PingOne

IAMIdentity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus PingOne Produkt von Ping Identity (im Folgenden“Ping“) in IAM Identity Center. Bei dieser Bereitstellung wird das v2.0-Protokoll System for Cross-Domain Identity Management (SCIM) verwendet. Sie konfigurieren diese Verbindung in PingOne mit Ihrem IAM Identity SCIM Center-Endpunkt und Ihrem Zugriffstoken. Wenn Sie die SCIM Synchronisation konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in PingOne zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein PingOne.

Dieser Leitfaden basiert auf PingOne Stand Oktober 2020. Die Schritte für neuere Versionen können variieren. Kontakt Ping für weitere Informationen zur Konfiguration der Bereitstellung in IAM Identity Center für andere Versionen von PingOne. Dieses Handbuch enthält auch einige Hinweise zur Konfiguration der Benutzerauthentifizierung durchSAML.

In den folgenden Schritten erfahren Sie, wie Sie die automatische Bereitstellung von Benutzern von aktivieren PingOne mithilfe des SCIM Protokolls zu IAM Identity Center.

Anmerkung

Bevor Sie mit der Bereitstellung beginnenSCIM, empfehlen wir Ihnen, zunächst die zu lesenÜberlegungen zur Verwendung der automatischen Bereitstellung. Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.

Voraussetzungen

Sie benötigen Folgendes, bevor Sie beginnen können:

• A PingOne Abonnement oder kostenlose Testversion mit föderierten Authentifizierungs- und Bereitstellungsfunktionen. Weitere Informationen darüber, wie Sie eine kostenlose Testversion erhalten können, finden Sie auf Ping IdentityWebsite.

• Ein IAM Identity Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAMIdentity Center aktivieren.

• Das Tool PingOne IAMDie Identity Center-Anwendung wurde zu Ihrem hinzugefügt PingOne Admin-Portal. Sie können das erhalten PingOne IAMIdentity Center-Anwendung von PingOne Anwendungskatalog. Allgemeine Informationen finden Sie unter Hinzufügen einer Anwendung aus dem Anwendungskatalog auf der Ping Identity Website.

• Eine SAML Verbindung von Ihrem PingOne Instanz zu IAM Identity Center. Nach dem PingOne IAMDie Identity Center-Anwendung wurde zu Ihrem hinzugefügt PingOne Admin-Portal, Sie müssen es verwenden, um eine SAML Verbindung von Ihrem PingOne Instanz zu IAM Identity Center. Verwenden Sie die Funktionen „Herunterladen“ und „Importieren“ von Metadaten an beiden Enden, um SAML Metadaten auszutauschen PingOne und IAM Identity Center. Anweisungen zur Konfiguration dieser Verbindung finden Sie im PingOne -Dokumentation.

Weitere Überlegungen

Im Folgenden finden Sie wichtige Überlegungen zu PingOne das kann sich darauf auswirken, wie Sie die Bereitstellung mit IAM Identity Center implementieren.

• Stand Oktober 2020 PingOne unterstützt nicht die Bereitstellung von Gruppen überSCIM. Kontakt Ping die neuesten Informationen zur Gruppenunterstützung finden Sie in SCIM für PingOne.

• Benutzer können weiterhin Provisioning von erhalten PingOne nach der Deaktivierung der Bereitstellung in PingOne Admin-Portal. Wenn Sie die Bereitstellung sofort beenden müssen, löschen Sie das entsprechende SCIM Bearer-Token und/oder deaktivieren Sie es Bereitstellung eines externen Identitätsanbieters in IAM Identity Center mit SCIM in IAM Identity Center.

• Wenn ein Attribut für einen Benutzer aus dem in konfigurierten Datenspeicher entfernt wird PingOne, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung in PingOne’s Implementierung des Provisioners. Wenn ein Attribut geändert wird, wird die Änderung mit IAM Identity Center synchronisiert.

• Im Folgenden finden Sie wichtige Hinweise zu Ihrer SAML Konfiguration in PingOne:

  • IAMIdentity Center unterstützt nur emailaddress als NameId Format. Das bedeutet, dass Sie ein Benutzerattribut wählen müssen, das in Ihrem Verzeichnis einzigartig ist PingOne, ungleich Null und als E-Mail/ formatiert UPN (z. B. user@domain.com) für Ihre SAML Zuordnung _ in SUBJECT PingOne. E-Mail (Arbeit) ist ein sinnvoller Wert für Testkonfigurationen mit PingOne integriertes Verzeichnis.

  • Benutzer in PingOne Mit einer E-Mail-Adresse, die ein Pluszeichen enthält, kann es sein, dass sie sich nicht bei IAM Identity Center anmelden können. Es werden Fehler wie 'SAML_215' oder angezeigt'Invalid input'. Um dieses Problem zu beheben, können Sie in PingOne, wählen Sie die Option Erweitert für die SUBJECT Zuordnung SAML_ in Attributzuordnungen. Stellen Sie dann das Name-ID-Format ein, das an SP gesendet werden soll: zu urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressim Drop-down-Menü.

Schritt 1: Aktivieren Sie die Bereitstellung in IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

Um die automatische Bereitstellung in IAM Identity Center zu aktivieren

1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAMIdentity Center-Konsole.

