Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración del aprovisionamiento de SCIM entre OneLogin e IAM Identity Center
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde OneLogin a IAM Identity Center mediante el protocolo System for Cross-Domain Identity Management (SCIM) v2.0. Esta conexión se configura en el OneLogin, mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center. Al configurar la sincronización de SCIM, crea un mapeo de los atributos de usuario en OneLogin con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y OneLogin.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos desde OneLogin a IAM Identity Center mediante el protocolo SCIM.
nota
Antes de comenzar a implementar SCIM, le recomendamos revisar primero las Consideraciones para utilizar el aprovisionamiento automático.
Temas
- Requisitos previos
- Paso 1: Habilite el aprovisionamiento en IAM Identity Center
- Paso 2: Configure el aprovisionamiento en OneLogin
- (Opcional) Paso 3: Configure los atributos de usuario en OneLogin para el control de acceso en IAM Identity Center
- (Opcional) Pasar atributos para el control de acceso
- Solución de problemas
Requisitos previos
Antes de comenzar, necesitará lo siguiente:
-
Una cuenta de OneLogin. Si no tienes una cuenta existente, es posible que puedas obtener una cuenta de prueba gratuita o una cuenta de desarrollador en el OneLoginsitio web
. -
Una cuenta habilitada para IAM Identity Center (gratuita
). Para más información, consulte Activar IAM Identity Center. -
Una conexión SAML desde su cuenta OneLogin al IAM Identity Center. Para obtener más información, consulte Habilitar el inicio de sesión único entre OneLogin y AWS
en el Partner Network Blog de AWS.
Paso 1: Habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
Habilitar el aprovisionamiento automático en IAM Identity Center
-
Una vez que haya completado los requisitos previos, abra la consola de IAM Identity Center
. -
En el panel de navegación izquierdo, elija Configuración.
-
En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
-
En el cuadro de diálogo de aprovisionamiento automático entrante, copie cada uno de los valores de las siguientes opciones. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
Punto de conexión de SCIM
Token de acceso
-
Elija Close.
Ha configurado el aprovisionamiento en la consola de IAM Identity Center. Ahora debe realizar las tareas restantes mediante la interfaz de usuario OneLogin, tal y como se describe en los siguientes procedimientos.
Paso 2: Configure el aprovisionamiento en OneLogin
Utilice el siguiente procedimiento en el portal de administración de OneLogin para habilitar la integración entre IAM Identity Center y la aplicación IAM Identity Center. Este procedimiento supone que ya ha configurado la aplicación Single Sign-On de AWS en OneLogin para la autenticación SAML. Si aún no ha creado esta conexión SAML, hágalo antes de continuar y, a continuación, vuelva aquí para completar el proceso de aprovisionamiento del SCIM. Para obtener más información para configurar SAML con OneLogin, consulte Habilitar el inicio de sesión único entre OneLogin y AWS
Para configurar el aprovisionamiento en OneLogin
-
Inicie sesión yOneLogin, a continuación, vaya a Aplicaciones > Aplicaciones.
-
En la página Aplicaciones, busque la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center. Elija Configuración en la barra de navegación izquierda.
-
En el procedimiento anterior, copió el valor del punto de conexión de SCIM en IAM Identity Center. Pegue ese valor en el campo URL base de SCIM en OneLogin. Asegúrese de eliminar la barra diagonal que aparece al final de la URL. En el procedimiento anterior, copió el valor del token de acceso en IAM Identity Center. Pegue ese valor en el campo Tokens portadores de SCIM en OneLogin.
-
Junto a Conexión API, haga clic en Habilitar y, a continuación, en Guardar para completar la configuración.
-
En la barra de navegación de la izquierda, elija Proveedores de identidades.
-
Seleccione las casillas de verificación Habilitar el aprovisionamiento, Crear usuario, Eliminar usuario y Actualizar usuario y, a continuación, seleccione Guardar.
-
En la barra de navegación, seleccione Usuarios.
-
Haz clic en Más acciones y selecciona Sincronizar inicios de sesión. Deberías recibir el mensaje Sincronizar usuarios con Single Sign-On de AWS.
-
Vuelva a hacer clic en Más acciones y, a continuación, seleccione Volver a aplicar las asignaciones de derechos. Debería recibir el mensaje Se están reaplicando las asignaciones.
-
En este punto, debería comenzar el proceso de aprovisionamiento. Para confirmarlo, vaya a Actividad > Eventos y supervise el progreso. Los eventos de aprovisionamiento correctos, así como los errores, deberían aparecer en la secuencia de eventos.
-
Para comprobar que todos sus usuarios y grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione Usuarios. Los usuarios sincronizados de OneLogin aparecerán en la página de Usuarios. También puedes ver tus grupos sincronizados en la página Grupos.
