本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
PingOne
IAMIdentity Center 支持自动配置(同步)来自的用户信息 PingOne 产品由 Ping Identity (以后”Ping”) 进入IAM身份中心。此配置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以在中配置此连接 PingOne 使用您的IAM身份中心SCIM终端节点和访问令牌。配置SCIM同步时,可以在中创建用户属性的映射 PingOne 到 Ident IAM ity Center 中的命名属性。这会导致IAM身份中心和之间的预期属性匹配 PingOne.
本指南基于 PingOne 截至 2020 年 10 月。新版本的步骤可能有所不同。联系人 Ping 了解有关如何为其他版本的 Ident IAM ity Center 配置配置的更多信息 PingOne。 本指南还包含一些有关通过配置用户身份验证的注意事项SAML。
以下步骤将引导您了解如何从中启用自动配置用户 PingOne 使用SCIM协议到IAM身份中心。
注意
在开始部署之前SCIM,我们建议您先查看使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
A PingOne 订阅或免费试用,同时具有联合身份验证和配置功能。有关如何获得免费试用的更多信息,请参阅 Ping Identity
网站。 -
这些区域有:PingOne IAM身份中心应用程序已添加到您的 PingOne 管理员门户。你可以获得 PingOne IAM来自的身份中心应用程序 PingOne 应用程序目录。有关一般信息,请参阅上的 “应用程序目录” 中添加
应用程序 Ping Identity 网站。 -
来自你的SAML连接 PingOne 实例到IAM身份中心。之后 PingOne IAM身份中心应用程序已添加到您的 PingOne 管理员门户,你必须使用它来配置来自你的SAML连接 PingOne 实例到IAM身份中心。使用两端的 “下载” 和 “导入” 元数据功能在两端交换SAML元数据 PingOne 和IAM身份中心。有关如何配置此连接的说明,请参阅 PingOne 文档中)。
额外注意事项
以下是以下方面的重要注意事项 PingOne 这可能会影响您使用IAM身份中心实现配置的方式。
-
截至 2020 年 10 月,PingOne 不支持通过配置群组SCIM。联系人 Ping 有关小组支持的最新信息,请SCIM访问 PingOne.
-
用户可以继续从以下位置进行配置 PingOne 在中禁用配置后 PingOne 管理员门户。如果您需要立即终止配置,请删除相关的不SCIM记名令牌,和/或在 Ident IAM ity Center 使用将外部身份提供商用户和群组配置到 Ident IAM ity Center SCIM 中将其禁用。
-
如果从中配置的数据存储中删除了用户的属性 PingOne,则该属性不会从 Ident IAM ity Center 中的相应用户中删除。这是一个已知的限制 PingOne’s 供应器实现。如果修改了属性,则更改将同步到 Ident IAM ity Center。
-
以下是有关您的SAML配置的重要说明 PingOne:
-
IAM身份中心仅支持
emailaddress
作为一种NameId
格式。这意味着你需要选择一个在你的目录中唯一的用户属性 PingOne,非空,格式为电子邮件/UPN(例如,user@domain.com),用于你SAML的 _ 映射 SUBJECT PingOne。 电子邮件(工作)是用于测试配置的合理值 PingOne 内置目录。 -
中的用户 PingOne 使用包含 + 字符的电子邮件地址可能无法登录 Ident IAM ity Center,错误如
'SAML_215'
或'Invalid input'
。要解决这个问题,请在 PingOne,在 “属性映射” 中为 SAML_ SUBJECT 映射选择 “高级” 选项。然后将姓名 ID 格式设置为 SP: to urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress在下拉菜单中。
-
步骤 1:在 Identity C IAM enter 中启用配置
在第一步中,您将使用 Ident IAM ity Center 控制台启用自动配置。
在 Ident IAM ity Center 中启用自动配置
-
完成先决条件后,打开 Identity C IAMenter 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。
-
在入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
-
SCIM端点 ——例如,https://scim。
us-east-2
.amazonaws.com/ /scim/v211111111111-2222-3333-4444-555555555555
-
访问令牌 - 选择显示令牌以复制该值。
警告
