Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione del SCIM provisioning tra OneLogin e IAM Identity Center
IAMIdentity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management () SCIM v2.0. Questa connessione viene configurata inOneLogin, utilizzando il proprio SCIM endpoint per IAM Identity Center e un token bearer creato automaticamente da Identity Center. IAM Quando si configura SCIM la sincronizzazione, si crea una mappatura degli attributi utente agli attributi denominati in OneLogin Identity Center. IAM Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. OneLogin
I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi OneLogin da IAM Identity Center utilizzando il SCIM protocollo.
Nota
Prima di iniziare la distribuzioneSCIM, si consiglia di esaminare innanzitutto il. Considerazioni sull'utilizzo del provisioning automatico
Argomenti
- Prerequisiti
- Passaggio 1: abilitare il provisioning in Identity Center IAM
- Passaggio 2: configurare il provisioning in OneLogin
- (Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in Identity Center IAM
- (Facoltativo) Passaggio di attributi per il controllo degli accessi
- Risoluzione dei problemi
Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
-
Un OneLogin account. Se non disponi di un account esistente, potresti ottenere una versione di prova gratuita o un account sviluppatore dal OneLoginsito web
. -
Un account abilitato per IAM Identity Center (gratuito).
Per ulteriori informazioni, consulta Enable IAM Identity Center. -
Una SAML connessione dal tuo OneLogin account a IAM Identity Center. Per ulteriori informazioni, consulta Abilitazione del Single Sign-On tra OneLogin e AWS
sul blog AWS Partner Network.
Passaggio 1: abilitare il provisioning in Identity Center IAM
In questo primo passaggio, si utilizza la console IAM Identity Center per abilitare il provisioning automatico.
Per abilitare il provisioning automatico in Identity Center IAM
-
Dopo aver completato i prerequisiti, apri la console di IAMIdentity Center
. -
Scegli Impostazioni nel riquadro di navigazione a sinistra.
-
Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'SCIMendpoint e sul token di accesso.
-
Nella finestra di dialogo di provisioning automatico in entrata, copiate ciascuno dei valori per le seguenti opzioni. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
-
SCIMendpoint: ad esempio, https://scim.
us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 -
Token di accesso: scegli Mostra token per copiare il valore.
avvertimento
Questa è l'unica volta in cui puoi ottenere l'SCIMendpoint e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico Okta più avanti in questo tutorial.
-
-
Scegli Chiudi.
Ora hai configurato il provisioning nella console di IAM Identity Center. Ora devi eseguire le attività rimanenti utilizzando la console di OneLogin amministrazione come descritto nella procedura seguente.
Passaggio 2: configurare il provisioning in OneLogin
Utilizza la seguente procedura nella console di OneLogin amministrazione per abilitare l'integrazione tra IAM Identity Center e l'app IAM Identity Center. Questa procedura presuppone che l'applicazione AWS Single Sign-On sia già stata configurata per l'autenticazione. OneLogin SAML Se non avete ancora creato questa SAML connessione, fatelo prima di procedere e poi tornate qui per completare il processo di provisioning. SCIM Per ulteriori informazioni sulla configurazione SAML conOneLogin, consulta Enabling Single Sign-On Between OneLogin and AWS on the Partner Network blog
Per configurare il provisioning in OneLogin
-
Accedi aOneLogin, quindi vai su Applicazioni > Applicazioni.
-
Nella pagina Applicazioni, cerca l'applicazione creata in precedenza per creare la SAML connessione con IAM Identity Center. Sceglila e poi scegli Configurazione dalla barra di navigazione a sinistra.
-
Nella procedura precedente, hai copiato il valore dell'SCIMendpoint in IAM Identity Center. Incolla quel valore nel URL campo SCIMBase di. OneLogin Inoltre, nella procedura precedente è stato copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel campo SCIMBearer Token di. OneLogin
-
Accanto a APIConnessione, fai clic su Abilita, quindi su Salva per completare la configurazione.
-
Nella barra di navigazione a sinistra, scegli Provisioning.
-
Seleziona le caselle di controllo Abilita provisioning, Crea utente, Elimina utente e Aggiorna utente, quindi scegli Salva.
-
Nella barra di navigazione a sinistra, scegli Utenti.
-
Fai clic su Altre azioni e scegli Sincronizza accessi. Dovresti ricevere il messaggio Sincronizzazione degli utenti con AWS Single Sign-On.
-
Fai nuovamente clic su Altre azioni, quindi scegli Riapplica le mappature dei diritti. Dovresti ricevere il messaggio Le mappature vengono riapplicate.
-
A questo punto, dovrebbe iniziare il processo di approvvigionamento. Per confermare ciò, accedi ad Attività > Eventi e monitora i progressi. Gli eventi di provisioning riusciti, così come gli errori, dovrebbero apparire nel flusso degli eventi.
