalho com as identidades que você tiver no IAM Identity Center. Não é necessária qualquer configuração adicional para sincronizar identidades com essas aplicações ou para configurar federações a elas separadamente.
  2. Aplicações SAML pré-integradas: o IAM Identity Center é fornecido pre-integrado com as aplicações empresariais mais usadas. Para uma lista abrangente, consulte o console do IAM Identity Center.
  3. Aplicações SAML personalizados: o IAM Identity Center oferece suporte a aplicações que aceitam a federação de identidades com o SAML 2.0. É possível habilitar o IAM Identity Center para oferecer suporte a essas aplicações usando o assistente personalizado das aplicações.

Acesso de logon único para contas da AWS

P: Quais contas da AWS eu posso conectar ao IAM Identity Center?

Adicione qualquer conta da AWS gerenciada usando o AWS Organizations para o IAM Identity Center. Você precisa permitir que todos os recursos em suas organizações gerenciem o logon único de suas contas.

P: Como configurar o logon único para contas da AWS em uma UO (unidade organizacional) dentro da minha organização?

Escolha as contas dentro da organização ou filtre as contas por UO.

P: Como posso controlar quais permissões meus usuários recebem quando usam o IAM Identity Center para acessar suas contas?

Ao conceder acesso aos seus usuários, é possível limitar as permissões dos usuários escolhendo um conjunto de permissões. Os conjuntos de permissão são uma coleção de permissões que você pode criar no IAM Identity Center, modelando-as com base nas políticas gerenciadas pela AWS para funções de trabalho ou quaisquer políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS para funções de trabalho foram desenvolvidas para ficarem alinhadas da forma mais próxima possível às funções de trabalho no setor de TI. Se for necessário, também será possível personalizar totalmente o conjunto de permissões a fim de atender aos seus requisitos de segurança. O IAM Identity Center aplica automaticamente essas permissões às contas selecionadas. À medida que você altera os conjuntos de permissão, o IAM Identity Center permite que você aplique as alterações às contas relevantes. Quando seus usuários acessam as contas por meio do portal de acesso da AWS, essas permissões restringem o que eles podem fazer nessas contas. Também é possível conceder vários conjuntos de permissão aos seus usuários. Ao acessarem a conta por meio do portal do usuário, eles podem escolher qual conjunto de permissões desejam aceitar para essa sessão.

P: Como automatizo o gerenciamento de permissões em várias contas?

O IAM Identity Center fornece suporte a APIs e ao AWS CloudFormation para automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada, para fins de auditoria e governança.

P: Como seleciono quais atributos do usuário usar para o ABAC?

Para implementar o ABAC, você pode selecionar os atributos no armazenamento de identidades do IAM Identity Center para os usuários do IAM Identity Center e usuários sincronizados do Microsoft AD ou IdPs externos do SAML 2.0, inclusive Okta Universal Directory, Azure AD, OneLogin ou PingFederate. Ao usar um IdP como sua fonte de identidade, é possível enviar opcionalmente os atributos como parte de uma declaração do SAML 2.0.

P: Para quais contas da AWS posso obter credenciais da AWS CLI?

Você pode obter credenciais da AWS CLI para quaisquer contas e permissões de usuário da AWS atribuídas a você pelo administrador do IAM Identity Center. Essas credenciais da CLI podem ser usadas para acesso programático à conta da AWS.

P: Por quanto tempo as credenciais da AWS CLI do portal de acesso da AWS são válidas?

As credenciais da AWS CLI obtidas pelo portal de usuários do IAM Identity Center são válidas por 60 minutos. Você pode obter um novo conjunto de credenciais quantas vezes quiser.

Acesso por logon único a aplicações empresariais

P: Como configurar o IAM Identity Center para aplicações empresariais, como o Salesforce?

No console do IAM Identity Center, navegue até o painel de aplicações, escolha Configurar nova aplicação e escolha uma aplicação na lista de aplicações de nuvem pré-integrados ao IAM Identity Center. Siga as instruções na tela para configurar a aplicação. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais deseja fornecer acesso à aplicação e Escolher Atribuir Acesso para completar o processo.

P: Minha empresa usa aplicações empresariais que não estão na lista de aplicações pré-integradas do IAM Identity Center. Posso usar o IAM Identity Center?

Sim. Se a aplicação for compatível com SAML 2.0, você poderá configurá-la como uma aplicação SAML 2.0 personalizado. No console do IAM Identity Center, navegue até o painel de aplicações, escolha Configurar nova aplicação e escolha a aplicação SAML 2.0 Personalizada. Siga as instruções para configurar a aplicação. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais você quer fornecer acesso à aplicação e escolha Atribuir Acesso para completar o processo.

P: Minha aplicação só dá suporte ao OpenID Connect (OIDC). Posso usá-la com o IAM Identity Center?

Não. O IAM Identity Center só é compatível com aplicações com base em SAML 2.0.

P: O IAM Identity Center é compatível com logon único a aplicações móveis e de desktop nativos?

Não. O IAM Identity Center é compatível ao logon único para aplicativos empresariais exclusivamente por meio de navegadores da web.

Diversos

P: Que dados o IAM Identity Center armazenará em meu nome?

O IAM Identity Center armazenará dados sobre quais contas e aplicações de nuvem da AWS foram atribuídos a quais usuários e grupos e, também, quais permissões foram concedidas para acesso às contas da AWS. O IAM Identity Center também criará e gerenciará funções do IAM em contas individuais da AWS para cada conjunto de permissões para o qual você concede acesso aos seus usuários.

P: Quais recursos de autenticação multifator (MFA) posso usar com o IAM Identity Center?

Com o IAM Identity Center, é possível habilitar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 compatível como sua fonte de identidade, poderá habilitar os recursos de autenticação multifator do seu provedor. Ao usar o IAM Identity Center ou o Active Directory como sua fonte de identidade, o IAM Identity Center suporta a especificação Web Authentication para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Também pode usar sua configuração MFA RADIUS (Remote Authentication Dial-In User Service) existente com IAM Identity Center e AWS Directory Services para autenticar seus usuários como uma forma secundária de verificação. Para saber mais sobre como configurar o MFA com o IAM Identity Center, visite o Guia do usuário do IAM Identity Center.

P: O IAM Identity Center é compatível com especificação Web Authentication?

Sim. Para as identidades no armazenamento de identidades do IAM Identity Center e no Active Directory, o IAM Identity Center é compatível com a especificação Web Authentication (WebAuthn) para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

P: Como meus funcionários podem começar a usar o IAM Identity Center?

Os funcionários podem começar a usar o IAM Identity Center acessando o portal de usuário do IAM Identity Center gerado quando você configura a identidade da sua origem no IAM Identity Center. Se você gerenciar usuários no IAM Identity Center, seus funcionários poderão usar seus endereços de e-mail e senhas configurados no IAM Identity Center para entrar no portal do usuário. Se você conectar o IAM Identity Center a um Microsoft Active Directory ou a um provedor de identidade SAML 2.0, seus funcionários poderão acessar o portal do usuário com suas credenciais corporativas existentes e, em seguida, ver as contas e aplicações atribuídas a eles. Para acessar uma conta ou aplicação, os funcionários devem escolher o ícone associado no portal de acesso.

P: Há APIs disponíveis para o IAM Identity Center?

Sim. O IAM Identity Center fornece APIs de atribuição de conta para ajudá-lo a automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada para fins de auditoria e governança.