PingFederate

IAMIdentity Center permite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos del PingFederate producto Ping Identity (en adelante, «Ping») a IAM Identity Center. Este aprovisionamiento utiliza el protocolo System for Cross-Domain Identity Management () SCIM v2.0. Esta conexión se configura PingFederate mediante el SCIM punto de conexión y el token de IAM acceso de Identity Center. Al configurar la SCIM sincronización, se crea un mapeo de los atributos de usuario PingFederate con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center yPingFederate.

Esta guía se basa en la versión 10.2 de PingFederate. Los pasos para las versiones más recientes pueden variar. Póngase en contacto con nosotros Ping para obtener más información sobre cómo configurar el aprovisionamiento en IAM Identity Center para otras versiones dePingFederate.

Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos desde PingFederate IAM Identity Center mediante el SCIM protocolo.

nota

Antes de comenzar la implementaciónSCIM, le recomendamos que revise primero laConsideraciones para utilizar el aprovisionamiento automático. A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.

Requisitos previos

Antes de comenzar, necesitará lo siguiente:

• Un servidor de PingFederate que funcione. Si no tiene una cuenta existente en el server de PingFederate, es posible que pueda obtener una cuenta de prueba gratuita o una cuenta de desarrollador en el sitio web de Ping Identity. La versión de prueba incluye licencias y descargas de software y la documentación asociada.

• Una copia del software PingFederate IAM Identity Center Connector instalado en su PingFederate servidor. Para obtener más información sobre cómo obtener este software, consulte IAMIdentity Center Connector en el ing Identity sitio web de P.

• Una cuenta habilitada para IAM Identity Center (gratuita). Para obtener más información, consulte Habilitar IAM Identity Center.

• Una SAML conexión desde la PingFederate instancia al IAM Identity Center. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingFederate. En resumen, la ruta recomendada es utilizar el IAM Identity Center Connector para configurar el SSO «Navegador» y utilizar las funciones de «descarga» e «importación» de metadatos en ambos extremos para intercambiar SAML metadatos entre PingFederate IAM Identity Center. PingFederate

Consideraciones adicionales

Las siguientes son consideraciones importantes PingFederate que pueden afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.

• Si se elimina un atributo (como un número de teléfono) de un usuario del almacén de datos configurado enPingFederate, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en la implementación del aprovisionador de PingFederate’s. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincronizará con IAM Identity Center.

Paso 1: Habilitar el aprovisionamiento en Identity Center IAM

En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.

Para habilitar el aprovisionamiento automático en Identity Center IAM

1. Una vez que haya completado los requisitos previos, abra la consola de IAMIdentity Center.

2. En el panel de navegación izquierdo, elija Configuración.

3. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el SCIM punto final y el token de acceso.

4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

   1. SCIMpunto final: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Token de acceso: seleccione Mostrar token para copiar el valor.

   aviso

   Este es el único momento en el que puede obtener el SCIM punto final y el token de acceso. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático Okta más adelante en este tutorial.

5. Elija Close.

Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes mediante la consola PingFederate administrativa. Los pasos se describen en el siguiente procedimiento.

Paso 2: configure el aprovisionamiento en PingFederate

Utilice el siguiente procedimiento en la consola PingFederate administrativa para habilitar la integración entre IAM Identity Center e IAM Identity Center Connector. En este procedimiento se presupone que ya ha instalado el software IAM Identity Center Connector. Si aún no lo ha hecho, consulte y complete este procedimiento para configurar el SCIM aprovisionamiento. Requisitos previos

importante

Si su PingFederate servidor no se ha configurado previamente para el SCIM aprovisionamiento saliente, es posible que deba realizar un cambio en el archivo de configuración para habilitar el aprovisionamiento. Para obtener más información, consulte la documentación de Ping. En resumen, debe modificar la configuración de pf.provisioner.mode del archivo pingfederate-<version>/pingfederate/bin/run.properties a un valor distinto a OFF (que es el predeterminado) y reiniciar el servidor si se está ejecutando actualmente. Por ejemplo, puede utilizar STANDALONE si actualmente no tiene una configuración de alta disponibilidad con PingFederate.

Cómo configurar el aprovisionamiento en PingFederate

1. Inicie sesión en la consola administrativa de PingFederate.

2. Seleccione Aplicaciones en la parte superior de la página y, a continuación, haga clic en SP Connections.

3. Localice la aplicación que creó anteriormente para SAML establecer su conexión con IAM Identity Center y haga clic en el nombre de la conexión.

4. Seleccione el tipo de conexión en los encabezados de navegación oscuros situados en la parte superior de la página. Debería ver que el navegador SSO ya estaba seleccionado en la configuración anterior deSAML. Si no es así, primero debe completar esos pasos antes de continuar.

5. Seleccione la casilla de verificación Aprovisionamiento saliente, elija IAMIdentity Center Cloud Connector como tipo y haga clic en Guardar. Si IAMIdentity Center Cloud Connector no aparece como opción, asegúrese de haber instalado el IAM Identity Center Connector y de haber reiniciado el servidor. PingFederate

6. Haga clic en Siguiente varias veces hasta llegar a la página Aprovisionamiento saliente y, a continuación, haga clic en el botón Configurar aprovisionamiento.

7. En el procedimiento anterior, copió el valor del SCIMpunto final en IAM Identity Center. Pegue ese valor en el SCIMURLcampo de la PingFederate consola. Además, en el procedimiento anterior, copió el valor del token de acceso en IAM Identity Center. Pegue ese valor en el campo Token de acceso en la consola de PingFederate. Haga clic en Guardar.