这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。
-
-
选择关闭。
现在,您已经在 Ident IAM ity Center 控制台中设置了配置,您需要使用完成剩余的任务 PingOne IAM身份中心应用程序。以下过程中描述了这些步骤。
步骤 2:在中配置配置 PingOne
在中使用以下步骤 PingOne IAM用于启用身份中心配置的IAM身份中心应用程序。此过程假设您已经添加了 PingOne IAM身份中心应用程序到你的 PingOne 管理员门户。如果您尚未执行此操作,请参阅先决条件,然后完成此过程以配置SCIM配置。
要在中配置配置 PingOne
-
打开 PingOne IAM您在配置SAML时安装的 Identity Center 应用程序 PingOne (“应用程序” > “我的应用程序”)。请参阅 先决条件。
-
滚动到页面底部。在用户预置下,选择完整链接以导航到连接的用户预置配置。
-
在预置说明页面上,选择继续下一步。
-
在前面的步骤中,您在IAM身份中心中复制了SCIM终端节点值。将该值粘贴到SCIMURL字段中 PingOne IAM身份中心应用程序。此外,在前面的步骤中,您复制了IAM身份中心中的访问令牌值。将该值粘贴到 ACCESS_ TOKEN 字段中 PingOne IAM身份中心应用程序。
-
对于 REMOVE_ ACTION,请选择 “已禁用” 或 “已删除”(有关更多详细信息,请参阅页面上的描述文本)。
-
在 “属性映射” 页面上,按照本页额外注意事项前面的指导,选择一个用于 SAML_ SUBJECT (
NameId
) 断言的值。然后选择继续下一步。 -
在存储库的 PingOne 应用程序自定义-IAM Identity Center 页面,进行任何所需的自定义更改(可选),然后单击 “继续下一步”。
-
在 “组访问权限” 页面上,选择包含您想要启用配置和单点登录到 Ident IAM ity Center 的用户的群组。选择继续下一步。
-
滚动到页面底部,然后选择完成,开始预置。
-
要验证用户是否已成功同步到 Ident IAM ity Center,请返回 Ident IAM ity Center 控制台并选择 “用户”。已同步的用户来自 PingOne 将显示在 “用户” 页面上。现在可以将这些用户分配给 Ident IAM ity Center 中的帐户和应用程序。
记住那个 PingOne 不支持通过SCIM配置群组或群组成员资格。联系人 Ping 了解更多信息。
(可选)步骤 3:在中配置用户属性 PingOne 用于IAM身份中心中的访问控制
这是一项可选程序 PingOne 如果您选择为 Ident IAM ity Center 配置属性来管理对 AWS 资源的访问权限。您在中定义的属性 PingOne 以SAML断言形式传递给IAM身份中心。然后,您可以在 Ident IAM ity Center 中创建一个权限集,以根据您传递的属性来管理访问权限 PingOne.
在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性。
要在中配置用户属性 PingOne 用于IAM身份中心中的访问控制
-
打开 PingOne IAM您在配置SAML时安装的 Identity Center 应用程序 PingOne (“应用程序” > “我的应用程序”)。
-
选择编辑,然后选择继续下一步,直到进入属性映射页面。
-
在属性映射页上,选择添加新属性,然后执行以下操作。您必须对要添加的每个属性执行这些步骤,以便在 Ident IAM ity Center 中使用以进行访问控制。
-
在应用程序属性 字段中输入
https://aws.amazon.com/SAML/Attributes/AccessControl:
。AttributeName
AttributeName
替换为您在 Ident IAM ity Center 中期望的属性的名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Email
。 -
在 Identity Bridge 属性或文字值字段中,从您的属性中选择用户属性 PingOne 目录。例如,电子邮件(工作)。
-
-
选择下一步几次,然后选择完成。
(可选)传递访问控制属性
您可以选择使用 Ident IAM ity Center 中的访问控制属性功能来传递Name
属性设置为的Attribute
元素https://aws.amazon.com/SAML/Attributes/AccessControl:
。此元素允许您在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 AWS STS中的传递会话标签。{TagKey}
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue
元素。例如,要传递标签键值对CostCenter = blue
,请使用以下属性。
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute
元素。