Einrichten der SCIM-Bereitstellung zwischen OneLogin und IAM Identity Center

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisierung) von Benutzer- und Gruppeninformationen von OneLogin in IAM Identity Center mithilfe des Systems for Cross-Domain Identity Management (SCIM) v2.0-Protokolls. Sie konfigurieren diese Verbindung in unter OneLoginVerwendung Ihres SCIM-Endpunkts für IAM Identity Center und eines Bearer-Tokens, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in OneLogin zu den benannten Attributen in IAM Identity Center. Dies führt dazu, dass die erwarteten Attribute zwischen IAM Identity Center und übereinstimmenOneLogin.

Die folgenden Schritte führen Sie durch die Aktivierung der automatischen Bereitstellung von Benutzern und Gruppen von OneLogin an IAM Identity Center mithilfe des SCIM-Protokolls.

Anmerkung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu überprüfenÜberlegungen zur Verwendung der automatischen Bereitstellung.

Voraussetzungen

Sie benötigen Folgendes, bevor Sie beginnen können:

• Ein -OneLoginKonto. Wenn Sie noch kein -Konto haben, können Sie möglicherweise eine kostenlose Testversion oder ein Entwicklerkonto von der OneLogin Website erhalten.

• Ein IAM-Identity-Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAM Identity Center aktivieren.

• Eine SAML-Verbindung von Ihrem OneLogin Konto zu IAM Identity Center. Weitere Informationen finden Sie unter Aktivieren von Single Sign-On zwischen OneLogin und AWS im -AWSPartnernetzwerk-Blog.

Schritt 1: Aktivieren der Bereitstellung in IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM-Identity-Center-Konsole, um die automatische Bereitstellung zu aktivieren.

So aktivieren Sie die automatische Bereitstellung in IAM Identity Center

1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM-Identity-Center-Konsole .

2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

3. Suchen Sie auf der Seite Einstellungen das Feld Informationen zur automatischen Bereitstellung und wählen Sie dann Aktivieren aus. Dies aktiviert sofort die automatische Bereitstellung im IAM Identity Center und zeigt die erforderlichen SCIM-Endpunkt- und Zugriffstokeninformationen an.

4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehenden Datenverkehr jeden der Werte für die folgenden Optionen. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

   1. SCIM-Endpunkt

   2. Zugriffstoken

5. Klicken Sie auf Schließen.

Sie haben jetzt die Bereitstellung in der IAM-Identity-Center-Konsole eingerichtet. Jetzt müssen Sie die verbleibenden Aufgaben mit der OneLogin Admin-Konsole ausführen, wie im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren der Bereitstellung in OneLogin

Gehen Sie wie folgt in der OneLogin Administratorkonsole vor, um die Integration zwischen IAM Identity Center und der IAM-Identity-Center-App zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die AWS Single-Sign-On-Anwendung bereits in OneLogin für die SAML-Authentifizierung konfiguriert haben. Wenn Sie diese SAML-Verbindung noch nicht erstellt haben, tun Sie dies, bevor Sie fortfahren, und kehren Sie dann hier zurück, um den SCIM-Bereitstellungsprozess abzuschließen. Weitere Informationen zur Konfiguration von SAML mit OneLoginfinden Sie unter Aktivieren von Single Sign-On zwischen OneLogin und AWS im -AWSPartnernetzwerk-Blog.

So konfigurieren Sie die Bereitstellung in OneLogin

1. Melden Sie sich bei an OneLoginund navigieren Sie dann zu Anwendungen > Anwendungen.

2. Suchen Sie auf der Seite Anwendungen nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie es aus und wählen Sie dann in der linken Navigationsleiste Konfiguration aus.

3. Im vorherigen Verfahren haben Sie den SCIM-Endpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld SCIM-Basis-URL in einOneLogin. Stellen Sie sicher, dass Sie den abschließenden Schrägstrich am Ende der URL entfernen. Außerdem haben Sie im vorherigen Verfahren den Wert für das Zugriffstoken in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld SCIM Bearer Token in einOneLogin.

4. Klicken Sie neben API Connection auf Enable und anschließend auf Save, um die Konfiguration abzuschließen.

5. Wählen Sie in der linken Navigationsleiste Provisioning aus.

6. Aktivieren Sie die Kontrollkästchen für Bereitstellung aktivieren, Benutzer erstellen, Benutzer löschen und Benutzer aktualisieren und wählen Sie dann Speichern aus.

7. Wählen Sie in der linken Navigationsleiste Benutzer aus.

8. Klicken Sie auf Weitere Aktionen und wählen Sie Anmeldeinformationen synchronisieren aus. Sie sollten die Meldung Synchronisieren von Benutzern mit AWS Single Sign-On erhalten.

9. Klicken Sie erneut auf Weitere Aktionen und wählen Sie dann erneut Berechtigungszuordnungen anwenden aus. Sie sollten die Meldung Mappings werden erneut angewendet erhalten.

10. Zu diesem Zeitpunkt sollte der Bereitstellungsprozess beginnen. Um dies zu bestätigen, navigieren Sie zu Aktivität > Ereignisse und überwachen Sie den Fortschritt. Erfolgreiche Bereitstellungsereignisse sowie Fehler sollten im Ereignisstream angezeigt werden.

11. Um zu überprüfen, ob Ihre Benutzer und Gruppen alle erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM-Identity-Center-Konsole zurück und wählen Sie Benutzer aus. Ihre synchronisierten Benutzer von OneLogin werden auf der Seite Benutzer angezeigt. Sie können Ihre synchronisierten Gruppen auch auf der Seite Gruppen anzeigen.

