PingFederate

IAMIdentity Center supporta il provisioning automatico (sincronizzazione) delle informazioni su utenti e gruppi dal PingFederate prodotto Ping Identity (di seguito «Ping») in Identity Center. IAM Questo provisioning utilizza il protocollo System for Cross-domain Identity Management () v2.0. SCIM Questa connessione viene configurata PingFederate utilizzando l'SCIMendpoint e il token di accesso IAM Identity Center. Quando si configura SCIM la sincronizzazione, si crea una mappatura degli attributi utente agli attributi denominati in PingFederate Identity Center. IAM Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. PingFederate

Questa guida è basata sulla PingFederate versione 10.2. I passaggi per le altre versioni possono variare. Contatta Ping per ulteriori informazioni su come configurare il provisioning a IAM Identity Center per altre versioni diPingFederate.

I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi PingFederate da IAM Identity Center utilizzando il SCIM protocollo.

Nota

Prima di iniziare la distribuzioneSCIM, si consiglia di esaminare innanzitutto il. Considerazioni sull'utilizzo del provisioning automatico Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.

Prerequisiti

Prima di iniziare, avrai bisogno di quanto segue:

• Un PingFederate server funzionante. Se non disponi di un PingFederate server esistente, potresti ottenere una versione di prova gratuita o un account sviluppatore dal sito Web di Ping Identity. La versione di prova include licenze e download di software e la documentazione associata.

• Una copia del software PingFederate IAM Identity Center Connector installato sul PingFederate server. Per ulteriori informazioni su come ottenere questo software, vedere IAMIdentity Center Connector sul ing Identity sito Web P.

• Un account abilitato per IAM Identity Center (gratuito). Per ulteriori informazioni, consulta Enable IAM Identity Center.

• Una SAML connessione dall'PingFederateistanza a IAM Identity Center. Per istruzioni su come configurare questa connessione, consulta la PingFederate documentazione. In sintesi, il percorso consigliato consiste nell'utilizzare IAM Identity Center Connector per configurare «BrowserSSO» inPingFederate, utilizzando le funzionalità di «download» e «importazione» dei metadati su entrambe le estremità per lo scambio di SAML metadati tra Identity Center PingFederate e IAM Identity Center.

Ulteriori considerazioni

Di seguito sono riportate importanti considerazioni in merito PingFederate che possono influire sul modo in cui si implementa il provisioning con Identity Center. IAM

• Se un attributo (ad esempio un numero di telefono) viene rimosso da un utente nel data store configurato inPingFederate, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Si tratta di una limitazione nota nell'implementazione del PingFederate’s provisioner. Se un attributo viene modificato con un valore diverso (non vuoto) su un utente, tale modifica verrà sincronizzata con Identity Center. IAM

Passaggio 1: abilitare il provisioning in Identity Center IAM

In questo primo passaggio, si utilizza la console IAM Identity Center per abilitare il provisioning automatico.

Per abilitare il provisioning automatico in Identity Center IAM

1. Dopo aver completato i prerequisiti, apri la console di IAMIdentity Center.

2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

3. Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'SCIMendpoint e sul token di accesso.

4. Nella finestra di dialogo di provisioning automatico in entrata, copiate ciascuno dei valori per le seguenti opzioni. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.

   1. SCIMendpoint: ad esempio, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

   2. Token di accesso: scegli Mostra token per copiare il valore.

   avvertimento

   Questa è l'unica volta in cui puoi ottenere l'SCIMendpoint e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico Okta più avanti in questo tutorial.

5. Scegli Chiudi.

Dopo aver configurato il provisioning nella console di IAM Identity Center, è necessario completare le attività rimanenti utilizzando la console di PingFederate amministrazione., I passaggi sono descritti nella procedura seguente.

