PingFederate

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisierung) von Benutzer- und Gruppeninformationen aus dem PingFederate Produkt bis Ping Identity (nachstehend „Ping“) in IAM Identity Center. Diese Bereitstellung verwendet das System for Cross-Domain Identity Management (SCIM) v2.0-Protokoll. Sie konfigurieren diese Verbindung in PingFederate mit Ihrem IAM-Identity-Center-SCIM-Endpunkt und Zugriffstoken. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in PingFederate zu den benannten Attributen in IAM Identity Center. Dies führt dazu, dass die erwarteten Attribute zwischen IAM Identity Center und übereinstimmenPingFederate.

Dieses Handbuch basiert auf PingFederate Version 10.2. Die Schritte für andere Versionen können variieren. Weitere Informationen zum Konfigurieren der Bereitstellung für IAM Identity Center für andere Versionen von Ping erhalten Sie von PingFederate.

Die folgenden Schritte führen Sie durch die Aktivierung der automatischen Bereitstellung von Benutzern und Gruppen von PingFederate zu IAM Identity Center mithilfe des SCIM-Protokolls.

Anmerkung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu überprüfenÜberlegungen zur Verwendung der automatischen Bereitstellung. Lesen Sie dann weitere Überlegungen im nächsten Abschnitt.

Voraussetzungen

Sie benötigen Folgendes, bevor Sie beginnen können:

• Ein funktionierender PingFederate Server. Wenn Sie noch keinen PingFederate Server haben, können Sie möglicherweise eine kostenlose Testversion oder ein Entwicklerkonto von der Ping-Identity-Website erhalten. Die Testversion enthält Lizenzen und Software-Downloads sowie die zugehörige Dokumentation.

• Eine Kopie der auf Ihrem PingFederate Server installierten Software von PingFederate IAM Identity Center Connector. Weitere Informationen zum Abrufen dieser Software finden Sie unter IAM Identity Center Connector auf der Ping Identity-Website.

• Ein IAM-Identity-Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAM Identity Center aktivieren.

• Eine SAML-Verbindung von Ihrer PingFederate Instance zu IAM Identity Center. Anweisungen zum Konfigurieren dieser Verbindung finden Sie in der -PingFederateDokumentation. Zusammenfassend lässt sich sagen, dass der empfohlene Pfad darin besteht, den IAM Identity Center Connector zu verwenden, um „Browser SSO“ in zu konfigurierenPingFederate, wobei die Metadatenfunktionen „Download“ und „Import“ an beiden Enden verwendet werden, um SAML-Metadaten zwischen PingFederate und IAM Identity Center auszutauschen.

Weitere Überlegungen

Im Folgenden finden Sie wichtige Überlegungen zu PingFederate, die sich auf die Implementierung der Bereitstellung mit IAM Identity Center auswirken können.

• Wenn ein Attribut (z. B. eine Telefonnummer) von einem Benutzer in dem in konfigurierten Datenspeicher entfernt wirdPingFederate, wird dieses Attribut nicht vom entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung bei der Implementierung von PingFederate’s -Provisionern. Wenn ein Attribut in einen anderen (nicht leeren) Wert eines Benutzers geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.

Schritt 1: Aktivieren der Bereitstellung in IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM-Identity-Center-Konsole, um die automatische Bereitstellung zu aktivieren.

So aktivieren Sie die automatische Bereitstellung in IAM Identity Center

1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM-Identity-Center-Konsole .

2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

3. Suchen Sie auf der Seite Einstellungen das Feld Informationen zur automatischen Bereitstellung und wählen Sie dann Aktivieren aus. Dies aktiviert sofort die automatische Bereitstellung im IAM Identity Center und zeigt die erforderlichen SCIM-Endpunkt- und Zugriffstokeninformationen an.

4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehenden Datenverkehr jeden der Werte für die folgenden Optionen. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

   1. SCIM-Endpunkt

   2. Zugriffstoken

5. Klicken Sie auf Schließen.

Nachdem Sie nun die Bereitstellung in der IAM-Identity-Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mit der PingFederate Administratorkonsole ausführen. Die Schritte werden im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren der Bereitstellung in PingFederate

Gehen Sie wie folgt in der PingFederate Administratorkonsole vor, um die Integration zwischen IAM Identity Center und dem IAM Identity Center Connector zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die Software IAM Identity Center Connector bereits installiert haben. Wenn Sie dies noch nicht getan haben, lesen Sie , und führen Sie dann dieses Verfahren ausVoraussetzungen, um die SCIM-Bereitstellung zu konfigurieren.

