Prerequisiti Considerazioni SCIM Fase 1: abilitare il provisioning in IAM Identity Center Fase 2: Configurare il provisioning in CyberArk (Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center (Facoltativo) Passaggio di attributi per il controllo degli accessi

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni utente da CyberArk Directory Platform IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Questa connessione viene configurata CyberArk utilizzando l'endpoint e il token di accesso IAM Identity Center SCIM. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in CyberArk IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. CyberArk

Questa guida è basata su CyberArk agosto 2021. I passaggi per le versioni più recenti possono variare. Questa guida contiene alcune note sulla configurazione dell'autenticazione utente tramite SAML.

Nota

Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. Considerazioni sull'utilizzo del provisioning automatico Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.

Argomenti

Prerequisiti
Considerazioni SCIM
Fase 1: abilitare il provisioning in IAM Identity Center
Fase 2: Configurare il provisioning in CyberArk
(Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center
(Facoltativo) Passaggio di attributi per il controllo degli accessi

Prerequisiti

Prima di iniziare, avrai bisogno di quanto segue:

CyberArkabbonamento o prova gratuita. Per iscriverti a una prova gratuita, visita CyberArk.
Un account abilitato per IAM Identity Center (gratuito). Per ulteriori informazioni, consulta Enable IAM Identity Center.
Una connessione SAML dal tuo CyberArk account a IAM Identity Center, come descritto nella CyberArkdocumentazione per IAM Identity Center.
Associa il connettore IAM Identity Center ai ruoli, agli utenti e alle organizzazioni a cui desideri consentire l'accesso Account AWS.

Considerazioni SCIM

Di seguito sono riportate le considerazioni relative all'utilizzo CyberArk della federazione per IAM Identity Center:

Solo i ruoli mappati nella sezione Provisioning dell'applicazione verranno sincronizzati con IAM Identity Center.
Lo script di provisioning è supportato solo nel suo stato predefinito, una volta modificato il provisioning SCIM potrebbe fallire.
- È possibile sincronizzare un solo attributo del numero di telefono e l'impostazione predefinita è «telefono di lavoro».
Se la mappatura dei ruoli nell'applicazione CyberArk IAM Identity Center viene modificata, è previsto il seguente comportamento:
- Se i nomi dei ruoli vengono modificati, nessuna modifica ai nomi dei gruppi in IAM Identity Center.
- Se i nomi dei gruppi vengono modificati, verranno creati nuovi gruppi in IAM Identity Center, i vecchi gruppi rimarranno ma non avranno membri.
La sincronizzazione degli utenti e il comportamento di de-provisioning possono essere configurati dall'applicazione CyberArk IAM Identity Center, assicurati di impostare il comportamento giusto per la tua organizzazione. Queste sono le opzioni a tua disposizione:
- Sovrascrivi (o meno) gli utenti nella directory di Identity Center con lo stesso nome principale.
- Rimuovi il provisioning degli utenti da IAM Identity Center quando l'utente viene rimosso dal CyberArk ruolo.
- Annullare il provisioning del comportamento dell'utente: disabilitazione o eliminazione.

Fase 1: abilitare il provisioning in IAM Identity Center

In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.

Per abilitare il provisioning automatico in IAM Identity Center

Dopo aver completato i prerequisiti, apri la console IAM Identity Center.
Scegli Impostazioni nel riquadro di navigazione a sinistra.
Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
Nella finestra di dialogo di provisioning automatico in entrata, copia ciascuno dei valori per le seguenti opzioni. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. Endpoint SCIM
2. Token di accesso
Scegli Chiudi.

Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando l'applicazione CyberArk IAM Identity Center. Questi passaggi sono descritti nella procedura seguente.

Fase 2: Configurare il provisioning in CyberArk

Utilizza la seguente procedura nell'applicazione CyberArk IAM Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che tu abbia già aggiunto l'applicazione CyberArk IAM Identity Center alla tua console di CyberArk amministrazione in Web Apps. Se non l'hai ancora fatto, consulta e completa questa procedura per configurare il Prerequisiti provisioning SCIM.

Per configurare il provisioning in CyberArk

Apri l'applicazione CyberArk IAM Identity Center che hai aggiunto come parte della configurazione di SAML per CyberArk (App > Web App). Per informazioni, consulta Prerequisiti.
Scegli l'applicazione IAM Identity Center e vai alla sezione Provisioning.
Seleziona la casella Abilita il provisioning per questa applicazione e scegli la modalità Live.
Nella procedura precedente, hai copiato il valore dell'endpoint SCIM da IAM Identity Center. Incolla quel valore nel campo SCIM Service URL, nell'applicazione CyberArk IAM Identity Center imposta il Tipo di autorizzazione su Authorization Header. Assicurati di rimuovere la barra finale alla fine dell'URL.
Imposta il tipo di intestazione su Bearer Token.
Dalla procedura precedente hai copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel campo Bearer Token dell'applicazione CyberArk IAM Identity Center.
Fai clic su Verifica per testare e applicare la configurazione.
In Opzioni di sincronizzazione, scegliete il comportamento giusto per il quale desiderate che il provisioning in uscita funzioniCyberArk. Puoi scegliere di sovrascrivere (o meno) gli utenti esistenti di IAM Identity Center con un nome principale simile e il comportamento di de-provisioning.
In Role Mapping, configura la mappatura dai CyberArk ruoli, nel campo Nome, al gruppo IAM Identity Center, nel gruppo di destinazione.
Una volta terminato, fai clic su Salva in basso.
Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti. Gli utenti sincronizzati da CyberArk verranno visualizzati nella pagina Utenti. Questi utenti possono ora essere assegnati agli account e possono connettersi all'interno di IAM Identity Center.

(Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center

Questa è una procedura facoltativa da CyberArk utilizzare se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci CyberArk vengono passati in un'asserzione SAML a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. CyberArk

Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.

Per configurare gli attributi utente CyberArk per il controllo degli accessi in IAM Identity Center

Apri l'applicazione CyberArk IAM Identity Center che hai installato come parte della configurazione di SAML per CyberArk (App > App Web).
Vai all'opzione SAML Response.
In Attributi, aggiungi gli attributi pertinenti alla tabella seguendo la logica seguente:
1. Il nome dell'attributo è il nome dell'attributo originale diCyberArk.
2. Il valore dell'attributo è il nome dell'attributo inviato nell'asserzione SAML a IAM Identity Center.
Selezionare Salva.

(Facoltativo) Passaggio di attributi per il controllo degli accessi

Facoltativamente, puoi utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta Passing session tag AWS STSin the IAM User Guide.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, usa il seguente attributo.


<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Active Directory

Google Workspace