Configuration du SCIM provisionnement entre OneLogin et IAM Identity Center

IAMIdentity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis OneLogin IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) v2.0. Vous configurez cette connexion en OneLogin utilisant votre SCIM point de terminaison pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez SCIM la synchronisation, vous créez un mappage de vos attributs utilisateur avec OneLogin les attributs nommés dans IAM Identity Center. Cela fait correspondre les attributs attendus entre IAM Identity Center etOneLogin.

Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs et des groupes depuis IAM Identity Center OneLogin à l'aide du SCIM protocole.

Note

Avant de commencer le déploiementSCIM, nous vous recommandons de consulter d'abord leConsidérations relatives à l'utilisation du provisionnement automatique.

Prérequis

Vous aurez besoin des éléments suivants avant de pouvoir commencer :

• Un OneLogin compte. Si vous n'avez pas de compte existant, vous pourrez peut-être obtenir un essai gratuit ou un compte développeur sur le OneLoginsite Web.

• Un compte compatible avec IAM Identity Center (gratuit). Pour plus d'informations, consultez la section Activer IAM Identity Center.

• Une SAML connexion entre votre OneLogin compte et IAM Identity Center. Pour plus d'informations, consultez la section Activation de l'authentification unique entre OneLogin et AWS sur le blog du réseau de AWS partenaires.

Étape 1 : activer le provisionnement dans IAM Identity Center

Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.

Pour activer le provisionnement automatique dans IAM Identity Center

1. Après avoir rempli les conditions requises, ouvrez la console IAM Identity Center.

2. Choisissez Paramètres dans le volet de navigation de gauche.

3. Sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de SCIM terminaison et le jeton d'accès.

4. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.

   1. SCIMpoint de terminaison : par exemple, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

   Avertissement

   C'est le seul moment où vous pouvez obtenir le SCIM point de terminaison et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique Okta plus loin dans ce didacticiel.

5. Choisissez Close (Fermer).

Vous avez maintenant configuré le provisionnement dans la console IAM Identity Center. Vous devez maintenant effectuer les tâches restantes à l'aide de la console OneLogin d'administration, comme décrit dans la procédure suivante.

Étape 2 : configurer le provisionnement dans OneLogin

Utilisez la procédure suivante dans la console OneLogin d'administration pour activer l'intégration entre IAM Identity Center et l'application IAM Identity Center. Cette procédure suppose que vous avez déjà configuré l' AWS application Single Sign-On OneLogin pour l'SAMLauthentification. Si vous n'avez pas encore créé cette SAML connexion, veuillez le faire avant de continuer, puis revenez ici pour terminer le processus de SCIM mise en service. Pour plus d'informations sur la configuration SAML avecOneLogin, consultez la section Activation de l'authentification unique entre OneLogin et AWS sur le blog du réseau de AWS partenaires.

Pour configurer le provisionnement dans OneLogin

1. Connectez-vous àOneLogin, puis accédez à Applications > Applications.

2. Sur la page Applications, recherchez l'application que vous avez créée précédemment pour établir votre SAML connexion avec IAM Identity Center. Sélectionnez-le, puis sélectionnez Configuration dans la barre de navigation de gauche.

3. Dans la procédure précédente, vous avez copié la valeur du SCIMpoint de terminaison dans IAM Identity Center. Collez cette valeur dans le URL champ SCIMBaseOneLogin. Dans la procédure précédente, vous avez également copié la valeur du jeton d'accès dans IAM Identity Center. Collez cette valeur dans le champ SCIMBearer TokenOneLogin.

4. À côté de APIConnexion, cliquez sur Activer, puis sur Enregistrer pour terminer la configuration.

5. Dans la barre de navigation de gauche, choisissez Provisioning.

6. Cochez les cases Activer le provisionnement, Créer un utilisateur, Supprimer un utilisateur et Mettre à jour un utilisateur, puis choisissez Enregistrer.

7. Dans la barre de navigation de gauche, sélectionnez Utilisateurs.

8. Cliquez sur Autres actions et choisissez Synchroniser les connexions. Vous devriez recevoir le message Synchronisation des utilisateurs avec l'authentification AWS unique.

9. Cliquez à nouveau sur Autres actions, puis choisissez Réappliquer les mappages d'autorisations. Vous devriez recevoir le message Les mappages sont réappliqués.

10. À ce stade, le processus de provisionnement doit commencer. Pour le confirmer, accédez à Activité > Événements et surveillez la progression. Les événements de provisionnement réussis, ainsi que les erreurs, doivent apparaître dans le flux d'événements.

11. Pour vérifier que vos utilisateurs et groupes ont tous été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs. Vos utilisateurs synchronisés OneLogin apparaissent sur la page Utilisateurs. Vous pouvez également consulter vos groupes synchronisés sur la page Groupes.