Wichtig

Wenn Ihr PingFederate Server noch nicht für die ausgehende SCIM-Bereitstellung konfiguriert wurde, müssen Sie möglicherweise eine Änderung der Konfigurationsdatei vornehmen, um die Bereitstellung zu aktivieren. Weitere Informationen finden Sie in der -PingDokumentation. Zusammenfassend lässt sich sagen, dass Sie die -pf.provisioner.modeEinstellung in der pingfederate-<version>/pingfederate/bin/run.properties Datei auf einen anderen Wert als ändern OFF (der Standard ist) und den Server neu starten müssen, wenn er derzeit ausgeführt wird. Sie können beispielsweise verwenden, STANDALONE wenn Sie derzeit keine Hochverfügbarkeitskonfiguration mit habenPingFederate.

So konfigurieren Sie die Bereitstellung in PingFederate

1. Melden Sie sich bei der PingFederate Administratorkonsole an.

2. Wählen Sie oben auf der Seite Anwendungen aus und klicken Sie dann auf SP Connections.

3. Suchen Sie die Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen, und klicken Sie auf den Verbindungsnamen.

4. Wählen Sie in den blauen Navigationsüberschriften oben auf der Seite Verbindungstyp aus. Sie sollten sehen, dass Browser SSO bereits aus Ihrer vorherigen Konfiguration von SAML ausgewählt wurde. Andernfalls müssen Sie diese Schritte zuerst ausführen, bevor Sie fortfahren können.

5. Aktivieren Sie das Kontrollkästchen Outbound Provisioning, wählen Sie IAM Identity Center Cloud Connector als Typ aus und klicken Sie auf Save . Wenn IAM Identity Center Cloud Connector nicht als Option angezeigt wird, stellen Sie sicher, dass Sie den IAM Identity Center Connector installiert und Ihren PingFederate Server neu gestartet haben.

6. Klicken Sie wiederholt auf Weiter, bis Sie auf der Seite Ausgehende Bereitstellung ankommen, und klicken Sie dann auf die Schaltfläche Bereitstellung konfigurieren.

7. Im vorherigen Verfahren haben Sie den SCIM-Endpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das SCIM-URL-Feld in der PingFederate Konsole ein. Stellen Sie sicher, dass Sie den abschließenden Schrägstrich am Ende der URL entfernen. Außerdem haben Sie im vorherigen Verfahren den Wert für das Zugriffstoken in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld Zugriffstoken in der PingFederate Konsole ein. Klicken Sie auf Speichern.

8. Klicken Sie auf der Seite Kanalkonfiguration (Kanäle konfigurieren) auf Erstellen.

9. Geben Sie einen Kanalnamen für diesen neuen Bereitstellungskanal ein (z. B. AWSIAMIdentityCenterchannel) und klicken Sie auf Weiter.

10. Wählen Sie auf der Seite Quelle den Active Data Store aus, den Sie für Ihre Verbindung mit IAM Identity Center verwenden möchten, und klicken Sie auf Weiter.

    Anmerkung

    Wenn Sie noch keine Datenquelle konfiguriert haben, müssen Sie dies jetzt tun. Informationen zur Auswahl und Konfiguration einer Datenquelle in finden Sie in der Ping ProduktdokumentationPingFederate.

11. Bestätigen Sie auf der Seite Quelleinstellungen, dass alle Werte für Ihre Installation korrekt sind, und klicken Sie dann auf Weiter.

12. Geben Sie auf der Seite Quellspeicherort die für Ihre Datenquelle geeigneten Einstellungen ein und klicken Sie dann auf Weiter. Wenn Sie beispielsweise Active Directory als LDAP-Verzeichnis verwenden:

    1. Geben Sie den Basis-DN Ihrer AD-Gesamtstruktur ein (z. B. DC=myforest,DC=mydomain,DC=com).

    2. Geben Sie unter Benutzer > Gruppen-DN eine einzelne Gruppe an, die alle Benutzer enthält, die Sie für IAM Identity Center bereitstellen möchten. Wenn keine solche einzelne Gruppe vorhanden ist, erstellen Sie diese Gruppe in AD, kehren Sie zu dieser Einstellung zurück und geben Sie dann den entsprechenden DN ein.

    3. Geben Sie an, ob Untergruppen (verschachtelte Suche ) und ein erforderlicher LDAP-Filter durchsucht werden sollen.

    4. Geben Sie unter Gruppen > Gruppen-DN eine einzelne Gruppe an, die alle Gruppen enthält, die Sie für IAM Identity Center bereitstellen möchten. In vielen Fällen kann es sich um denselben DN handeln, den Sie im Abschnitt Benutzer angegeben haben. Geben Sie bei Bedarf verschachtelte Such- und Filter werteein.

