本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM 身分中心與您的JumpCloud目錄平台連線
IAM 身分中心支援將使用者資訊從JumpCloud目錄平台自動佈建 (同步處理) 到 IAM 身分中心。此佈建使用系統進行跨網域身分識別管理 (SCIM) 2.0 通訊協定。您可以在JumpCloud使用 IAM 身分中心 SCIM 端點和存取權杖中設定此連線。設定 SCIM 同步時,您可JumpCloud以在中建立使用者屬性與 IAM 身分中心中指定屬性的對應。這會導致 IAM 身分中心和JumpCloud.
本指南以截至 2021 年 6 月JumpCloud為止。較新版本的步驟可能會有所不同。本指南包含一些有關透過 SAML 設定使用者驗證的注意事項。
下列步驟將逐步說明如何使用 SCIM 通訊協定啟用從 JumpCloud IAM 身分中心自動佈建使用者和群組。
注意
在開始部署 SCIM 之前,建議您先檢閱. 使用自動佈建的考量 然後繼續檢閱下一節中的其他考量。
主題
必要條件
在開始之前,您將需要以下內容:
-
JumpCloud訂閱或免費試用。註冊免費試用訪問JumpCloud
。 -
已啟用 IAM 身分中心的帳戶 (免費
)。如需詳細資訊,請參閱啟用 IAM 身分中心。 -
從您的JumpCloud帳戶到 IAM 身分中心的 SAML 連線,如 IAM 身分中心的說明JumpCloud文件
所述。 -
將 IAM 身分中心連接器與您要允許存取AWS帳戶的群組建立關聯。
SCIM 考量
以下是將JumpCloud聯合用於 IAM 身分中心時的考量事項。
-
只有與中的「AWS單一登入」連接器相關聯的群組才JumpCloud會與 SCIM 同步處理。
-
只能同步一個電話號碼屬性,預設值為「公司電話」。
-
JumpCloud目錄中的使用者必須將名字和姓氏設定為透過 SCIM 同步至 IAM 身分中心。
-
如果 IAM 身分中心中的使用者已停用,但仍在中啟用,則屬性仍會同步JumpCloud。
-
您可以取消勾選連接器中的 [啟用使用者群組和群組成員資格的管理],選擇僅針對使用者資訊啟用 SCIM 同步。
-
如果 Identity Center 目錄中有具有相同使用者名稱和電子郵件的現有使用者,則會覆寫該使用者並與來自JumpCloud的 SCIM 同步處理。
步驟 1:在 IAM 身分中心啟用佈建
在第一個步驟中,您可以使用 IAM 身分中心主控台啟用自動佈建。
在 IAM 身分中心啟用自動佈建
-
完成必要條件後,請開啟 IAM 身分中心主控台
。 -
在左側導覽窗格中選擇 [設定]。
-
在 [設定] 頁面上,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM 身分中心啟用自動佈建,並顯示必要的 SCIM 端點和存取權杖資訊。
-
在「輸入自動佈建」對話方塊中,複製下列選項的每個值。稍後在 IdP 中配置佈建時,您將需要貼上這些內容。
SCIM 端點
訪問令牌
-
選擇關閉。
現在您已在 IAM 身分中心主控台中設定佈建,您需要使用 JumpCloud IAM 身分中心連接器完成剩餘的工作。下列程序將說明這些步驟。
步驟 2:配置佈建 JumpCloud
使用 JumpCloud IAM 身分中心連接器中的下列程序,以啟用 IAM 身分中心進行佈建。此程序假設您已將 JumpCloud IAM 身分中心連接器新增至JumpCloud管理入口網站和群組。如果您尚未這麼做,請參閱必要條件,然後完成此程序以設定 SCIM 佈建。
若要在中設定佈建 JumpCloud
-
開啟您在為 JumpCloud (使用者身份驗證 > JumpCloud IAM 身分中心) 設定 SAML 時安裝的 IAM 身分中心連接器。請參閱 必要條件。
-
選擇 IAM 身分中心連接器,然後選擇第三個索引標籤身分管理。
-
如果您想要群組進行 SCIM 同步,請核取此應用程式中啟用使用者群組和群組成員資格管理的核取方塊。
-
點擊配置。
-
在先前的程序中,您會在 IAM 身分中心複製 SCIM 端點值。將該值貼到 JumpCloud IAM 身分中心連接器的「基本 URL」欄位中。確保刪除 URL 末尾的正斜線。
-
在上一個程序中,您將存取權杖值複製到 IAM 身分中心。將該值貼到 JumpCloud IAM 身分中心連接器的 [權杖金鑰] 欄位中。
-
按一下啟用以套用組態。
-
確定您已啟動單一登入旁邊有綠色指示燈。
-
移至第四個索引標籤使用者群組,並勾選您要使用 SCIM 佈建的群組。
-
完成後,請單擊底部的「保存」。
-
若要驗證使用者是否已成功同步至 IAM 身分中心,請返回 IAM 身分中心主控台,然後選擇 [使用者]。已同步處理的使用者JumpCloud會顯示在 [使用者] 頁 這些使用者現在可以指派到 IAM 身分中心內的帳戶。
(選用) 步驟 3:在JumpCloud中設定 IAM 身分中心存取控制的使用者屬性
如果您選擇為 JumpCloud IAM 身分中心設定屬性以管理AWS資源存取權,則此為選用程序。您在中定義的屬性JumpCloud會在 SAML 宣告中傳遞至 IAM 身分中心。然後,您可以在 IAM 身分中心建立權限集,以根據傳遞的屬性來管理存取權JumpCloud。
開始此程序之前,您必須先啟用存取控制的屬性功能。如需如何執行此作業的詳細資訊,請參閱啟用和設定存取控制的屬性。
在JumpCloud中設定 IAM 身分中心存取控制的使用者屬性
-
開啟您在為 JumpCloud (使用者身份驗證 > JumpCloud IAM 身分中心) 設定 SAML 時安裝的 IAM 身分中心連接器。
-
選擇 IAM 身分中心連接器。然後,選擇第二個選項卡 IAM 身份中心。
-
在此索引標籤底部,您可以使用「使用者屬性對應」,選擇「新增屬性」,然後執行下列動作:您必須針對要新增以在 IAM Identity Center 中使用的每個屬性執行這些步驟以進行存取控制。
-
在「服務提供屬性名稱」欄位中,輸入「
https://aws.amazon.com/SAML/Attributes/AccessControl:
取代AttributeName
.
為 IAM 身分中心」預期的屬性名稱。例如AttributeName
https://aws.amazon.com/SAML/Attributes/AccessControl:
。Email
-
在「JumpCloud屬性名稱」欄位中,從JumpCloud目錄中選擇使用者屬性。例如,電子郵件(工作)。
-
-
選擇儲存。
(選擇性) 傳遞屬性以進行存取控制
您可以選擇性地使用 IAM 身分中心中的存取控制的屬性功能來傳遞Name
屬性設定為的Attribute
元素https://aws.amazon.com/SAML/Attributes/AccessControl:
。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱 IAM 使用者指南AWS STS中的「傳遞工作階段標籤」。{TagKey}
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue
元素。例如,若要傳遞標籤鍵值配對CostCenter = blue
,請使用下列屬性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute
元素。