12. Um Benutzeränderungen automatisch mit IAM Identity Center zu synchronisieren, navigieren Sie zur Seite Bereitstellung, suchen Sie den Abschnitt Administratorgenehmigung erforderlich, bevor diese Aktion ausgeführt wird, deaktivieren Sie Benutzer erstellen, Benutzer löschen und/oder Benutzer aktualisieren und klicken Sie auf Speichern.

(Optional) Schritt 3: Konfigurieren von Benutzerattributen in OneLogin für die Zugriffskontrolle in IAM Identity Center

Dies ist ein optionales Verfahren für , OneLogin wenn Sie Attribute konfigurieren möchten, die Sie in IAM Identity Center verwenden, um den Zugriff auf Ihre -AWSRessourcen zu verwalten. Die Attribute, die Sie in definieren, OneLogin werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie einen Berechtigungssatz in IAM Identity Center, um den Zugriff basierend auf den Attributen zu verwalten, die Sie von übergeben habenOneLogin.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

So konfigurieren Sie Benutzerattribute in OneLogin für die Zugriffskontrolle in IAM Identity Center

1. Melden Sie sich bei an OneLoginund navigieren Sie dann zu Anwendungen > Anwendungen.

2. Suchen Sie auf der Seite Anwendungen nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie es aus und wählen Sie dann in der linken Navigationsleiste Parameter aus.

3. Gehen Sie im Abschnitt Erforderliche Parameter für jedes Attribut, das Sie in IAM Identity Center verwenden möchten, wie folgt vor:

   1. Wählen Sie + aus.

   2. Geben Sie unter Feldname ein und ersetzen Sie AttributeName durch den Namen des Attributshttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, das Sie in IAM Identity Center erwarten. Beispiel: https://aws.amazon.com/SAML/Attributes/AccessControl:Department

   3. Aktivieren Sie unter Flags das Kontrollkästchen neben In SAML-Assertion einschließen und wählen Sie Speichern aus.

   4. Verwenden Sie im Feld Wert die Dropdown-Liste, um die OneLogin Benutzerattribute auszuwählen. Zum Beispiel Abteilung .

4. Wählen Sie Speichern.

(Optional) Übergeben von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein -AttributeElement mit dem -NameAttribut auf festzulegenhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS STS im IAM-Benutzerhandbuch.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Um beispielsweise das Tag-Schlüssel-Wert-Paar zu übergebenCostCenter = blue, verwenden Sie das folgende Attribut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates -AttributeElement hinzu.

Fehlerbehebung

Im Folgenden finden Sie Hinweise zur Behebung einiger häufiger Probleme, die beim Einrichten der automatischen Bereitstellung mit auftreten könnenOneLogin.

Gruppen werden nicht für IAM Identity Center bereitgestellt

Standardmäßig werden Gruppen nicht von OneLogin zu IAM Identity Center bereitgestellt. Stellen Sie sicher, dass Sie die Gruppenbereitstellung für Ihre IAM-Identity-Center-Anwendung in aktiviert habenOneLogin. Melden Sie sich dazu bei der OneLogin Administratorkonsole an und überprüfen Sie, ob die Option In Benutzerbereitstellung einschließen unter den Eigenschaften der IAM-Identity-Center-Anwendung ausgewählt ist (IAM-Identity-Center-Anwendung > Parameter > Gruppen). Weitere Informationen zum Erstellen von Gruppen in OneLogin, einschließlich zum Synchronisieren von OneLogin Rollen als Gruppen in SCIM, finden Sie auf der OneLogin Website .

Nichts wird von OneLogin zu IAM Identity Center synchronisiert, obwohl alle Einstellungen korrekt sind

Zusätzlich zum obigen Hinweis zur Administratorgenehmigung müssen Sie die Berechtigungszuordnungen erneut anwenden, damit viele Konfigurationsänderungen wirksam werden. Dies finden Sie unter Anwendungen > Anwendungen > IAM-Identity-Center-Anwendung > Weitere Aktionen. Details und Protokolle für die meisten Aktionen in OneLogin, einschließlich Synchronisationsereignissen, finden Sie unter Aktivität > Ereignisse.

Ich habe eine Gruppe in gelöscht oder deaktiviertOneLogin, sie wird aber weiterhin im IAM Identity Center angezeigt

OneLogin unterstützt derzeit nicht die SCIM DELETE-Operation für Gruppen, was bedeutet, dass die Gruppe weiterhin im IAM Identity Center existiert. Daher müssen Sie die Gruppe direkt aus dem IAM Identity Center entfernen, um sicherzustellen, dass alle entsprechenden Berechtigungen im IAM Identity Center für diese Gruppe entfernt werden.

Ich habe eine Gruppe in IAM Identity Center gelöscht, ohne sie zuerst aus zu löschen, OneLogin und jetzt habe ich Probleme mit der Benutzer-/Gruppensynchronisierung

Um diese Situation zu beheben, stellen Sie zunächst sicher, dass Sie keine redundanten Gruppenbereitstellungsregeln oder -konfigurationen in habenOneLogin. Zum Beispiel eine Gruppe, die direkt einer Anwendung zugewiesen ist, zusammen mit einer Regel, die in derselben Gruppe veröffentlicht. Löschen Sie als Nächstes alle unerwünschten Gruppen in IAM Identity Center. Aktualisieren OneLogin Sie schließlich in die Berechtigungen (IAM Identity Center App > Bereitstellung > Berechtigungen) und wenden Sie dann die Berechtigungszuordnungen erneut an (IAM Identity Center App > Weitere Aktionen). Um dieses Problem in Zukunft zu vermeiden, nehmen Sie zunächst die Änderung vor, um die Bereitstellung der Gruppe in zu beendenOneLogin, und löschen Sie dann die Gruppe aus IAM Identity Center.