As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
PingFederate
IAMO Identity Center suporta o provisionamento automático (sincronização) de informações de usuários e grupos do PingFederate produto Ping Identity (doravante denominado “Ping”) no Identity Center. IAM Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Você configura essa conexão PingFederate usando seu SCIM endpoint e token de acesso do IAM Identity Center. Ao configurar a SCIM sincronização, você cria um mapeamento dos atributos do usuário nos PingFederate atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center PingFederate e.
Este guia é baseado na versão 10.2 do PingFederate. As etapas para outras versões podem variar. Entre em contato Ping para obter mais informações sobre como configurar o provisionamento no IAM Identity Center para outras versões do. PingFederate
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do PingFederate IAM Identity Center usando o SCIM protocolo.
nota
Antes de começar a implantaçãoSCIM, recomendamos que você primeiro revise o. Considerações sobre o uso do provisionamento automático Em seguida, continue analisando considerações adicionais na próxima seção.
Tópicos
- Pré-requisitos
- Considerações adicionais
- Etapa 1: Habilitar o provisionamento no Identity Center IAM
- Etapa 2: Configure o provisionamento no PingFederate
- (Opcional) Etapa 3: Configurar os atributos do usuário em PingFed erate para controle de acesso no IAM Identity Center
- (Opcional) Passar atributos para controle de acesso
Pré-requisitos
Você precisará do seguinte antes de começar:
-
Um servidor do PingFederate em funcionamento. Se você não tiver um servidor do PingFederate, poderá obter uma conta de teste gratuita ou de desenvolvedor no site do Ping Identity
. O teste inclui licenças e downloads de software e documentação associada. -
Uma cópia do software PingFederate IAM Identity Center Connector instalado em seu PingFederate servidor. Para obter mais informações sobre como obter esse software, consulte IAMIdentity Center Connector
no ing Identity site P. -
Uma conta habilitada para o IAM Identity Center (gratuita
). Para obter mais informações, consulte Habilitar o IAM Identity Center. -
Uma SAML conexão da sua PingFederate instância com o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingFederate. Em resumo, o caminho recomendado é usar o IAM Identity Center Connector para configurar o “NavegadorSSO”PingFederate, usando os recursos de “baixar” e “importar” metadados em ambas as extremidades para trocar SAML metadados entre PingFederate e o IAM Identity Center.
Considerações adicionais
A seguir estão considerações importantes sobre PingFederate isso que podem afetar a forma como você implementa o provisionamento com IAM o Identity Center.
-
Se um atributo (como um número de telefone) for removido de um usuário no armazenamento de dados configurado emPingFederate, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingFederate’s. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.
Etapa 1: Habilitar o provisionamento no Identity Center IAM
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
Para habilitar o provisionamento automático no Identity Center IAM
-
Depois de concluir os pré-requisitos, abra o console do IAMIdentity
Center. -
Escolha Configurações no painel de navegação à esquerda.
-
Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso ativa imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do SCIM endpoint e do token de acesso.
-
Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.
-
SCIMendpoint - Por exemplo, https://scim.
us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 -
Token de acesso: escolha Mostrar token para copiar o valor.
Atenção
Essa é a única vez em que você pode obter o SCIM endpoint e o token de acesso. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar o provisionamento automático Okta posteriormente neste tutorial.
-
-
Escolha Fechar.
Agora que você configurou o provisionamento no console do IAM Identity Center, você deve concluir as tarefas restantes usando o console PingFederate administrativo., As etapas estão descritas no procedimento a seguir.
Etapa 2: Configure o provisionamento no PingFederate
Use o procedimento a seguir no console PingFederate administrativo para permitir a integração entre o IAM Identity Center e o IAM Identity Center Connector. Esse procedimento pressupõe que você já tenha instalado o software IAM Identity Center Connector. Se você ainda não tiver feito isso, consulte e conclua Pré-requisitos este procedimento para configurar o SCIM provisionamento.
Importante
Se seu PingFederate servidor não tiver sido configurado anteriormente para SCIM provisionamento de saída, talvez seja necessário fazer uma alteração no arquivo de configuração para habilitar o provisionamento. Para obter mais informações, consulte a documentação do Ping. Em resumo, você deve modificar a configuração pf.provisioner.mode no arquivo pingfederate-<version>/pingfederate/bin/run.properties com um valor diferente de OFF (que é o padrão) e reiniciar o servidor se ele estiver em execução. Por exemplo, você pode optar por usar STANDALONE se não tiver uma configuração de alta disponibilidade no PingFederate.
Para configurar o provisionamento no PingFederate
-
Faça login no console administrativo do PingFederate.
-
Selecione Aplicativos na parte superior da página e clique em Conexões SP.
-
Localize o aplicativo que você criou anteriormente para formar sua SAML conexão com o IAM Identity Center e clique no nome da conexão.
-
Selecione Tipo de conexão nos cabeçalhos de navegação escuros próximos à parte superior da página. Você deve ver o Navegador SSO já selecionado na configuração anterior doSAML. Caso contrário, você deve concluir essas etapas primeiro antes de continuar.
-
Marque a caixa de seleção Outbound Provisioning, escolha IAMIdentity Center Cloud Connector como o tipo e clique em Salvar. Se o IAMIdentity Center Cloud Connector não aparecer como opção, verifique se você instalou o IAM Identity Center Connector e reiniciou seu PingFederate servidor.
-
Clique em Próximo repetidamente até chegar à página Provisionamento de saída e, em seguida, clique no botão Configurar provisionamento.
