Configurar o provisionamento SCIM entre o OneLogin e o IAM Identity Center - AWS IAM Identity Center
Pré-requisitosEtapa 1: Habilitar provisionamento no IAM Identity CenterEtapa 2: Configure o provisionamento no OneLogin(Opcional) Etapa 3: configure atributos do usuário no OneLogin para controle de acesso no IAM Identity Center(Opcional) Passar atributos para controle de acessoSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o provisionamento SCIM entre o OneLogin e o IAM Identity Center

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) de informações de usuários e grupos do seu OneLogin no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Você configura essa conexão em OneLogin usando seu endpoint SCIM para o IAM Identity Center e um token portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no OneLogin para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e OneLogin.

As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do OneLogin para o IAM Identity Center usando o protocolo SCIM.

nota

Antes de começar a implantar o SCIM, é recomendável que você analise Considerações sobre o uso do provisionamento automático antes.

Pré-requisitos

Você precisará do seguinte antes de começar:

Etapa 1: Habilitar provisionamento no IAM Identity Center

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

Para habilitar o provisionamento automático no IAM Identity Center

  1. Depois de concluir os pré-requisitos, abra o console do IAM Identity Center.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  4. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.

    1. Endpoint do SCIM

    2. Token de acesso

  5. Escolha Fechar.

Você já configurou provisionamento no console do IAM Identity Center. Agora você precisa executar as tarefas restantes usando o console administrativo OneLogin conforme descrito no procedimento a seguir.

Etapa 2: Configure o provisionamento no OneLogin

Use o procedimento a seguir no console de admin do OneLogin para permitir a integração entre o IAM Identity Center e o aplicativo IAM Identity Center. Esse procedimento pressupõe que você já tenha configurado o aplicativo AWS Single Sign-On no OneLogin para autenticação SAML. Se você ainda não criou essa conexão SAML, faça isso antes de continuar e depois volte aqui para concluir o processo de provisionamento do SCIM. Para obter mais informações sobre como configurar o SAML com OneLogin, consulte Habilitando o login único entre OneLogin e AWS no AWS Partner Network Blog.

Para configurar o provisionamento no OneLogin

  1. Faça login em OneLogin, e em seguida navegue até Aplicativos > Aplicativos.

  2. Na página Aplicativos, pesquise o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center. Escolha isso e depois escolhaConfiguration na barra de navegação esquerda.

  3. No procedimento anterior, você copiou o valor do endpoint SCIM do IAM Identity Center. Cole esse valor no campo URL base do SCIM em OneLogin. Certifique-se de remover a barra final no final do URL. Além disso, no procedimento anterior, você copiou o valor do Token de acesso do IAM Identity Center. Cole esse valor no campo SCIM Bearer Token no OneLogin.

  4. Ao lado de Conexão de API, clique em Ativar e, em seguida, clique em Salvar para concluir a configuração.

  5. Na barra de navegação à esquerda, escolha Provisionamento.

  6. Marque as caixas de seleção Ativar provisionamento, Criar usuário, Excluir usuário e Atualizar usuário e, em seguida, escolha Salvar.

  7. Na barra de navegação esquerda, selecione Usuários.

  8. Clique em Mais ações e escolha Sincronizar logins. Você deve receber a mensagem Sincronizando usuários com AWS login único.

  9. Clique em Mais ações novamente e escolha Reaplicar mapeamentos de direitos. Você deve receber a mensagem Mapeamentos estão sendo reaplicados.

  10. Nesse ponto, o processo de provisionamento deve começar. Para confirmar isso, navegue até Atividade > Eventos e monitore o progresso. Eventos de provisionamento bem-sucedidos, bem como erros, devem aparecer no fluxo de eventos.

  11. Para verificar se seus usuários e grupos foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Seus usuários sincronizados do OneLogin aparecem na página Usuários. Você também pode ver seus grupos sincronizados na página Grupos.

