Usar o IAM Identity Center para conectar com a plataforma de diretórios do JumpCloud - AWS IAM Identity Center

Usar o IAM Identity Center para conectar com a plataforma de diretórios do JumpCloud

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário da plataforma de diretórios do JumpCloud para o IAM Identity Center. Esse provisionamento usa o protocolo Security Assertion Markup Language (SAML) 2.0. Para ter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Você configura essa conexão no JumpCloud usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no JumpCloud para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e JumpCloud.

Este guia é baseado no JumpCloud em junho de 2021. As etapas para versões mais recentes podem variar. Este guia contém algumas notas sobre a configuração da autenticação do usuário por meio do SAML.

As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do JumpCloud para o IAM Identity Center usando o protocolo SCIM.

nota

Antes de começar a implantar o SCIM, é recomendável que você analise Considerações sobre o uso do provisionamento automático antes. Em seguida, continue analisando considerações adicionais na próxima seção.

Pré-requisitos

Você precisará do seguinte antes de começar:

  • Assinatura ou teste gratuito do JumpCloud. Para se inscrever para um teste gratuito, acesse JumpCloud.

  • Uma conta habilitada para o IAM Identity Center (gratuita). Para obter mais informações, consulte Habilitar o IAM Identity Center.

  • Uma conexão SAML da sua conta do JumpCloud com o IAM Identity Center, conforme descrito na documentação do JumpCloud do IAM Identity Center.

  • Associe o conector do IAM Identity Center aos grupos para os quais você deseja permitir o acesso às contas da AWS.

Considerações SCIM

As seguintes considerações devem ser observadas ao usar a federação do JumpCloud para o IAM Identity Center.

  • Somente grupos associados ao AWS conector de login único no JumpCloud serão sincronizados com o SCIM.

  • Somente um atributo de número de telefone pode ser sincronizado e o padrão é “telefone comercial”.

  • Os usuários no diretório JumpCloud devem ter nomes e sobrenomes configurados para serem sincronizados com o IAM Identity Center com o SCIM.

  • Os atributos ainda serão sincronizados se o usuário estiver desativado no IAM Identity Center, mas ainda estiver ativo no JumpCloud.

  • Você pode optar por ativar a sincronização do SCIM somente para informações do usuário desmarcando a opção “Habilitar gerenciamento de grupos de usuários e associação a grupos” no conector.

Etapa 1: Habilitar provisionamento no IAM Identity Center

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

Para habilitar o provisionamento automático no IAM Identity Center
  1. Depois de concluir os pré-requisitos, abra o console do IAM Identity Center.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  4. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.

    1. SCIM endpoint - por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.

  5. Escolha Fechar.

Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o conector IAM Identity Center do JumpCloud. Essas etapas são descritas no procedimento a seguir.

Etapa 2: Configure o provisionamento no JumpCloud

Use o procedimento a seguir no conector IAM Identity Center do JumpCloud para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o conector IAM Identity Center do JumpCloud ao seu portal e grupos de administração do JumpCloud. Se você ainda não tiver feito isso, consulte Pré-requisitos e conclua este procedimento para configurar o provisionamento do SCIM.

Para configurar o provisionamento no JumpCloud
  1. Abra o conector do IAM Identity Center do JumpCloud que você instalou como parte da configuração do SAML para o JumpCloud (Autenticação de usuário > IAM Identity Center). Consulte Pré-requisitos.

  2. Escolha o conector do IAM Identity Center e, em seguida, escolha a terceira guia Gestão de identidade.

  3. Marque a caixa Habilitar gerenciamento de grupos de usuários e membros de grupos neste aplicativo se quiser que os grupos sejam sincronizados com o SCIM.

  4. Clique em Configurar.

  5. No procedimento anterior, você copiou o valor do endpoint SCIM do IAM Identity Center. Cole esse valor no campo Base URL no conector do JumpCloud IAM Identity Center.

  6. No procedimento anterior, você copiou o valor do Token de acesso do IAM Identity Center. Cole esse valor no campo Chave token no conector do IAM Identity Center do JumpCloud.

  7. Clique em Ativar para aplicar a configuração.

  8. Verifique se você tem um indicador verde ao lado do Single Sign-On ativado.

  9. Vá para a quarta guia Grupos de usuários e marque os grupos que você deseja que sejam provisionados com o SCIM.

  10. Clique em Salvar na parte inferior quando terminar.

  11. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Os usuários sincronizados do JumpCloud aparecem na página Usuários. Esses usuários agora podem ser atribuídos a contas no IAM Identity Center.

(Opcional) Etapa 3: configure atributos do usuário no JumpCloud para controle de acesso no IAM Identity Center

Esse é um procedimento opcional para o JumpCloud caso você opte por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus recursos da AWS. Os atributos que você define no JumpCloud são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do JumpCloud.

Antes de iniciar esse procedimento, você deve ativar primeiro o recurso Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilitar e configurar atributos para controle de acesso.

Para configurar atributos do usuário em JumpCloud para controle de acesso no IAM Identity Center
  1. Abra o conector do IAM Identity Center do JumpCloud que você instalou como parte da configuração do SAML para o JumpCloud (Autenticação de usuário > IAM Identity Center).

  2. Escolha o conector do IAM Identity Center. Em seguida, escolha a segunda guia IAM Identity Center.

  3. Na parte inferior dessa guia, você tem Mapeamento de atributos de usuário, escolha Adicionar novo atributo e faça o seguinte: Você deve executar essas etapas para cada atributo que adicionará para uso no IAM Identity Center para controle de acesso.

    1. No campo Nome do atributo do provedor de serviço, insira https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Substituir AttributeName pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. No campo JumpCloud Nome do atributo, escolha os atributos do usuário em seu JumpCloud diretório. Por exemplo, E-mail (trabalho).

  4. Escolha Salvar.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.