Voraussetzungen Überlegungen Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingOne für die Zugriffskontrolle im IAM Identity Center (Optional) Übergabe von Attributen für die Zugriffskontrolle Fehlerbehebung

PingOne

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus PingOne Produkt von Ping Identity (im Folgenden“Ping“) in das IAM Identity Center. Bei dieser Bereitstellung wird das SCIM-Protokoll (System for Cross-Domain Identity Management) v2.0 verwendet. Sie konfigurieren diese Verbindung in PingOne mit Ihrem IAM Identity Center SCIM-Endpunkt und Zugriffstoken. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in PingOne zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und PingOne.

In den folgenden Schritten erfahren Sie, wie Sie die automatische Bereitstellung von Benutzern von aktivieren PingOne über das SCIM-Protokoll zu IAM Identity Center.

Anmerkung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. Überlegungen zur Verwendung der automatischen Bereitstellung Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.

Themen

Voraussetzungen
Überlegungen
Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne
(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingOne für die Zugriffskontrolle im IAM Identity Center
(Optional) Übergabe von Attributen für die Zugriffskontrolle
Fehlerbehebung

Voraussetzungen

Bevor Sie beginnen können, benötigen Sie Folgendes:

A PingOne Abonnement oder kostenlose Testversion mit föderierten Authentifizierungs- und Bereitstellungsfunktionen. Weitere Informationen darüber, wie Sie eine kostenlose Testversion erhalten können, finden Sie auf Ping IdentityWebsite.
Ein IAM Identity Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAM Identity Center aktivieren.
Das Tool PingOne Die IAM Identity Center-Anwendung wurde zu Ihrem hinzugefügt PingOne Admin-Portal. Sie können das erhalten PingOne Die IAM Identity Center-Anwendung finden Sie unter PingOne Anwendungskatalog. Allgemeine Informationen finden Sie unter Hinzufügen einer Anwendung aus dem Anwendungskatalog auf der Ping Identity Website.
Eine SAML-Verbindung von Ihrem PingOne Instanz zum IAM Identity Center. Nach dem PingOne Die IAM Identity Center-Anwendung wurde zu Ihrer hinzugefügt PingOne Admin-Portal, Sie müssen es verwenden, um eine SAML-Verbindung von Ihrem PingOne Instanz zum IAM Identity Center. Verwenden Sie die Funktionen „Metadaten herunterladen“ und „Importieren“ an beiden Enden, um SAML-Metadaten zwischen PingOne und IAM Identity Center. Anweisungen zur Konfiguration dieser Verbindung finden Sie im PingOne -Dokumentation.

Überlegungen

Im Folgenden finden Sie wichtige Überlegungen zu PingOne das kann sich darauf auswirken, wie Sie die Bereitstellung mit IAM Identity Center implementieren.

PingOne unterstützt die Bereitstellung von Gruppen über SCIM nicht. Kontakt Ping für die neuesten Informationen zur Gruppenunterstützung in SCIM für PingOne.
Benutzer können weiterhin Provisioning von erhalten PingOne nach der Deaktivierung der Bereitstellung in PingOne Admin-Portal. Wenn Sie die Bereitstellung sofort beenden müssen, löschen Sie das entsprechende SCIM-Bearer-Token und/oder deaktivieren Sie es Bereitstellen von Benutzern und Gruppen eines externen Identitätsanbieters in IAM Identity Center mithilfe von SCIM im IAM Identity Center.
Wenn ein Attribut für einen Benutzer aus dem in konfigurierten Datenspeicher entfernt wird PingOne, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung in PingOne’s Implementierung des Provisioners. Wenn ein Attribut geändert wird, wird die Änderung mit dem IAM Identity Center synchronisiert.
Im Folgenden finden Sie wichtige Hinweise zu Ihrer SAML-Konfiguration in PingOne:
- IAM Identity Center unterstützt nur emailaddress als NameId Format. Das bedeutet, dass Sie ein Benutzerattribut auswählen müssen, das in Ihrem Verzeichnis einzigartig ist PingOne, ungleich Null und als E-Mail/UPN formatiert (z. B. user@domain.com) für Ihre SAML_SUBJECT-Zuordnung in PingOne. E-Mail (Arbeit) ist ein sinnvoller Wert für Testkonfigurationen mit PingOne integriertes Verzeichnis.
- Benutzer in PingOne Mit einer E-Mail-Adresse, die ein Pluszeichen enthält, kann es sein, dass sie sich nicht bei IAM Identity Center anmelden können. Es werden Fehler wie 'SAML_215' oder 'Invalid input' angezeigt. Um dieses Problem zu beheben, können Sie in PingOne, wählen Sie unter Attributzuordnungen die Option Erweitert für die SAML_SUBJECT-Zuordnung aus. Stellen Sie dann das Name-ID-Format für das Senden an SP ein: auf urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressim Drop-down-Menü.

Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

Um die automatische Bereitstellung in IAM Identity Center zu aktivieren

Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM Identity Center-Konsole.
Wählen Sie im linken Navigationsbereich Einstellungen aus.
Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555
2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.
Warnung
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
Klicken Sie auf Close (Schließen).

Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mithilfe der PingOne IAM Identity Center-Anwendung. Diese Schritte werden im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne

Verwenden Sie das folgende Verfahren in der PingOne IAM Identity Center-Anwendung, um die Bereitstellung mit IAM Identity Center zu ermöglichen. Bei diesem Verfahren wird davon ausgegangen, dass Sie das bereits hinzugefügt haben PingOne IAM Identity Center-Anwendung zu Ihrer PingOne Admin-Portal. Falls Sie dies noch nicht getan haben, finden Sie weitere Informationen zur Voraussetzungen Konfiguration der SCIM-Bereitstellung unter und führen Sie es anschließend aus.

So konfigurieren Sie die Bereitstellung in PingOne

Öffnen Sie PingOne IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben PingOne (Anwendungen > Meine Anwendungen). Siehe Voraussetzungen.
Scrollen Sie zum Ende der Seite. Wählen Sie unter Benutzerbereitstellung den vollständigen Link aus, um zur Benutzerbereitstellungskonfiguration Ihrer Verbindung zu gelangen.
Wählen Sie auf der Seite mit den Anweisungen zur Bereitstellung die Option Weiter zum nächsten Schritt aus.
Im vorherigen Verfahren haben Sie den SCIM-Endpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das SCIM-URL-Feld im PingOne IAM Identity Center-Anwendung. Außerdem haben Sie im vorherigen Verfahren den Wert des Zugriffstokens in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld ACCESS_TOKEN im PingOne IAM Identity Center-Anwendung.
Wählen Sie für REMOVE_ACTION entweder Deaktiviert oder Gelöscht aus (weitere Informationen finden Sie im Beschreibungstext auf der Seite).
Wählen Sie auf der Seite „Attributzuordnung“ einen Wert aus, der für die SAML_SUBJECT (NameId) -Assertion verwendet werden soll. Folgen Sie dabei den Anweisungen weiter oben auf dieser Seite. Überlegungen Wählen Sie dann Weiter zum nächsten Schritt.
Auf dem PingOne Nehmen Sie auf der Seite App-Anpassung — IAM Identity Center die gewünschten Anpassungsänderungen vor (optional) und klicken Sie auf Weiter zum nächsten Schritt.
Wählen Sie auf der Seite Gruppenzugriff die Gruppen aus, die die Benutzer enthalten, die Sie für die Bereitstellung und das Single Sign-On bei IAM Identity Center aktivieren möchten. Wählen Sie Weiter zum nächsten Schritt.
Scrollen Sie zum Ende der Seite und wählen Sie Fertig stellen, um mit der Bereitstellung zu beginnen.
Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Synchronisierte Benutzer von PingOne wird auf der Benutzerseite angezeigt. Diese Benutzer können jetzt Konten und Anwendungen in IAM Identity Center zugewiesen werden.

Denken Sie daran PingOne unterstützt nicht die Bereitstellung von Gruppen oder Gruppenmitgliedschaften über SCIM. Kontakt Ping für weitere Informationen.

(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingOne für die Zugriffskontrolle im IAM Identity Center

Dies ist ein optionales Verfahren für PingOne wenn Sie Attribute für IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren in PingOne wird in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, von denen Sie übergeben haben PingOne.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

Um Benutzerattribute zu konfigurieren PingOne für die Zugriffskontrolle im IAM Identity Center

Öffnen Sie PingOne IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben PingOne (Anwendungen > Meine Anwendungen).
Wählen Sie „Bearbeiten“ und dann „Weiter zum nächsten Schritt“, bis Sie zur Seite „Attributzuordnungen“ gelangen.
Wählen Sie auf der Seite „Attributzuordnungen“ die Option Neues Attribut hinzufügen aus, und gehen Sie dann wie folgt vor. Sie müssen diese Schritte für jedes Attribut ausführen, das Sie zur Verwendung in IAM Identity Center für die Zugriffskontrolle hinzufügen möchten.
1. Geben https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName Sie im Feld Anwendungsattribut den Wert ein. AttributeNameErsetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.
2. Wählen Sie im Feld Identity Bridge-Attribut oder Literalwert Benutzerattribute aus PingOne Verzeichnis. Zum Beispiel E-Mail (Arbeit).
Wählen Sie einige Male Weiter und dann Fertig stellen.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.


<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Fehlerbehebung

Für allgemeine SCIM- und SAML-Problembehebungen mit PingOne, finden Sie in den folgenden Abschnitten:

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.
AWS -Support- Holen Sie sich technischen Support

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

PingFederate

Identity-Center-Verzeichnis