-
No procedimento anterior, você copiou o valor do SCIMendpoint no IAM Identity Center. Cole esse valor no SCIMURLcampo no PingFederate console. Além disso, no procedimento anterior, você copiou o valor do token de acesso no IAM Identity Center. Cole esse valor no campo Token de acesso no PingFederate console. Clique em Salvar.
-
Na página Configuração de canais (Configurar canais), clique em Criar.
-
Insira o Nome de canal desse novo canal de provisionamento (como
AWSIAMIdentityCenterchannel) e clique em Próximo. -
Na página Fonte, escolha o Armazenamento de Dados Ativo que você deseja usar para sua conexão com o IAM Identity Center e clique em Avançar.
nota
Se você ainda não configurou uma fonte de dados, faça isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.
-
Na página Configurações de fonte, confirme se todos os valores estão corretos para sua instalação e clique em Próximo.
-
Na página Localização da Fonte, insira as configurações apropriadas à sua fonte de dados e clique em Próximo. Por exemplo, se estiver usando o Active Directory como um LDAP diretório:
-
Insira o DN base da sua floresta do AD (por exemplo,
DC=myforest,DC=mydomain,DC=com). -
Em Usuários > Grupo DN, especifique um único grupo que contenha todos os usuários que você deseja provisionar para o IAM Identity Center. Se esse grupo único não existir, crie esse grupo no AD, retorne a essa configuração e insira o DN correspondente.
-
Especifique se deseja pesquisar subgrupos (Pesquisa aninhada) e qualquer filtro necessárioLDAP.
-
Em Grupos > Grupo DN, especifique um único grupo que contenha todos os grupos que você deseja provisionar para o IAM Identity Center. Em muitos casos, esse pode ser o mesmo DN que você especificou na seção Usuários. Insira os valores de Pesquisa aninhada e Filtro conforme necessário.
-
-
Na página Mapeamento de atributos, verifique o seguinte e clique em Próximo:
-
O userNamecampo deve ser mapeado para um Atributo formatado como um e-mail (user@domain.com). Ele também deve corresponder ao valor que o usuário usará para fazer login no Ping. Esse valor, por sua vez, é preenchido na SAML
nameIddeclaração durante a autenticação federada e usado para corresponder ao usuário no IAM Identity Center. Por exemplo, ao usar o Active Directory, você pode optar por especificar oUserPrincipalNamecomo userNameo. -
Outros campos com o sufixo * devem ser mapeados para atributos que não sejam nulos para seus usuários.
-
-
Na página Ativação e resumo, defina o Status do canal como Ativo para fazer com que a sincronização comece imediatamente após a configuração ser salva.
-
Confirme se todos os valores de configuração na página estão corretos e clique em Concluído.
-
Na página Gerenciar canais, clique em Salvar.
-
Nesse ponto, o provisionamento começa. Para confirmar a atividade, você pode visualizar o arquivo provisioner.log, localizado por padrão no diretório pingfederate-<version>/pingfederate/log do seu servidor do PingFederate.
-
Para verificar se os usuários e grupos foram sincronizados com êxito com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Os usuários sincronizados do PingFederate aparecem na página Usuários. Você também pode ver os grupos sincronizados na página Grupos.
(Opcional) Etapa 3: Configurar os atributos do usuário em PingFed erate para controle de acesso no IAM Identity Center
Esse é um procedimento opcional PingFederate se você optar por configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define PingFederate são passados em uma SAML declaração para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passouPingFederate.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.
Para configurar os atributos do usuário PingFederate para controle de acesso no IAM Identity Center
-
Faça login no console administrativo do PingFederate.
-
Escolha Aplicativos na parte superior da página e clique em Conexões SP.
-
Localize o aplicativo que você criou anteriormente para formar sua SAML conexão com o IAM Identity Center e clique no nome da conexão.
-
SSOEscolha Navegador nos cabeçalhos de navegação escuros na parte superior da página. Em seguida, clique em Configurar navegador SSO.
-
Na SSO página Configurar Navegador, escolha Criação de Asserção e clique em Configurar Criação de Asserção.
-
Na página Configurar criação de asserção, escolha Contrato de atributo.
-
Na página Contrato de atributo, na seção Estender o contrato, adicione um novo atributo executando as seguintes etapas:
-
Na caixa de texto
https://aws.amazon.com/SAML/Attributes/AccessControl:, insira eAttributeNameAttributeNamesubstitua pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo,https://aws.amazon.com/SAML/Attributes/AccessControl:Department. -
Em Formato do nome do atributo, escolha urn:oasis:names:tc:SAML:2.0:attrname-format:uri.
-
Escolha Adicionar e a seguir Próximo.
-
-
Na página Mapeamento da fonte de autenticação, escolha a instância do adaptador configurada com seu aplicativo.
-
Na página Atendimento ao Contrato de Atributo, escolha a Fonte (armazenamento de dados) e o Valor (atributo do armazenamento de dados) para o Contrato de Atributo
https://aws.amazon.com/SAML/Attributes/AccessControl:Department.nota
Se você ainda não configurou uma fonte de dados, será necessário fazer isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.
-
Clique em Próximo repetidamente até chegar à página Ativação e Resumo e, em seguida, clique em Salvar.
(Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o Atributos para controle de acesso recurso no IAM Identity Center para passar um Attribute elemento com o Name atributo https://aws.amazon.com/SAML/Attributes/AccessControl: definido como. Esse elemento permite que você passe atributos como tags de sessão na SAML declaração. Para obter mais informações sobre tags de sessão, consulte Transmitir tags de sessão AWS STS no Guia IAM do usuário.{TagKey}
Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.