2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung in IAM Identity Center aktiviert und die erforderlichen SCIM Endpunkt- und Zugriffstoken-Informationen werden angezeigt.

4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten jeden der Werte für die folgenden Optionen. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

   1. SCIMEndpunkt — Zum Beispiel https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

   Warnung

   Dies ist das einzige Mal, dass Sie den SCIM Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie geben diese Werte ein, um die automatische Bereitstellung zu konfigurieren Okta später in diesem Tutorial.

5. Klicken Sie auf Close (Schließen).

Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mithilfe der PingOne IAMIdentity Center-Anwendung. Diese Schritte werden im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne

Verwenden Sie das folgende Verfahren in der PingOne IAMIdentity Center-Anwendung zur Aktivierung der Bereitstellung mit IAM Identity Center. Bei diesem Verfahren wird davon ausgegangen, dass Sie das bereits hinzugefügt haben PingOne IAMIdentity Center-Anwendung zu Ihrem PingOne Admin-Portal. Falls Sie dies noch nicht getan haben, finden Sie weitere Informationen zur Voraussetzungen Konfiguration der SCIM Bereitstellung unter und führen Sie anschließend dieses Verfahren aus.

So konfigurieren Sie die Bereitstellung in PingOne

1. Öffnen Sie PingOne IAMIdentity Center-Anwendung, die Sie im Rahmen der Konfiguration SAML für installiert haben PingOne (Anwendungen > Meine Anwendungen). Siehe Voraussetzungen.

2. Scrollen Sie zum Ende der Seite. Wählen Sie unter Benutzerbereitstellung den vollständigen Link aus, um zur Benutzerbereitstellungskonfiguration Ihrer Verbindung zu gelangen.

3. Wählen Sie auf der Seite mit den Anweisungen zur Bereitstellung die Option Weiter zum nächsten Schritt aus.

4. Im vorherigen Verfahren haben Sie den SCIMEndpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das SCIMURLFeld im PingOne IAMIdentity Center-Anwendung. Außerdem haben Sie im vorherigen Verfahren den Wert des Zugriffstokens in IAM Identity Center kopiert. Fügen Sie diesen Wert in das TOKEN Feld ACCESS_ im PingOne IAMIdentity Center-Anwendung.

5. Wählen Sie für REMOVE_ ACTION entweder Deaktiviert oder Gelöscht (weitere Informationen finden Sie im Beschreibungstext auf der Seite).

6. Wählen Sie auf der Seite „Attributzuordnung“ einen Wert aus, der für die SAML_ SUBJECT (NameId) -Assertion verwendet werden soll. Folgen Sie dabei den Anweisungen weiter Weitere Überlegungen oben auf dieser Seite. Wählen Sie dann Weiter zum nächsten Schritt.

7. Auf dem PingOne Nehmen Sie auf der Seite App-Anpassung — IAM Identity Center die gewünschten Anpassungsänderungen vor (optional) und klicken Sie auf Weiter zum nächsten Schritt.

8. Wählen Sie auf der Seite Gruppenzugriff die Gruppen aus, die die Benutzer enthalten, die Sie für die Bereitstellung und das Single Sign-On bei IAM Identity Center aktivieren möchten. Wählen Sie Weiter zum nächsten Schritt.

9. Scrollen Sie zum Ende der Seite und wählen Sie Fertig stellen, um mit der Bereitstellung zu beginnen.

10. Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Synchronisierte Benutzer von PingOne wird auf der Benutzerseite angezeigt. Diese Benutzer können jetzt Konten und Anwendungen in IAM Identity Center zugewiesen werden.

    Denken Sie daran PingOne unterstützt nicht die Bereitstellung von Gruppen oder Gruppenmitgliedschaften über. SCIM Kontakt Ping für weitere Informationen.

(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingOne für die Zugriffskontrolle in IAM Identity Center

Dies ist ein optionales Verfahren für PingOne wenn Sie Attribute für IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren in PingOne wird in einer SAML Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der von Ihnen übergebenen Attribute zu verwalten PingOne.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

Um Benutzerattribute zu konfigurieren PingOne für die Zugriffskontrolle im IAM Identity Center

1. Öffnen Sie PingOne IAMIdentity Center-Anwendung, die Sie im Rahmen der Konfiguration SAML für installiert haben PingOne (Anwendungen > Meine Anwendungen).

2. Wählen Sie „Bearbeiten“ und dann „Weiter zum nächsten Schritt“, bis Sie zur Seite „Attributzuordnungen“ gelangen.

3. Wählen Sie auf der Seite „Attributzuordnungen“ die Option Neues Attribut hinzufügen aus, und gehen Sie dann wie folgt vor. Sie müssen diese Schritte für jedes Attribut ausführen, das Sie zur Verwendung in IAM Identity Center für die Zugriffskontrolle hinzufügen möchten.

   1. Geben Sie im Feld Anwendungsattribut einhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Ersetzen AttributeName mit dem Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

   2. Wählen Sie im Feld Identity Bridge-Attribut oder Literalwert Benutzerattribute aus PingOne Verzeichnis. Zum Beispiel E-Mail (Arbeit).

4. Wählen Sie einige Male Weiter und dann Fertig stellen.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt isthttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML Assertion übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAMBenutzerhandbuch unter Übergeben von Sitzungs-Tags.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.