PingOne - AWS IAM Identity Center
必要條件其他考量步驟 1:在IAM身分識別中心啟用佈建步驟 2:配置佈建 PingOne(選用) 步驟 3:在中設定使用者屬性以便在IAM身分識別中心中PingOne進行存取控制(選擇性) 傳遞屬性以進行存取控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

PingOne

IAMIdentity Center 支援透過 (以下稱「Ping」) 將PingOne產品的使用者資訊自動佈建 Ping Identity (同步處理) 至IAM身分識別中心。此佈建使用系統進行跨網域身分識別管理 (SCIM) v2.0 通訊協定。您可以在PingOne使用IAM身分識別中心SCIM端點和存取權杖中設定此連線。當您設定SCIM同步時,您可PingOne以在中建立使用者屬性與 IAM Identity Center 中具名屬性的對應。這會導致IAM身分識別中心和之間的預期屬性相符PingOne。

本指南根據截至 2020 年 10 月PingOne為止。較新版本的步驟可能會有所不同。如需如何針Ping對其他版本的 IAM Identity Center 設定佈建的詳細資訊,請連絡PingOne。本指南還包含一些關於通過配置用戶身份驗證的注意事項SAML。

下列步驟將逐步引導您如何啟用使用者從 IAM Identity Center 自動佈建PingOne使用者使用通SCIM訊協定。

注意

在開始部署之前SCIM,建議您先檢閱使用自動佈建的考量. 然後繼續檢閱下一節中的其他考量。

必要條件

在開始之前,您將需要以下內容:

  • PingOne訂閱或免費試用,同時具有聯合驗證和佈建功能。如需有關如何取得免費試用的詳細資訊,請參閱Ping Identity網站。

  • 啟用IAM身分識別中心的帳戶 (免費)。如需詳細資訊,請參閱啟用IAM身分識別中心

  • PingOneIAM身分識別中心應用程式已新增至PingOne管理入口網站。您可以從應用程式類別目錄取得PingOneIAM身分識別中心PingOne應用程式。如需一般資訊,請參閱從Ping Identity網站上的應用程式類別目錄新增應用程式。

  • 從執行個PingOne體到IAM身分識別中心的SAML連線。PingOneIAMIdentity Center 應用程式新增至您的PingOne系統管理入口網站後,您必須使用該應用程式來設定從PingOne執行個體到IAM身分識別中心的SAML連線。使用兩端的「下載」和「匯入」中繼資料功能,在PingOne和 IAM Identity Center 之間交換中SAML繼資料。如需如何設定此連線的指示,請參閱PingOne文件。

其他考量

以下是有關PingOne此問題的重要考量,可能會影響您使用 IAM Identity Center 實作佈建的方式。

  • 自 2020 年 10 月PingOne起,不支援透過佈建群組SCIM。如需中PingSCIM的群組支援的最新資訊,請連絡PingOne。

  • 在PingOne管理入口網站停用佈建之PingOne後,可以繼續佈建使用者。如果您需要立即終止佈建,請刪除相關的SCIM承載權杖,和/或使用下列方式將外部身分IAM識別提供者佈建至 SCIM在 IAM Identity Center 中停用。

  • 如果從中配置的資料倉庫中移除使用者的屬性PingOne,則不會從 IAM Identity Center 中的對應使用者中移除該屬性。這是PingOne’s佈建程式實作中的已知限制。如果修改屬性,則變更將同步至IAM身分識別中心。

  • 以下是有關您在中SAML設定的重要注意事項PingOne:

    • IAM身分識別中心僅支援emailaddress做為NameId格式。這意味著您需要為中的 SAML_ SUBJECT 映射選擇一個在目錄中PingOne唯一的用戶屬性,並將其格式化為電子郵件/UPN(例如,user@domain.com)。PingOne電子郵件 (Work) 是一個合理的值,可用於PingOne內建目錄的測試組態。

    • 使用電子郵件地址包含 + 字元的使用者可能無法登入IAM身分識別中心,但出現'SAML_215'或之類的錯誤'Invalid input'。PingOne若要修正此問題,請在中PingOne,針對「屬性對應」中的 SAML_ SUBJECT 對應選擇「進階」選項。然後設置名稱 ID 格式發送到 SP:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress在下拉菜單中。

