本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在OneLogin和 IAM 身分中心之間設定 SCIM 佈建
IAM 身分中心支援使用跨網域身分識別管理 (SCIM) 2.0 版通訊協定的系統,OneLogin將使用者和群組資訊從 IAM 身分中心自動佈建 (同步)。您可以在中設定此連線OneLogin,並使用 IAM 身分中心的 SCIM 端點,以及 IAM 身分中心自動建立的承載權杖。設定 SCIM 同步時,您可OneLogin以在中建立使用者屬性與 IAM 身分中心中指定屬性的對應。這會導致 IAM 身分中心和OneLogin.
下列步驟將逐步說明如何使用 SCIM 通訊協定啟用從 OneLogin IAM 身分中心自動佈建使用者和群組。
注意
在開始部署 SCIM 之前,建議您先檢閱. 使用自動佈建的考量
主題
必要條件
在開始之前,您將需要以下內容:
-
一個OneLogin帳戶。如果您沒有現有帳戶,則可以從該OneLogin網站
獲得免費試用或開發人員帳戶。 -
已啟用 IAM 身分中心的帳戶 (免費
)。如需詳細資訊,請參閱啟用 IAM 身分中心。 -
從您的OneLogin帳戶到 IAM 身分中心的 SAML 連線。如需詳細資訊,請參閱AWS合作夥伴網路部落格AWS上的啟用OneLogin和之間的單一登入
。
步驟 1:在 IAM 身分中心啟用佈建
在第一個步驟中,您可以使用 IAM 身分中心主控台啟用自動佈建。
在 IAM 身分中心啟用自動佈建
-
完成必要條件後,請開啟 IAM 身分中心主控台
。 -
在左側導覽窗格中選擇 [設定]。
-
在 [設定] 頁面上,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM 身分中心啟用自動佈建,並顯示必要的 SCIM 端點和存取權杖資訊。
-
在「輸入自動佈建」對話方塊中,複製下列選項的每個值。稍後當您在 IdP 中配置佈建時,您將需要貼上這些內容。
SCIM 端點
訪問令牌
-
選擇關閉。
您現在已在 IAM 身分中心主控台中設定佈建。現在,您需要使用OneLogin管理控制台執行剩餘的工作,如下列程序所述。
步驟 2:配置佈建 OneLogin
在OneLogin管理主控台中使用下列程序,啟用 IAM 身分中心和 IAM 身分中心應用程式之間的整合。此程序假設您已在OneLogin中設定 SAML 驗證的AWS單一登入應用程式。如果您尚未建立此 SAML 連線,請在繼續之前執行此動作,然後返回此處以完成 SCIM 佈建程序。如需設定 SAML 的詳細資訊OneLogin,請參閱AWS合作夥伴網路部落格AWS上的啟用OneLogin和之間的單一登入
若要在中設定佈建 OneLogin
-
登入OneLogin,然後瀏覽至 [應用程式] > [應用程式]。
-
在 [應用程式] 頁面上,搜尋您先前建立的應用程式,以形成與 IAM 身分中心的 SAML 連線。選擇它,然後從左側導航欄中選擇配置。
-
在先前的程序中,您會在 IAM 身分中心複製 SCIM 端點值。將該值貼到中的「SCIM 基礎 URL」欄位OneLogin。確保您刪除了 URL 末尾的正斜線。此外,在先前的程序中,您會在 IAM 身分中心複製存取權杖值。將該值貼到中的「SCIM 承載權杖」欄位。OneLogin
-
在「API 連線」旁,按一下「啟用」,然後按一下「儲存」以完成設定。
-
在左側導覽列中,選擇佈建。
-
選取 [啟用授權]、[建立使用者]、[刪除使用者] 和 [更新使用者] 的核取方塊,然後選擇 [儲存]。
-
在左側導覽列中,選擇 [使用者]。
-
按一下「更多動作」並選擇「同步登入」。您應該會收到「使用AWS單一登入同步處理使用者」訊息。
-
再按一下 [更多動作],然後選擇 [重新套用權利文件對應] 您應該會收到正在重新套用對應的訊息。
-
此時,佈建程序應該會開始。若要確認這一點,請瀏覽至「活動」>「事件」,然後監視進度。成功的佈建事件以及錯誤應該會出現在事件串流中。
-
若要確認您的使用者和群組是否已成功同步至 IAM 身分中心,請返回 IAM 身分中心主控台,然後選擇 [使用者]。同步處理的使用者OneLogin會顯示在「使用者」頁面上。您也可以在「群組」頁面上檢視已同步處理的群組。
-
若要將使用者變更自動同步至 IAM Identity Center,請導覽至佈建頁面,找到執行此動作前需要管理員核准區段,取消選取建立使用者、刪除使用者和/或更新使用者,然後按一下儲存。