Passaggio 2: configurare il provisioning in PingFederate

Utilizzare la seguente procedura nella console di PingFederate amministrazione per abilitare l'integrazione tra IAM Identity Center e IAM Identity Center Connector. Questa procedura presuppone che sia già stato installato il software IAM Identity Center Connector. Se non l'avete ancora fatto, fate riferimento a Prerequisiti e quindi completate questa procedura per configurare il SCIM provisioning.

Importante

Se il PingFederate server non è stato precedentemente configurato per il SCIM provisioning in uscita, potrebbe essere necessario apportare una modifica al file di configurazione per abilitare il provisioning. Per ulteriori informazioni, consulta la documentazione. Ping In sintesi, è necessario modificare l'pf.provisioner.modeimpostazione nel pingfederate-<version>/pingfederate/bin/run.propertiesfile con un valore diverso da OFF (impostazione predefinita) e riavviare il server se attualmente in esecuzione. Ad esempio, puoi scegliere di utilizzare STANDALONE se attualmente non disponi di una configurazione ad alta disponibilità conPingFederate.

Per configurare il provisioning in PingFederate

1. Accedere alla console di PingFederate amministrazione.

2. Seleziona Applicazioni nella parte superiore della pagina, quindi fai clic su Connessioni SP.

3. Individua l'applicazione creata in precedenza per creare la SAML connessione con IAM Identity Center e fai clic sul nome della connessione.

4. Seleziona Tipo di connessione dai titoli di navigazione scuri nella parte superiore della pagina. Dovresti vedere Browser SSO già selezionato dalla configurazione precedente diSAML. In caso contrario, è necessario completare questi passaggi prima di poter continuare.

5. Seleziona la casella di controllo Outbound Provisioning, scegli IAMIdentity Center Cloud Connector come tipo e fai clic su Salva. Se IAMIdentity Center Cloud Connector non viene visualizzato come opzione, assicurati di aver installato IAM Identity Center Connector e di aver riavviato il server. PingFederate

6. Fai clic su Avanti più volte fino ad arrivare alla pagina Outbound Provisioning, quindi fai clic sul pulsante Configura il provisioning.

7. Nella procedura precedente, è stato copiato il valore dell'SCIMendpoint in Identity Center. IAM Incolla quel valore nel SCIMURLcampo della console. PingFederate Inoltre, nella procedura precedente è stato copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel campo Access Token della PingFederate console. Fai clic su Save (Salva).

8. Nella pagina Configurazione dei canali (Configura canali), fai clic su Crea.

9. Immettete un nome di canale per questo nuovo canale di provisioning (ad esempioAWSIAMIdentityCenterchannel) e fate clic su Avanti.

10. Nella pagina Origine, scegli l'Active Data Store che desideri utilizzare per la connessione a IAM Identity Center e fai clic su Avanti.

    Nota

    Se non hai ancora configurato un'origine dati, devi farlo ora. Consulta la documentazione Ping del prodotto per informazioni su come scegliere e configurare un'origine dati inPingFederate.

11. Nella pagina Impostazioni sorgente, verifica che tutti i valori siano corretti per l'installazione, quindi fai clic su Avanti.

12. Nella pagina Posizione di origine, inserisci le impostazioni appropriate all'origine dati, quindi fai clic su Avanti. Ad esempio, se si utilizza Active Directory come LDAP directory:

    1. Inserisci il DN di base della tua foresta AD (ad esempioDC=myforest,DC=mydomain,DC=com).

    2. In Utenti > DN del gruppo, specifica un singolo gruppo che contenga tutti gli utenti che desideri assegnare a IAM Identity Center. Se non esiste un gruppo singolo di questo tipo, crea quel gruppo in AD, torna a questa impostazione e inserisci il DN corrispondente.

    3. Specificate se cercare nei sottogruppi (Nested Search) e qualsiasi filtro richiesto. LDAP

    4. In Gruppi > DN del gruppo, specifica un singolo gruppo che contenga tutti i gruppi che desideri assegnare a IAM Identity Center. In molti casi, questo può essere lo stesso DN specificato nella sezione Utenti. Immettete i valori Nested Search e Filter come richiesto.

