Configuración del Centro de identidades de IAM de AWS como proveedor de identidades (versión preliminar)

Si es un cliente de Amazon Web Services (AWS) que usa el Centro de identidades de AWS IAM, puede configurar el Centro de identidades como proveedor de identidades en la administración de permisos. La configuración de la información del Centro de identidades de AWS IAM le permite recibir datos más precisos para sus identidades en la administración de permisos.

Nota:

La configuración del Centro de identidades de AWS IAM como un proveedor de identidades es un paso opcional. Mediante la configuración de la información del proveedor de identidades, la administración de permisos puede leer el acceso de usuario y el rol configurado en el Centro de identidades de AWS IAM. Los administradores pueden ver la vista aumentada de los permisos asignados a las identidades. Puede volver a estos pasos para configurar un IdP en cualquier momento.

Cómo configurar el Centro de identidades de AWS IAM como un proveedor de identidades

1. Si el panel Recopiladores de datos no se muestra cuando se inicia la administración de permisos, seleccione Configuración (icono de engranaje) y, a continuación, seleccione la subpestaña Recopiladores de datos.

2. En el panel Data Collectors (Recopiladores de datos), seleccione AWS (AWS) y, a continuación, seleccione Create Configuration (Crear configuración). Si ya existe un recopilador de datos en su cuenta de AWS y desea agregar la integración de IAM de AWS, haga lo siguiente:

   • Seleccione el recopilador de datos para el que desea configurar AWS IAM.
   • Haga clic en los puntos suspensivos situados junto al Estado de los sistemas de autorización.
   • Seleccione Integrar proveedor de identidades.

3. En la página Integrar proveedor de identidades (IdP), seleccione el cuadro de Centro de identidades de AWS IAM.

4. Rellene los campos siguientes:

   • Abra la Región del Centro de identidades de AWS IAM. Especifique la región donde está instalado el Centro de identidades de AWS IAM. Todos los datos configurados en el Centro de identidades de IAM
     se almacenan en la región donde está instalado el Centro de identidades de IAM.
   • El Id. de la cuenta de administración de AWS
   • El Rol de la cuenta de administración de AWS

5. Seleccione Iniciar plantilla de la cuenta de administración. Se abre la plantilla en una ventana nueva.

6. Si la pila de la cuenta de administración se crea con la plantilla de CloudFormation como parte de los pasos de incorporación anteriores, actualice la pila mediante la ejecución de EnableSSO como true. Al ejecutar este comando, se crea una nueva pila al ejecutar la plantilla de cuenta de administración.

La ejecución de la plantilla adjunta la directiva administrada de AWS AWSSSOReadOnly y la directiva personalizada recién creada SSOPolicy al rol de AWS IAM que permite que la administración de permisos de Microsoft Entra recopile información de la organización. En la plantilla se solicitan los detalles siguientes. Todos los campos se rellenan previamente y puede editar los datos según sea necesario:

• Nombre de pila: el nombre de la pila de AWS para crear los recursos de AWS necesarios para la administración de permisos para recopilar información de la organización. El valor predeterminado es mciem-org-<tenant-id>.

• Parámetros CFT

  • Nombre del rol de proveedor de OIDC: nombre del proveedor de OIDC de rol de IAM que puede asumir el rol. El valor predeterminado es el rol de cuenta de OIDC (como se especifica en la administración de permisos).

  • Nombre del rol de cuenta de organización: nombre del rol de IAM. El valor predeterminado se rellena previamente con el nombre del rol de cuenta de administración (como se especifica en Microsoft Entra PM).

  • true: habilita el inicio de sesión único de AWS. El valor predeterminado es true cuando la plantilla se inicia desde la página Configurar proveedor de identidades (IdP); de lo contrario, el valor predeterminado es false.

  • Id. de cuenta del proveedor de OIDC: el id. de cuenta donde se crea el proveedor de OIDC. El valor predeterminado es el id. de cuenta del proveedor de OIDC (como se especifica en la administración de permisos).

  • Id. de inquilino: id. del inquilino donde se crea la aplicación. El valor predeterminado es tenant-id (el inquilino configurado).

7. Haga clic en Siguiente para revisar y confirmar la información que ha escrito.

8. Haga clic en Comprobar ahora y Guardar.

Pasos siguientes

• Para obtener información sobre cómo adjuntar y desasociar permisos para identidades de AWS, consulte Adjuntar y desasociar directivas para identidades de AWS.