PingFederate - AWS IAM Identity Center
PrasyaratPertimbangan tambahanLangkah 1: Aktifkan penyediaan di IAM Identity CenterLangkah 2: Konfigurasikan penyediaan di PingFederate(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingFed erate untuk kontrol akses di IAM Identity Center(Opsional) Melewati atribut untuk kontrol akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

PingFederate

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari PingFederate produk dengan Ping Identity (selanjutnya “Ping”) ke Pusat Identitas IAM. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Anda mengonfigurasi koneksi ini PingFederate menggunakan titik akhir dan token akses IAM Identity Center SCIM Anda. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna PingFederate ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danPingFederate.

Panduan ini didasarkan pada PingFederate versi 10.2. Langkah-langkah untuk versi lain dapat bervariasi. Hubungi Ping untuk informasi selengkapnya tentang cara mengonfigurasi penyediaan ke IAM Identity Center untuk versi lain. PingFederate

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup dari PingFederate Pusat Identitas IAM menggunakan protokol SCIM.

catatan

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.

Prasyarat

Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:

  • PingFederateServer yang berfungsi. Jika Anda tidak memiliki PingFederate server yang ada, Anda mungkin dapat memperoleh uji coba gratis atau akun pengembang dari situs web Ping Identity. Uji coba mencakup lisensi dan unduhan perangkat lunak dan dokumentasi terkait.

  • Salinan perangkat lunak PingFederate IAM Identity Center Connector yang diinstal pada PingFederate server Anda. Untuk informasi lebih lanjut tentang cara mendapatkan perangkat lunak ini, lihat Konektor Pusat Identitas IAM di ing Identity situs web P.

  • Akun berkemampuan Pusat Identitas IAM (gratis). Untuk informasi selengkapnya, lihat Mengaktifkan Pusat Identitas IAM.

  • Koneksi SAFL dari PingFederate instans Anda ke IAM Identity Center. Untuk petunjuk tentang cara mengkonfigurasi koneksi ini, lihat PingFederate dokumentasi. Singkatnya, jalur yang disarankan adalah menggunakan Konektor Pusat Identitas IAM untuk mengonfigurasi “Browser SSO”PingFederate, menggunakan fitur metadata “unduh” dan “impor” di kedua ujungnya untuk bertukar metadata SAFL antara dan IAM Identity Center. PingFederate

Pertimbangan tambahan

Berikut ini adalah pertimbangan penting tentang hal PingFederate itu dapat memengaruhi cara Anda menerapkan penyediaan dengan IAM Identity Center.

  • Jika atribut (seperti nomor telepon) dihapus dari pengguna di penyimpanan data yang dikonfigurasiPingFederate, atribut tersebut tidak akan dihapus dari pengguna terkait di Pusat Identitas IAM. Ini adalah batasan yang diketahui dalam PingFederate’s implementasi penyedia. Jika atribut diubah ke nilai yang berbeda (tidak kosong) pada pengguna, perubahan itu akan disinkronkan ke Pusat Identitas IAM.

Langkah 1: Aktifkan penyediaan di IAM Identity Center

Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Dalam kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM

    2. Token akses

  5. Pilih Tutup.

Sekarang setelah Anda mengatur penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan konsol PingFederate administratif., Langkah-langkahnya dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di PingFederate

Gunakan prosedur berikut di konsol PingFederate administratif untuk mengaktifkan integrasi antara IAM Identity Center dan IAM Identity Center Connector. Prosedur ini mengasumsikan bahwa Anda telah menginstal perangkat lunak IAM Identity Center Connector. Jika Anda belum melakukannya, lihatPrasyarat, dan kemudian selesaikan prosedur ini untuk mengonfigurasi penyediaan SCIM.

penting

Jika PingFederate server Anda belum dikonfigurasi sebelumnya untuk penyediaan SCIM keluar, Anda mungkin perlu membuat perubahan file konfigurasi untuk mengaktifkan penyediaan. Untuk informasi lebih lanjut, lihat Ping dokumentasi. Singkatnya, Anda harus mengubah pf.provisioner.mode pengaturan dalam pingfederate-<version>/pingfederate/bin/run.propertiesfile ke nilai selain OFF (yang merupakan default), dan restart server jika sedang berjalan. Misalnya, Anda dapat memilih untuk menggunakan STANDALONE jika saat ini Anda tidak memiliki konfigurasi ketersediaan tinggi denganPingFederate.