-
Para sincronizar automáticamente los cambios de los usuarios con IAM Identity Center, vaya a la página de Aprovisionamiento, busque la sección Requerir la aprobación del administrador antes de realizar esta acción, anule la selección de Crear usuario, Eliminar usuario o Actualizar usuario y haga clic en Guardar.
(Opcional) Paso 3: Configure los atributos de usuario en OneLogin para el control de acceso en IAM Identity Center
Este es un procedimiento opcional para OneLogin, en caso de que quiera configurar atributos para que IAM Identity Center administre el acceso a sus recursos de AWS. Los atributos que defina en OneLogin se transfieren en una aserción de SAML a IAM Identity Center. A continuación, deberá crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde OneLogin.
Antes de comenzar con este procedimiento, primero debes habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.
Para configurar atributos de usuario utilizados en OneLogin para el control de acceso en IAM Identity Center
-
Inicie sesión yOneLogin, a continuación, vaya a Aplicaciones > Aplicaciones.
-
En la página Aplicaciones, busque la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center. En la barra de navegación izquierda, seleccione y, a continuación, .
-
En la sección Parámetros obligatorios, haga lo siguiente para cada atributo que desee utilizar en IAM Identity Center:
-
Elija +.
-
En Nombre del campo, introduzca
https://aws.amazon.com/SAML/Attributes/AccessControl:y sustituyaAttributeNameAttributeNamepor el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo,https://aws.amazon.com/SAML/Attributes/AccessControl:Department. -
En Banderas, marque la casilla situada junto a Incluir en la afirmación de SAML y seleccione Guardar.
-
En el campo Valor, usa la lista desplegable para elegir los atributos del usuario de OneLogin. Por ejemplo, Departamento.
-
-
Seleccione Guardar.
(Opcional) Pasar atributos para el control de acceso
Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un elemento de Attributecon el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.{TagKey}
Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, para pasar los pares clave-valor de etiquetas de CostCenter = blue, utilice el siguiente atributo.
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Si necesita añadir varios atributos, incluya un elemento de Attribute independiente para cada etiqueta.
Solución de problemas
La siguiente información puede ayudarle a solucionar algunos problemas comunes que puede encontrarse a la hora de configurar o utilizar la consola de OneLogin.
Los grupos no se aprovisionan en IAM Identity Center
De forma predeterminada, los grupos no se pueden aprovisionar desde OneLogin a IAM Identity Center. Asegúrese de haber activado el aprovisionamiento de grupos para su aplicación de IAM Identity Center en OneLogin. Para ello, inicie sesión en la consola de administración de OneLogin y compruebe que la opción Incluir en el aprovisionamiento de usuarios esté seleccionada en las propiedades de la aplicación IAM Identity Center (Aplicación IAM Identity Center > Parámetros > Grupos). Para obtener más información sobre cómo crear grupos en OneLogin, incluida la forma de sincronizar los roles de OneLogin como grupos en SCIM, consulte el sitio web de OneLogin
No se sincroniza nada desde OneLogin a IAM Identity Center, a pesar de que todos los ajustes son correctos
Además de la nota anterior sobre la aprobación del administrador, tendrá que volver a aplicar las asignaciones de derechos para que se apliquen muchos cambios de configuración. Esto se encuentra en Aplicaciones > Aplicaciones > Aplicación IAM Identity Center > Más acciones. Puede ver los detalles y los registros de la mayoría de las acciones en OneLogin, incluidos los eventos de sincronización, en Actividad > Eventos.
He eliminado o desactivado un grupo en OneLogin, pero sigue apareciendo en IAM Identity Center
Actualmente, OneLogin no admite la operación SCIM DELETE para grupos, lo que significa que el grupo sigue existiendo en IAM Identity Center. Por lo tanto, deberá eliminar el grupo directamente de IAM Identity Center para asegurarse de que se eliminen todos los permisos correspondientes en IAM Identity Center para ese grupo.
He eliminado un grupo de IAM Identity Center sin eliminarlo primero de OneLogin y ahora tengo problemas de sincronización entre usuarios y grupos
Para solucionar esta situación, primero asegúrese de no tener ninguna regla o configuración de aprovisionamiento de grupos redundante en OneLogin. Por ejemplo, un grupo asignado directamente a una aplicación junto con una regla que se publica en el mismo grupo. A continuación, elimine los grupos no deseados de IAM Identity Center. Por último, en OneLogin, actualice los derechos (aplicación IAM Identity Center > Aprovisionamiento > Derechos) y, a continuación, vuelva a aplicar las asignaciones de derechos (aplicación IAM Identity Center >Más acciones). Para evitar este problema en el futuro, primero realice el cambio para dejar de aprovisionar el grupo en OneLogin y, a continuación, elimine el grupo de IAM Identity Center.