13. Stellen Sie auf der Seite Attributzuordnung Folgendes sicher und klicken Sie dann auf Weiter:

    1. Das Feld userName muss einem Attribut zugeordnet werden, das als E-Mail (user@domain.com) formatiert ist. Er muss auch mit dem Wert übereinstimmen, den der Benutzer für die Anmeldung bei Ping verwendet. Dieser Wert wird während der Verbundauthentifizierung wiederum im SAML-nameIdAnspruch ausgefüllt und für den Abgleich mit dem Benutzer im IAM Identity Center verwendet. Wenn Sie beispielsweise Active Directory verwenden, können Sie die UserPrincipalName als userName angeben.

    2. Andere Felder mit dem Suffix * müssen Attributen zugeordnet werden, die für Ihre Benutzer ungleich Null sind.

14. Legen Sie auf der Seite Aktivierung und Zusammenfassung den Kanalstatus auf Aktiv fest, damit die Synchronisation sofort nach dem Speichern der Konfiguration gestartet wird.

15. Vergewissern Sie sich, dass alle Konfigurationswerte auf der Seite korrekt sind, und klicken Sie auf Fertig.

16. Klicken Sie auf der Seite Kanäle verwalten auf Speichern.

17. Zu diesem Zeitpunkt beginnt die Bereitstellung. Um die Aktivität zu bestätigen, können Sie die Datei provisioner.log anzeigen, die sich standardmäßig im pingfederate-<version>/pingfederate/log Verzeichnis auf Ihrem PingFederate Server befindet.

18. Um zu überprüfen, ob Benutzer und Gruppen erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM-Identity-Center-Konsole zurück und wählen Sie Benutzer aus. Synchronisierte Benutzer von PingFederate werden auf der Seite Benutzer angezeigt. Sie können synchronisierte Gruppen auch auf der Seite Gruppen anzeigen.

(Optional) Schritt 3: Konfigurieren von Benutzerattributen in PingFederate für die Zugriffskontrolle in IAM Identity Center

Dies ist ein optionales Verfahren für , PingFederate wenn Sie Attribute konfigurieren möchten, die Sie in IAM Identity Center verwenden, um den Zugriff auf Ihre -AWSRessourcen zu verwalten. Die Attribute, die Sie in definieren, PingFederate werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie einen Berechtigungssatz in IAM Identity Center, um den Zugriff basierend auf den Attributen zu verwalten, die Sie von übergeben habenPingFederate.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

So konfigurieren Sie Benutzerattribute in PingFederate für die Zugriffskontrolle in IAM Identity Center

1. Melden Sie sich bei der PingFederate Administratorkonsole an.

2. Wählen Sie oben auf der Seite Anwendungen und dann SP Connections aus.

3. Suchen Sie die Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen, und klicken Sie auf den Verbindungsnamen.

4. Wählen Sie in den blauen Navigationsüberschriften oben auf der Seite Browser SSO aus. Klicken Sie dann auf Browser SSO konfigurieren.

5. Wählen Sie auf der Seite Browser-SSO konfigurieren die Option Assertion Creation aus und klicken Sie dann auf Configure Assertion Creation .

6. Wählen Sie auf der Seite Assertionerstellung konfigurieren die Option Attributattribut aus.

7. Fügen Sie auf der Seite Attributvertrag im Abschnitt Verlängern des Rabatts ein neues Attribut hinzu, indem Sie die folgenden Schritte ausführen:

   1. Geben Sie in das Textfeld ein und ersetzen Sie AttributeName durch den Namen des Attributshttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, das Sie in IAM Identity Center erwarten. Beispiel: https://aws.amazon.com/SAML/Attributes/AccessControl:Department

   2. Wählen Sie für Attributnamenformat ausurn:oasis:names:tc:SAML:2.0:attrname-format:uri.

   3. Wählen Sie Hinzufügen und dann Weiter aus.

8. Wählen Sie auf der Seite Zuordnung von Authentifizierungsquellen die Adapter-Instance aus, die mit Ihrer Anwendung konfiguriert ist.

9. Wählen Sie auf der Seite Erfüllung des Attributvertrags die Optionen Quelle (Datenspeicher ) und Wert (Datenspeicherattribut ) für das Attributattribut aushttps://aws.amazon.com/SAML/Attributes/AccessControl:Department.

   Anmerkung

   Wenn Sie noch keine Datenquelle konfiguriert haben, müssen Sie dies jetzt tun. Informationen zur Auswahl und Konfiguration einer Datenquelle in finden Sie in der Ping ProduktdokumentationPingFederate.

10. Klicken Sie wiederholt auf Weiter, bis Sie auf der Seite Aktivierung und Zusammenfassung ankommen, und klicken Sie dann auf Speichern.

(Optional) Übergeben von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein -AttributeElement mit dem -NameAttribut auf festzulegenhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie unter Übergeben von Sitzungs-Tags in AWS STS im IAM-Benutzerhandbuch.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Um beispielsweise das Tag-Schlüssel-Wert-Paar zu übergebenCostCenter = blue, verwenden Sie das folgende Attribut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates -AttributeElement hinzu.