8. En la página Configuración del canal (Configurar canal), haga clic en Crear.

9. Introduzca un nombre del canal para este nuevo canal de aprovisionamiento (por ejemplo AWSIAMIdentityCenterchannel) y haga clic en Siguiente.

10. En la página de origen, elija el almacén de datos activo que desee usar para la conexión a IAM Identity Center y haga clic en Siguiente.

    nota

    Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.

11. En la página Configuración de origen, confirme que todos los valores son correctos para la instalación y, a continuación, haga clic en Siguiente.

12. En la página Ubicación de origen, introduzca la configuración adecuada para su origen de datos y, a continuación, haga clic en Siguiente. Por ejemplo, si utiliza Active Directory como LDAP directorio:

    1. Introduzca el DN base de su bosque de AD (por ejemplo, DC=myforest,DC=mydomain,DC=com).

    2. En Usuarios > DN de grupo, especifique un único grupo que contenga todos los usuarios que desee aprovisionar a IAM Identity Center. Si no existe ese grupo único, créelo en AD, vuelva a esta configuración y, a continuación, introduzca el DN correspondiente.

    3. Especifique si desea buscar subgrupos (búsqueda anidada) y cualquier filtro necesarioLDAP.

    4. En Grupos > Grupo DN, especifique un solo grupo que contenga todos los grupos que desee aprovisionar a IAM Identity Center. En muchos casos, puede ser el mismo DN que especificó en la sección Usuarios. Introduzca los valores búsqueda anidada y filtro según sea necesario.

13. En la página Asignación de atributos, asegúrese de lo siguiente y, a continuación, haga clic en Siguiente:

    1. El userNamecampo debe asignarse a un atributo con formato de correo electrónico (user@domain.com). También debe coincidir con el valor que el usuario utilizará para iniciar sesión en Ping. Este valor, a su vez, se rellena en la SAML nameId notificación durante la autenticación federada y se utiliza para hacer coincidir con el usuario en IAM Identity Center. Por ejemplo, cuando utilice Active Directory, puede optar por especificar el UserPrincipalName userNamecomo.

    2. Los demás campos con un sufijo * deben asignarse a atributos que no sean nulos para los usuarios.

14. En la página Activación y resumen, defina el estado del canal como Activo para que la sincronización comience inmediatamente después de guardar la configuración.

15. Confirme que todos los valores de configuración de la página son correctos y haga clic en Listo.

16. En la página Administrar canales, haga clic en Guardar.

17. En este punto, comienza el aprovisionamiento. Para confirmar la actividad, puede ver el archivo provisioner.log, que se encuentra de forma predeterminada en el directorio pingfederate-<version>/pingfederate/log de su servidor de PingFederate.

18. Para comprobar que los usuarios y los grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione Usuarios. Los usuarios sincronizados de PingFederate aparecerán en la página de Usuarios. También puede ver sus grupos sincronizados en la página Grupos.

(Opcional) Paso 3: Configure los atributos de usuario en PingFed Erate para el control de acceso en Identity Center IAM

Este es un procedimiento opcional PingFederate si decide configurar los atributos que utilizará en IAM Identity Center para administrar el acceso a sus AWS recursos. Los atributos que defina PingFederate se transfieren en una SAML aserción a IAM Identity Center. A continuación, creará un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos desde PingFederate los que se transfirió.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

Para configurar los atributos de usuario PingFederate para el control de acceso en IAM Identity Center

1. Inicie sesión en la consola administrativa de PingFederate.

2. Seleccione Aplicaciones en la parte superior de la página y, a continuación, haga clic en SP Connections.

3. Localice la aplicación que creó anteriormente para SAML establecer su conexión con IAM Identity Center y haga clic en el nombre de la conexión.

4. Elija Navegador SSO entre los encabezados de navegación oscuros situados en la parte superior de la página. A continuación, haga clic en Configurar navegador. SSO

5. En la SSO página de configuración del navegador, elija Creación de aserciones y, a continuación, haga clic en Configurar creación de aserciones.

6. En la página Configurar la creación de aserciones, elija Contrato de atributos.

7. En la página Contrato de atributos, en la sección Ampliar el contrato, añada un nuevo atributo siguiendo estos pasos:

   1. En el cuadro de textohttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, escriba y AttributeName sustitúyalo por el nombre del atributo que espera en IAM Identity Center. Por ejemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

   2. En Formato de nombre de atributo, elija urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

   3. Elija Añadir, y a continuación, elija Siguiente.

8. En la página de asignación de fuentes de autenticación, elija la instancia de adaptador configurada con su aplicación.

9. En la página Cumplimiento del contrato de atributo, elija el origen (almacén de datos) y el valor (atributo del almacén de datos) para el contrato de atributo https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

   nota

   Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.

10. Haga clic en Siguiente varias veces hasta llegar a la página de activación y resumen y, a continuación, haga clic en Guardar.

(Opcional) Paso de atributos para el control de acceso

Si lo desea, puede utilizar la Atributos para controlar el acceso función de IAM Identity Center para pasar un Attribute elemento con el Name atributo establecido enhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar los atributos como etiquetas de sesión en la SAML aserción. Para obtener más información sobre las etiquetas de sesión, consulte Pasar etiquetas de sesión AWS STS en la Guía del IAM usuario.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.