12. Pour synchroniser automatiquement les modifications des utilisateurs avec IAM Identity Center, accédez à la page Provisioning, recherchez la section Exiger l'approbation de l'administrateur avant que cette action ne soit effectuée, désélectionnez Créer un utilisateur, Supprimer un utilisateur et/ou Mettre à jour un utilisateur, puis cliquez sur Enregistrer.

(Facultatif) Étape 3 : configurer les attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center

Il s'agit d'une procédure facultative OneLogin si vous choisissez de configurer des attributs que vous utiliserez dans IAM Identity Center pour gérer l'accès à vos AWS ressources. Les attributs que vous définissez OneLogin sont transmis dans une SAML assertion à IAM Identity Center. Vous allez ensuite créer un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisOneLogin.

Avant de commencer cette procédure, vous devez d'abord activer la Attributs pour le contrôle d’accès fonctionnalité. Pour plus d'informations sur cette étape, consultez Activer et configurer les attributs pour le contrôle d'accès.

Pour configurer les attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center

1. Connectez-vous àOneLogin, puis accédez à Applications > Applications.

2. Sur la page Applications, recherchez l'application que vous avez créée précédemment pour établir votre SAML connexion avec IAM Identity Center. Sélectionnez-le, puis sélectionnez Paramètres dans la barre de navigation de gauche.

3. Dans la section Paramètres obligatoires, procédez comme suit pour chaque attribut que vous souhaitez utiliser dans IAM Identity Center :

   1. Choisissez +.

   2. Dans Nom du champhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, entrez et remplacez AttributeName par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

   3. Sous Drapeaux, cochez la case à côté de Inclure dans SAML l'assertion, puis choisissez Enregistrer.

   4. Dans le champ Valeur, utilisez la liste déroulante pour choisir les attributs OneLogin utilisateur. Par exemple, Department.

4. Choisissez Save (Enregistrer).

(Facultatif) Transmission d'attributs pour le contrôle d'accès

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAMIdentity Center pour transmettre un Attribute élément dont l'Nameattribut est défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Cet élément vous permet de transmettre des attributs sous forme de balises de session dans l'SAMLassertion. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de IAM l'utilisateur.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.

Résolution des problèmes

Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pourriez rencontrer lors de la configuration du provisionnement automatique avec. OneLogin

Les groupes ne sont pas fournis à IAM Identity Center

Par défaut, les groupes ne peuvent pas être approvisionnés depuis OneLogin IAM Identity Center. Assurez-vous d'avoir activé le provisionnement de groupe pour votre application IAM Identity Center dansOneLogin. Pour ce faire, connectez-vous à la console OneLogin d'administration et assurez-vous que l'option Inclure dans le provisionnement utilisateur est sélectionnée dans les propriétés de l'application IAM Identity Center (application IAMIdentity Center > Paramètres > Groupes). Pour plus de détails sur la création de groupes dansOneLogin, notamment sur la synchronisation OneLogin des rôles en tant que groupesSCIM, consultez le OneLoginsite Web.

Rien n'est synchronisé depuis OneLogin IAM Identity Center, même si tous les paramètres sont corrects

Outre la remarque ci-dessus concernant l'approbation de l'administrateur, vous devrez réappliquer les mappages de droits pour que de nombreuses modifications de configuration prennent effet. Vous pouvez le trouver dans Applications > Applications > Application IAM Identity Center > Autres actions. Vous pouvez consulter les détails et les journaux de la plupart des actionsOneLogin, y compris les événements de synchronisation, sous Activité > Événements.

J'ai supprimé ou désactivé un groupe dansOneLogin, mais il apparaît toujours dans IAM Identity Center

OneLoginne prend actuellement pas en charge l'SCIMDELETEopération pour les groupes, ce qui signifie que le groupe continue d'exister dans IAM Identity Center. Vous devez donc supprimer le groupe directement d'IAMIdentity Center pour vous assurer que toutes les autorisations correspondantes dans IAM Identity Center pour ce groupe sont supprimées.

J'ai supprimé un groupe dans IAM Identity Center sans le supprimer au préalable OneLogin et je rencontre maintenant des problèmes de synchronisation utilisateur/groupe

Pour remédier à cette situation, assurez-vous d'abord que vous ne disposez pas de règles ou de configurations de provisionnement de groupe redondantes. OneLogin Par exemple, un groupe directement affecté à une application ainsi qu'une règle qui publie pour le même groupe. Supprimez ensuite tous les groupes indésirables dans IAM Identity Center. EnfinOneLogin, actualisez les droits (application IAM Identity Center > Provisioning > Droits), puis réappliquez les mappages de droits (IAMApplication Identity Center > Autres actions). Pour éviter ce problème à l'avenir, effectuez d'abord la modification pour arrêter le provisionnement du groupeOneLogin, puis supprimez le groupe d'IAMIdentity Center.