-
Per verificare che tutti gli utenti e i gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console di IAM Identity Center e scegli Utenti. Gli utenti sincronizzati OneLogin vengono visualizzati nella pagina Utenti. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina Gruppi.
-
Per sincronizzare automaticamente le modifiche degli utenti in IAM Identity Center, accedi alla pagina Provisioning, individua la sezione Richiedi l'approvazione dell'amministratore prima che questa azione venga eseguita, deseleziona Crea utente, Elimina utente e/o Aggiorna utente e fai clic su Salva.
(Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in Identity Center IAM
Questa è una procedura facoltativa OneLogin se scegli di configurare gli attributi che utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi definiti in OneLogin vengono passati in un'SAMLasserzione a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da OneLogin cui sei passato.
Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.
Per configurare gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center
-
Accedi aOneLogin, quindi vai su Applicazioni > Applicazioni.
-
Nella pagina Applicazioni, cerca l'applicazione creata in precedenza per creare la SAML connessione con IAM Identity Center. Sceglila, quindi scegli Parametri dalla barra di navigazione a sinistra.
-
Nella sezione Parametri richiesti, procedi come segue per ogni attributo che desideri utilizzare in IAM Identity Center:
-
Scegli +.
-
In Nome campo
https://aws.amazon.com/SAML/Attributes/AccessControl:, inserisci e sostituisciAttributeNameAttributeNamecon il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempiohttps://aws.amazon.com/SAML/Attributes/AccessControl:Department. -
In Bandiere, seleziona la casella accanto a Includi nell'SAMLasserzione e scegli Salva.
-
Nel campo Valore, utilizza l'elenco a discesa per scegliere gli attributi utente. OneLogin Ad esempio, Dipartimento.
-
-
Seleziona Salva.
(Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, è possibile utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl: impostato su. Questo elemento consente di passare gli attributi come tag di sessione nell'SAMLasserzione. Per ulteriori informazioni sui tag di sessione, vedete Passare i tag di sessione AWS STS nella Guida per l'IAMutente.{TagKey}
Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, utilizzate il seguente attributo.
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.
Risoluzione dei problemi
Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la configurazione del provisioning automatico con. OneLogin
I gruppi non vengono assegnati a Identity Center IAM
Per impostazione predefinita, non è possibile effettuare il provisioning dei gruppi OneLogin da IAM Identity Center. Assicurati di aver abilitato il provisioning di gruppo per l'applicazione IAM Identity Center in. OneLogin A tale scopo, accedi alla console di OneLogin amministrazione e verifica che l'opzione Includi nel provisioning degli utenti sia selezionata nelle proprietà dell'applicazione Identity Center (IAMapplicazione IAM Identity Center > Parametri > Gruppi). Per maggiori dettagli su come creare gruppi inOneLogin, incluso come sincronizzare i OneLogin ruoli come gruppi inSCIM, consulta il OneLogin sito Web.
Niente viene sincronizzato da OneLogin IAM Identity Center, nonostante tutte le impostazioni siano corrette
Oltre alla nota precedente relativa all'approvazione dell'amministratore, sarà necessario riapplicare le mappature dei diritti per rendere effettive molte modifiche alla configurazione. È possibile trovarlo in Applicazioni > Applicazioni > Applicazione IAM Identity Center > Altre azioni. Puoi visualizzare i dettagli e i registri per la maggior parte delle azioniOneLogin, inclusi gli eventi di sincronizzazione, in Attività > Eventi.
Ho eliminato o disabilitato un gruppo inOneLogin, ma è ancora visualizzato in IAM Identity Center
OneLoginattualmente non supporta l'SCIMDELETEoperazione per i gruppi, il che significa che il gruppo continua a esistere in IAM Identity Center. È quindi necessario rimuovere il gruppo direttamente da IAM Identity Center per garantire che tutte le autorizzazioni corrispondenti in IAM Identity Center per quel gruppo vengano rimosse.
Ho eliminato un gruppo in IAM Identity Center senza prima eliminarlo da esso OneLogin e ora ho problemi di sincronizzazione utente/gruppo
Per porre rimedio a questa situazione, assicurati innanzitutto di non avere regole o configurazioni ridondanti di provisioning di gruppo. OneLogin Ad esempio, un gruppo assegnato direttamente a un'applicazione insieme a una regola di pubblicazione nello stesso gruppo. Quindi, elimina tutti i gruppi indesiderati in IAM Identity Center. Infine, inOneLogin, Aggiorna i permessi (App IAM Identity Center > Provisioning > Entitlements), quindi Riapplica i mapping dei permessi (App Identity Center > Altre azioni). IAM Per evitare questo problema in futuro, apporta innanzitutto la modifica per interrompere il provisioning del gruppoOneLogin, quindi elimina il gruppo da IAM Identity Center.