(選用) 步驟 3:在中設定使用者屬性,以OneLogin便在 IAM 身分中心進行存取控制
OneLogin如果您選擇設定要在 IAM 身分中心用來管理AWS資源存取權限的屬性,則此為選用程序。您在中定義的屬性OneLogin會在 SAML 宣告中傳遞至 IAM 身分中心。然後,您將在 IAM 身分中心建立權限集,以根據傳遞的屬性來管理存取權限OneLogin。
開始此程序之前,您必須先啟用此存取控制的屬性功能。如需如何進行該服務的詳細資訊,請參閱啟用和設定存取控制的屬性。
在OneLogin中設定 IAM 身分中心存取控制的使用者屬性
-
登入OneLogin,然後瀏覽至 [應用程式] > [應用程式]。
-
在 [應用程式] 頁面上,搜尋您先前建立的應用程式,以形成與 IAM 身分中心的 SAML 連線。選擇它,然後從左側導航欄中選擇參數。
-
在「必要參數」區段中,針對要在 IAM 身分中心使用的每個屬性執行下列動作:
-
選擇 [+]。
-
在 [欄位名稱] 中
https://aws.amazon.com/SAML/Attributes/AccessControl:,輸入您在 IAM 身分中心預期的屬性名稱,並取代AttributeNameAttributeName為該屬性的名稱。例如https://aws.amazon.com/SAML/Attributes/AccessControl:Department。 -
在 [旗標] 底下,核取 [包含在 SAML 宣告中] 旁邊的方塊,然後選擇 [儲存]。
-
在「值」字段中,使用下拉列表來選擇用OneLogin戶屬性。例如,「部門」。
-
-
選擇儲存。
(選擇性) 傳遞屬性以進行存取控制
您可以選擇性地使用 IAM 身分中心中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱 IAM 使用者指南AWS STS中的「傳遞工作階段標籤」。{TagKey}
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值配對CostCenter = blue,請使用下列屬性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute元素。
故障診斷
以下內容可協助您疑難排解在使用設定自動佈建時可能遇到的一些常見問題OneLogin。
群組未佈建至 IAM 身分中心
依預設,群組可能不會從佈建OneLogin到 IAM 身分中心。請確定您已在中啟用 IAM 身分中心應用程式的群組佈建OneLogin。若要這麼做,請登入OneLogin管理主控台,然後檢查並確認已在 IAM 身分中心應用程式 (IAM 身分中心應用程式 > 參數 > 群組) 的屬性下選取 [包含在使用者佈建] 選項。如需有關如何在中建立群組的詳細資訊OneLogin,包括如何在 SCIM 中將OneLogin角色作為群組同步處理,請參閱OneLogin網站
儘管所有設置都正確,但沒有任何內容從 OneLogin IAM 身份中心同步
除了上述有關管理員核准的注意事項之外,您還需要重新套用權利對應,許多組態變更才會生效。您可以在「應用程式 > 應用程式 > IAM 身分中心應用程式 > 更多動作」 中找到。您可以在「活動」>「事件」下查看大多數動作的OneLogin詳細資料和記錄,包括同步處理事件。
我已刪除或停用中的群組OneLogin,但仍出現在 IAM 身分中心
OneLogin目前不支援群組的 SCIM DELETE 作業,這表示該群組仍然存在於 IAM 身分中心。因此,您必須直接從 IAM 身分中心移除群組,以確保該群組的 IAM 身分中心中的任何對應許可都會遭到移除。
我在 IAM 身份中心中刪除了一個組,而沒有先刪除它OneLogin,現在我遇到了用戶/組同步問題
若要解決此情況,請先確定中沒有任何冗餘群組佈建規則或組態OneLogin。例如,直接指派給應用程式的群組,以及發佈至相同群組的規則。接下來,刪除 IAM 身分中心中的任何不需要的群組。最後OneLogin,在中重新整理權利 (IAM 身分中心應用程式 > 佈建 > 權利),然後重新套用權利對應 (IAM 身分識別中心應用程式 > 更多動作)。若要避免 future 後發生此問題,請先進行變更以停止佈建群組OneLogin,然後從 IAM 身分中心刪除該群組。