步驟 1:在IAM身分識別中心啟用佈建

在此第一個步驟中,您可以使用IAM身分識別中心主控台來啟用自動佈建。

在IAM身分識別中心中啟用自動佈建

  1. 完成必要條件之後,請開啟IAM身分識別中心主控台

  2. 在左側導覽窗格中選擇 [設定]。

  3. [設定] 頁面上,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的SCIM端點和存取權杖資訊。

  4. 在「輸入自動佈建」對話方塊中,複製下列選項的每個值。稍後在 IdP 中配置佈建時,您將需要貼上這些內容。

    1. SCIM端點-例如,https://scim。us-east-2. 亞馬遜. COM/11111111111-2222-3333-4444-555555555555/scim/V2

    2. 存取權杖-選擇顯示權杖以複製值。

    警告

    這是您唯一可以獲取SCIM端點和訪問令牌的時間。請務必先複製這些值,然後再繼續前進。您將在Okta稍後的教學課程中輸入這些值以配置自動佈建。

  5. 選擇關閉

現在您已在 IAM Identity Center 主控台中設定佈建,您需要使用 I PingOne IAM dentity Center 應用程式完成剩餘的工作。這些步驟將在下列程序中說明。

步驟 2:配置佈建 PingOne

使用PingOneIAM身分識別中心應用程式中的下列程序,以啟用IAM身分識別中心進行佈建。此程序假設您已將 PingOne IAM Identity Center 應用程式新增至您的PingOne系統管理入口網站。如果您尚未這樣做,請參閱必要條件,然後完成此程序來配置SCIM佈建。

若要在中設定佈建 PingOne

  1. 開啟您在設定 PingOne (應用程 > 我的應用程式) 時所安裝SAML的 PingOne IAM Identity Center 應用程式。請參閱 必要條件

  2. 捲動至頁面底部。在「使用者啟動設定」下,選擇完整連結以導覽至連線的使用者啟動設定組態。

  3. 在 [啟動設定指示] 頁面上,選擇 [繼續下一步]。

  4. 在先前的程序中,您已複製IAM身分識別中心中的SCIM端點值。將該值貼到PingOneIAM身分識別中心應用程式中的SCIMURL欄位中。此外,在先前的程序中,您複製IAM身分識別中心中的存取權杖值。將該值貼到PingOneIAM身分識別中心應用程式中的 ACCESS_ TOKEN 欄位中。

  5. 對於 REMOVE_ ACTION,請選擇「已停用」或「已刪除」(如需詳細資訊,請參閱頁面上的說明文字)。

  6. 在「屬性對應」頁面上,依照本頁面其他考量先前的指示,選擇要用於 SAML_ SUBJECT (NameId) 宣告的值。然後選擇「繼續下一步」。

  7. 在 [PingOne應用程式自訂-IAM 身分識別中心] 頁面上,進行任何所需的自訂變更 (選用),然後按一下繼續進行下一步

  8. 在「群組存取」頁面上,選擇包含您要啟用用於佈建和 IAM Identity Center 單一登入之使用者的群組。選擇「繼續下一步」。

  9. 捲動至頁面底部,然後選擇完成以開始佈建。

  10. 若要確認使用者是否已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇 [使用者]。同步處理的使用者PingOne將顯示在 [使用者] 頁面上。這些使用者現在可以指派給IAM身分識別中心內的帳戶和應用程式。

    請記住,PingOne不支援透過佈建群組或群組成員資SCIM格。聯繫以Ping獲取更多信息。

(選用) 步驟 3:在中設定使用者屬性以便在IAM身分識別中心中PingOne進行存取控制

PingOne如果您選擇配置 IAM Identity Center 的屬性以管理對 AWS 資源的存取,則此為選用程序。您在中定義的屬性會PingOne在SAML宣告中傳遞至IAM身分識別中心。然後,您可以在 IAM Identity Center 中建立權限集,以根據您傳遞的屬性來管理存取權限PingOne。

開始此程序之前,必須先啟用此存取控制的屬性功能。如需如何進行該服務的詳細資訊,請參閱啟用和設定存取控制的屬性

在中設定使用者屬性以在IAM身分識別中心PingOne進行存取控制

  1. 開啟您在設定 PingOne (應用程式 > 我的應用程式) 時所安裝SAML的 PingOne IAM Identity Center 應用程式

  2. 選擇編輯,然後選擇繼續下一步,直到您進入「屬性對應」頁面。

  3. 在 [屬性對應] 頁面上,選擇 [新增屬性],然後執行下列動作。您必須針對要新增以在IAM身分識別中心用於存取控制的每個屬性執行這些步驟。

    1. 在「應用程式屬性」欄位中,輸入https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName。Replace (取代) AttributeName 使用您在IAM身分識別中心預期的屬性名稱。例如:https://aws.amazon.com/SAML/Attributes/AccessControl:Email

    2. Identity Bridge 屬性或常值欄位中,從PingOne目錄中選擇使用者屬性。例如,電子郵件(工作)

  4. 選擇 [下一步] 幾次,然後選擇 [完成]。

(選擇性) 傳遞屬性以進行存取控制

您可以選擇性地使用 IAM Identity Center 中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素允許您將屬性作為SAML斷言中的會話標籤傳遞。如需有關工作階段標籤的詳細資訊,請參閱IAM使用指南 AWS STS中的〈傳遞工作階段標籤

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值配對CostCenter = blue,請使用下列屬性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute元素。