13. Nella pagina Mappatura degli attributi, verifica quanto segue, quindi fai clic su Avanti:

    1. Il userNamecampo deve essere mappato su un attributo formattato come e-mail (user@domain.com). Deve inoltre corrispondere al valore che l'utente utilizzerà per accedere a Ping. Questo valore a sua volta viene inserito nel SAML nameId claim durante l'autenticazione federata e utilizzato per la corrispondenza con l'utente in IAM Identity Center. Ad esempio, quando si utilizza Active Directory, è possibile scegliere di specificare UserPrincipalName come. userName

    2. Gli altri campi con il suffisso * devono essere mappati ad attributi non nulli per gli utenti.

14. Nella pagina Attivazione e riepilogo, imposta lo stato del canale su Attivo per avviare la sincronizzazione immediatamente dopo il salvataggio della configurazione.

15. Conferma che tutti i valori di configurazione nella pagina siano corretti e fai clic su Fine.

16. Nella pagina Gestisci canali, fai clic su Salva.

17. A questo punto, inizia il provisioning. Per confermare l'attività, puoi visualizzare il file provisioner.log, che si trova per impostazione predefinita nella pingfederate-<version>/pingfederate/logdirectory del tuo PingFederate server.

18. Per verificare che gli utenti e i gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console di IAM Identity Center e scegli Utenti. Gli utenti sincronizzati PingFederate vengono visualizzati nella pagina Utenti. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina Gruppi.

(Facoltativo) Fase 3: Configurazione degli attributi utente in base alla frequenza per PingFed il controllo degli accessi in Identity Center IAM

Questa è una procedura facoltativa PingFederate se scegli di configurare gli attributi che utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi definiti in PingFederate vengono passati in un'SAMLasserzione a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da PingFederate cui sei passato.

Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.

Per configurare gli attributi utente PingFederate per il controllo degli accessi in IAM Identity Center

1. Accedere alla console di PingFederate amministrazione.

2. Scegli Applicazioni nella parte superiore della pagina, quindi fai clic su Connessioni SP.

3. Individua l'applicazione creata in precedenza per creare la SAML connessione con IAM Identity Center e fai clic sul nome della connessione.

4. Scegli Browser SSO dai titoli di navigazione scuri nella parte superiore della pagina. Quindi fai clic su Configura browser SSO.

5. Nella SSO pagina Configura browser, scegli Creazione di asserzioni, quindi fai clic su Configura creazione di asserzioni.

6. Nella pagina Configura la creazione di asserzioni, scegli Attribute Contract.

7. Nella pagina Contratto di attributo, nella sezione Estendi il contratto, aggiungi un nuovo attributo effettuando le seguenti operazioni:

   1. Nella casella di testo, inseriscihttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, sostituisci AttributeName con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

   2. Per Formato del nome dell'attributo, scegliete urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

   3. Scegliete Aggiungi, quindi scegliete Avanti.

8. Nella pagina Authentication Source Mapping, scegli l'istanza dell'adattatore configurata con la tua applicazione.

9. Nella pagina Attribute Contract Fulfillment, scegli Source (data store) e Value (attributo data store) per l'Attribute Contract. https://aws.amazon.com/SAML/Attributes/AccessControl:Department

   Nota

   Se non hai ancora configurato un'origine dati, dovrai farlo ora. Consulta la documentazione Ping del prodotto per informazioni su come scegliere e configurare un'origine dati inPingFederate.

10. Fai clic su Avanti più volte fino ad arrivare alla pagina Attivazione e riepilogo, quindi fai clic su Salva.

(Facoltativo) Passaggio di attributi per il controllo degli accessi

Facoltativamente, è possibile utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare gli attributi come tag di sessione nell'SAMLasserzione. Per ulteriori informazioni sui tag di sessione, vedete Passare i tag di sessione AWS STS nella Guida per l'IAMutente.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, utilizzate il seguente attributo.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.