  12. Para sincronizar automaticamente as alterações do usuário no IAM Identity Center, navegue até a página Provisionamento, localize a seção Exigir aprovação do administrador antes que essa ação seja executada, desmarque Criar usuário, Excluir usuário, e/ou Atualizar usuário, e clique em Salvar.

(Opcional) Etapa 3: configure atributos do usuário no OneLogin para controle de acesso no IAM Identity Center

Esse é um procedimento opcional para o OneLogin se você escolher configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus recursos da AWS. Os atributos que você define no OneLogin são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos que você passou do OneLogin.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

Para configurar atributos do usuário em OneLogin para controle de acesso no IAM Identity Center

  1. Faça login em OneLogin, e em seguida navegue até Aplicativos > Aplicativos.

  2. Na página Aplicativos, pesquise o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center. Selecione e, depois, escolha Parâmetros na barra de navegação à esquerda.

  3. Na seção Parâmetros obrigatórios, faça o seguinte para cada atributo que você deseja usar no IAM Identity Center:

    1. Escolha +.

    2. Em Nome do campo, insira https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, e substitua AttributeName pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    3. Em Sinalizadores, marque a caixa ao lado de Incluir na declaração SAML e escolha Salvar.

    4. No campo Valor, use a lista suspensa para escolher os atributos do usuário OneLogin. Por exemplo, Departamento.

  4. Escolha Salvar.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Solução de problemas

O seguinte pode ajudá-lo a solucionar alguns problemas comuns que você pode encontrar ao configurar o provisionamento automático com o OneLogin.

Os grupos não são provisionados para o IAM Identity Center

Por padrão, os grupos não podem ser provisionados a partir do IAM Identity Center do OneLogin. Certifique-se de ter habilitado o provisionamento de grupos para seu aplicativo IAM Identity Center no OneLogin. Para fazer isso, faça login no console de administrador do OneLogin e verifique se a opção Incluir no provisionamento de usuários está selecionada nas propriedades do aplicativo IAM Identity Center (aplicativo IAM Identity Center > Parâmetros > Grupos). Para obter mais detalhes sobre como criar grupos no OneLogin, incluindo como sincronizar funções do OneLogin como grupos no SCIM, consulte o site do OneLogin site.

Nada é sincronizado do OneLogin para o IAM Identity Center, apesar de todas as configurações estarem corretas

Além da observação acima sobre a aprovação do administrador, você precisará reaplicar os mapeamentos de direitos para que muitas alterações de configuração entrem em vigor. Isso pode ser encontrado em Aplicativos > Aplicativos > Aplicativo IAM Identity Center > Mais ações. Você pode ver detalhes e registros da maioria das ações no OneLogin, incluindo eventos de sincronização, em Atividade > Eventos.

Excluí ou desativei um grupo no OneLogin, mas ele ainda aparece no IAM Identity Center

Atualmente, o OneLogin não suporta a operação SCIM DELETE para grupos, o que significa que o grupo continua existindo no IAM Identity Center. Portanto, você deve remover o grupo diretamente do IAM Identity Center para garantir que todas as permissões correspondentes no IAM Identity Center desse grupo sejam removidas.

Excluí um grupo no IAM Identity Center sem primeiro excluí-lo no OneLogin, e agora estou tendo problemas de sincronização de usuários/grupos

Para corrigir essa situação, primeiro verifique se você não tem nenhuma regra ou configuração redundante de provisionamento de grupos. no OneLogin Por exemplo, um grupo atribuído diretamente a um aplicativo junto com uma regra que publica no mesmo grupo. Em seguida, exclua todos os grupos indesejáveis no IAM Identity Center. Por fim, no OneLogin, atualize os direitos (aplicativo IAM Identity Center > Provisionamento > Direitos) e, em seguida, reaplique os mapeamentos de direitos (Aplicativo IAM Identity Center > Mais ações). Para evitar esse problema no futuro, primeiro faça a alteração para parar de provisionar o grupo no OneLogin, em seguida, exclua o grupo do IAM Identity Center.