Untuk mengonfigurasi penyediaan di PingFederate

  1. Masuk ke konsol PingFederate administratif.

  2. Pilih Aplikasi dari bagian atas halaman, lalu klik SP Connections.

  3. Temukan aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center, dan klik pada nama koneksi.

  4. Pilih Jenis Koneksi dari judul navigasi gelap di dekat bagian atas halaman. Anda akan melihat Browser SSO sudah dipilih dari konfigurasi SAMP Anda sebelumnya. Jika tidak, Anda harus menyelesaikan langkah-langkah itu terlebih dahulu sebelum Anda dapat melanjutkan.

  5. Pilih kotak centang Outbound Provisioning, pilih IAM Identity Center Cloud Connector sebagai jenisnya, dan klik Simpan. Jika IAM Identity Center Cloud Connector tidak muncul sebagai opsi, pastikan Anda telah menginstal Konektor Pusat Identitas IAM dan telah memulai ulang server Anda. PingFederate

  6. Klik Berikutnya berulang kali sampai Anda tiba di halaman Outbound Provisioning, dan kemudian klik tombol Configure Provisioning.

  7. Pada prosedur sebelumnya, Anda menyalin nilai endpoint SCIM di IAM Identity Center. Tempelkan nilai itu ke bidang URL SCIM di PingFederate konsol. Pastikan Anda menghapus garis miring ke depan di akhir URL. Juga, dalam prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke bidang Token Akses di PingFederate konsol. Klik Simpan.

  8. Pada halaman Konfigurasi Saluran (Konfigurasi Saluran), klik Buat.

  9. Masukkan Nama Saluran untuk saluran penyediaan baru ini (sepertiAWSIAMIdentityCenterchannel), dan klik Berikutnya.

  10. Pada halaman Sumber, pilih Active Data Store yang ingin Anda gunakan untuk koneksi ke IAM Identity Center, dan klik Berikutnya.

    catatan

    Jika Anda belum mengonfigurasi sumber data, Anda harus melakukannya sekarang. Lihat dokumentasi Ping produk untuk informasi tentang cara memilih dan mengonfigurasi sumber dataPingFederate.

  11. Pada halaman Pengaturan Sumber, konfirmasikan semua nilai sudah benar untuk instalasi Anda, lalu klik Berikutnya.

  12. Pada halaman Lokasi Sumber, masukkan pengaturan yang sesuai dengan sumber data Anda, lalu klik Berikutnya. Misalnya, jika menggunakan Active Directory sebagai direktori LDAP:

    1. Masukkan Base DN hutan AD Anda (sepertiDC=myforest,DC=mydomain,DC=com).

    2. Di Users > Group DN, tentukan satu grup yang berisi semua pengguna yang ingin Anda berikan ke IAM Identity Center. Jika tidak ada grup tunggal seperti itu, buat grup itu di AD, kembali ke pengaturan ini, lalu masukkan DN yang sesuai.

    3. Tentukan apakah akan mencari subgrup (Pencarian Bersarang), dan Filter LDAP yang diperlukan.

    4. Di Grup > Grup DN, tentukan satu grup yang berisi semua grup yang ingin Anda berikan ke Pusat Identitas IAM. Dalam banyak kasus, ini mungkin DN yang sama seperti yang Anda tentukan di bagian Pengguna. Masukkan nilai Pencarian Bersarang dan Filter sesuai kebutuhan.

