Pré-requisitos Considerações SCIM Etapa 1: Habilitar provisionamento no IAM Identity Center Etapa 2: Configure o provisionamento no CyberArk (Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center (Opcional) Passar atributos para controle de acesso

Setting up SCIM provisioning between CyberArk and IAM Identity Center

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário a partir CyberArk Directory Platform para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Você configura essa conexão no CyberArk usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no CyberArk para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e CyberArk.

Este guia é baseado no CyberArk em agosto de 2021. As etapas para versões mais recentes podem variar. Este guia contém algumas notas sobre a configuração da autenticação do usuário por meio do SAML.

nota

Antes de começar a implantar o SCIM, é recomendável que você analise Considerações sobre o uso do provisionamento automático antes. Em seguida, continue analisando considerações adicionais na próxima seção.

Tópicos

Pré-requisitos
Considerações SCIM
Etapa 1: Habilitar provisionamento no IAM Identity Center
Etapa 2: Configure o provisionamento no CyberArk
(Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center
(Opcional) Passar atributos para controle de acesso

Pré-requisitos

Você precisará do seguinte antes de começar:

Assinatura ou teste gratuito do CyberArk. Para se inscrever para um teste gratuito, acesse CyberArk.
Uma conta habilitada para o IAM Identity Center (gratuita). Para obter mais informações, consulte Habilitar o IAM Identity Center.
Uma conexão SAML da sua conta do CyberArk com o IAM Identity Center, conforme descrito na documentação do CyberArk do IAM Identity Center.
Associe o conector do IAM Identity Center às funções, usuários e organizações às quais você deseja permitir acesso a Contas da AWS.

Considerações SCIM

As seguintes considerações devem ser observadas ao usar a federação do CyberArk para o IAM Identity Center:

Somente as funções mapeadas na seção Provisionamento do aplicativo serão sincronizadas com o IAM Identity Center.
O script de provisionamento é suportado somente em seu estado padrão. Uma vez alterado, o provisionamento do SCIM pode falhar.
- Somente um atributo de número de telefone pode ser sincronizado e o padrão é “telefone comercial”.
Se o mapeamento de funções no aplicativo IAM Identity Center do CyberArk for alterado, o comportamento abaixo é esperado:
- Se os nomes das funções forem alterados, não haverá alterações nos nomes dos grupos no IAM Identity Center.
- Se os nomes dos grupos forem alterados, novos grupos serão criados no IAM Identity Center, os grupos antigos permanecerão, mas não terão membros.
O comportamento de sincronização e desprovisionamento do usuário pode ser configurado a partir do aplicativo IAM Identity Center do CyberArk. Certifique-se de configurar o comportamento certo para sua organização. Estas são as opções que você tem:
- Substitua (ou não) usuários no diretório do Identity Center com o mesmo nome de entidade principal.
- Desprovisione usuários do IAM Identity Center quando o usuário for removido da função CyberArk.
- Desprovisione o comportamento do usuário – desative ou exclua.

Etapa 1: Habilitar provisionamento no IAM Identity Center

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

Para habilitar o provisionamento automático no IAM Identity Center

Depois de concluir os pré-requisitos, abra o console do IAM Identity Center.
Escolha Configurações no painel de navegação à esquerda.
Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.
1. Endpoint do SCIM
2. Token de acesso
Escolha Fechar.

Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o aplicativo IAM Identity Center do CyberArk. Essas etapas são descritas no procedimento a seguir.

Etapa 2: Configure o provisionamento no CyberArk

Use o procedimento a seguir no aplicativo IAM Identity Center do CyberArk para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o aplicativo IAM Identity Center do CyberArk ao seu console de administração do CyberArk em Aplicativos Web. Se você ainda não tiver feito isso, consulte Pré-requisitos e, em seguida, conclua este procedimento para configurar o provisionamento do SCIM.

Para configurar o provisionamento no CyberArk

Abra o aplicativo IAM Identity Center do CyberArk que você adicionou como parte da configuração do SAML para o CyberArk (Aplicativos > Aplicativo Web). Consulte Pré-requisitos.
Escolha o aplicativo IAM Identity Center e vá para a seção Provisionamento.
Marque a caixa Ativar provisionamento para este aplicativo e escolha Modo em tempo real.
No procedimento anterior, você copiou o valor do endpoint SCIM do IAM Identity Center. Cole esse valor no campo URL do serviço SCIM, no aplicativo CyberArk IAM Identity Center, defina o Tipo de autorização como Cabeçalho de autorização. Certifique-se de remover a barra final no final do URL.
Defina o Tipo de cabeçalho como Token do portador.
No procedimento anterior, você copiou o valor do Token de acesso do IAM Identity Center. Cole esse valor no campo Token do portador no aplicativo IAM Identity Center do CyberArk.
Clique em Verificar para testar e aplicar a configuração.
Em Opções de sincronização, escolha o comportamento correto para o qual você deseja que o provisionamento de saída do CyberArk funcione. Você pode optar por substituir (ou não) os usuários existentes do IAM Identity Center por um nome de entidade principal semelhante e pelo comportamento de desprovisionamento.
Em Mapeamento de funções, configure o mapeamento das funções do CyberArk, no campo Nome, para o grupo do IAM Identity Center, no Grupo de destino.
Clique em Salvar na parte inferior quando terminar.
Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Os usuários sincronizados do CyberArk aparecerão na página Usuários. Agora, esses usuários podem ser atribuídos a contas e se conectar ao IAM Identity Center.

(Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center

Esse é um procedimento opcional CyberArk caso você opte por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus AWS recursos. Os atributos que você define no CyberArk são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do ‭CyberArk.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

Para configurar atributos do usuário emCyberArk para controle de acesso no IAM Identity Center

Abra o aplicativo IAM Identity Center do CyberArk que você instalou como parte da configuração do SAML para o CyberArk (Aplicativos > Aplicativo Web).
Acesse a opção Resposta SAML.
Em Atributos, adicione os atributos relevantes à tabela seguindo a lógica abaixo:
1. Nome do atributo é o nome do atributo original do CyberArk.
2. O Valor do atributo é o nome do atributo enviado na declaração SAML para o IAM Identity Center.
Escolha Salvar.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.


<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Active Directory

Google Workspace