  13. Pada halaman Pemetaan Atribut, pastikan hal berikut, lalu klik Berikutnya:

    1. Bidang UserName harus dipetakan ke Atribut yang diformat sebagai email (user@domain.com). Itu juga harus sesuai dengan nilai yang akan digunakan pengguna untuk masuk ke Ping. Nilai ini pada gilirannya diisi dalam nameId klaim SAMP selama otentikasi federasi dan digunakan untuk pencocokan dengan pengguna di Pusat Identitas IAM. Misalnya, saat menggunakan Active Directory, Anda dapat memilih untuk menentukan UserPrincipalName sebagai UserName.

    2. Bidang lain yang diakhiran dengan* harus dipetakan ke atribut yang bukan null untuk pengguna Anda.

  14. Pada halaman Aktivasi & Ringkasan, atur Status Saluran ke Aktif untuk menyebabkan sinkronisasi dimulai segera setelah konfigurasi disimpan.

  15. Konfirmasikan bahwa semua nilai konfigurasi pada halaman sudah benar, dan klik Selesai.

  16. Pada halaman Kelola Saluran, klik Simpan.

  17. Pada titik ini, penyediaan dimulai. Untuk mengonfirmasi aktivitas, Anda dapat melihat file provisioner.log, yang terletak secara default di pingfederate-<version>/pingfederate/logdirektori di PingFederate server Anda.

  18. Untuk memverifikasi bahwa pengguna dan grup telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke Konsol Pusat Identitas IAM dan pilih Pengguna. Pengguna yang disinkronkan PingFederate muncul di halaman Pengguna. Anda juga dapat melihat grup yang disinkronkan di halaman Grup.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingFed erate untuk kontrol akses di IAM Identity Center

Ini adalah prosedur opsional PingFederate jika Anda memilih untuk mengkonfigurasi atribut yang akan Anda gunakan di IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan PingFederate diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian akan membuat set izin di IAM Identity Center untuk mengelola akses berdasarkan atribut yang Anda lewati. PingFederate

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengonfigurasi atribut pengguna PingFederate untuk kontrol akses di Pusat Identitas IAM

  1. Masuk ke konsol PingFederate administratif.

  2. Pilih Aplikasi dari bagian atas halaman, lalu klik SP Connections.

  3. Temukan aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center, dan klik pada nama koneksi.

  4. Pilih Browser SSO dari judul navigasi gelap di dekat bagian atas halaman. Kemudian klik Konfigurasi Browser SSO.

  5. Pada halaman Configure Browser SSO, pilih Assertion Creation, dan kemudian klik Configure Assertion Creation.

  6. Pada halaman Configure Assertion Creation, pilih Attribute Contract.

  7. Pada halaman Kontrak Atribut, di bawah bagian Perpanjang Kontrak, tambahkan atribut baru dengan melakukan langkah-langkah berikut:

    1. Di kotak teks, masukkanhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, ganti AttributeName dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. Untuk Format Nama Atribut, pilih urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Pilih Tambah, lalu pilih Berikutnya.

  8. Pada halaman Pemetaan Sumber Otentikasi, pilih Instans Adaptor yang dikonfigurasi dengan aplikasi Anda.

  9. Pada halaman Pemenuhan Kontrak Atribut, pilih Sumber (penyimpanan data) dan Nilai (atribut penyimpanan data) untuk Kontrak https://aws.amazon.com/SAML/Attributes/AccessControl:Department Atribut.

    catatan

    Jika Anda belum mengonfigurasi sumber data, Anda harus melakukannya sekarang. Lihat dokumentasi Ping produk untuk informasi tentang cara memilih dan mengonfigurasi sumber dataPingFederate.

  10. Klik Berikutnya berulang kali sampai Anda tiba di halaman Aktivasi & Ringkasan, lalu klik Simpan.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di IAM Identity Center untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.