Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichtung der SCIM-Bereitstellung zwischen OneLogin und IAM Identity Center
<a name="onelogin-idp"></a>

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus dem OneLogin IAM Identity Center mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0. Weitere Informationen finden Sie unter [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).

**Anmerkung**  
OneLoginunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) in der Anwendung nicht. URLs AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die [Unterstützung mehrerer Regionen](multi-region-iam-identity-center.md) in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre Hauptregion wird weiterhin normal funktionieren. Wir empfehlen, dass Sie mit Ihrem IdP-Anbieter zusammenarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).

Sie konfigurieren diese Verbindung inOneLogin, indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute OneLogin zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. OneLogin 

In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern und Gruppen von OneLogin zu IAM Identity Center aktivieren.

**Anmerkung**  
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations)

**Topics**
+ [Voraussetzungen](#onelogin-prereqs)
+ [Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center](#onelogin-step1)
+ [Schritt 2: Konfigurieren Sie die Bereitstellung in OneLogin](#onelogin-step2)
+ [(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center](#onelogin-step3)
+ [(Optional) Übergabe von Attributen für die Zugriffskontrolle](#onelogin-passing-abac)
+ [Fehlerbehebung](#onelogin-troubleshooting)

## Voraussetzungen
<a name="onelogin-prereqs"></a>

Bevor Sie beginnen können, benötigen Sie Folgendes:
+ Ein OneLogin Konto. Wenn Sie noch kein Konto haben, können Sie auf der [OneLoginWebsite möglicherweise ein kostenloses Test- oder Entwicklerkonto beantragen](https://www.onelogin.com/free-trial).
+ [Ein IAM Identity Center-fähiges Konto (kostenlos).](https://aws.amazon.com/single-sign-on/) Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Eine SAML-Verbindung von Ihrem OneLogin Konto zum IAM Identity Center. Weitere Informationen finden Sie unter [Aktivieren von Single Sign-On zwischen OneLogin und AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) im AWS Partner Network-Blog.

## Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center
<a name="onelogin-step1"></a>

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

**Um die automatische Bereitstellung in IAM Identity Center zu aktivieren**

1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.

1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.

1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

   1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**  
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren. 

1. Klicken Sie auf **Schließen**.

Sie haben jetzt die Bereitstellung in der IAM Identity Center-Konsole eingerichtet. Jetzt müssen Sie die verbleibenden Aufgaben mithilfe der OneLogin Admin-Konsole ausführen, wie im folgenden Verfahren beschrieben.

## Schritt 2: Konfigurieren Sie die Bereitstellung in OneLogin
<a name="onelogin-step2"></a>

Verwenden Sie das folgende Verfahren in der OneLogin Admin-Konsole, um die Integration zwischen IAM Identity Center und der IAM Identity Center-App zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die AWS Single Sign-On-Anwendung bereits OneLogin für die SAML-Authentifizierung konfiguriert haben. Wenn Sie diese SAML-Verbindung noch nicht hergestellt haben, tun Sie dies, bevor Sie fortfahren, und kehren Sie dann hierher zurück, um den SCIM-Bereitstellungsprozess abzuschließen. Weitere Informationen zur Konfiguration von SAML mit OneLogin finden Sie unter [Aktivieren von Single Sign-On zwischen OneLogin und AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) im Partner Network-Blog. AWS 

**So konfigurieren Sie die Bereitstellung in OneLogin**

1. Melden Sie sich an OneLogin und navigieren Sie dann zu **Anwendungen > Anwendungen**. 

1. Suchen Sie auf der Seite **Anwendungen** nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie sie aus und wählen Sie dann im Navigationsbereich **Konfiguration** aus.

1. Im vorherigen Verfahren haben Sie den **SCIM-Endpunktwert** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **SCIM-Basis-URL** in ein. OneLogin Außerdem haben Sie im vorherigen Verfahren den Wert des **Zugriffstokens** in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld **SCIM-Bearer-Token unter ein**. OneLogin

1. Klicken Sie neben **API-Verbindung** auf **Aktivieren** und dann auf **Speichern**, um die Konfiguration abzuschließen.

1. Wählen Sie im Navigationsbereich **Provisioning** (Bereitstellung) aus.

1. Aktivieren Sie die Kontrollkästchen für **Bereitstellung aktivieren**, **Benutzer erstellen, Benutzer** **löschen und Benutzer** **aktualisieren** und wählen Sie dann **Speichern** aus.

1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.

1. Klicken Sie auf **Weitere Aktionen** und wählen Sie **Logins synchronisieren** aus. Sie sollten die Meldung *Benutzer mit AWS Single Sign-On synchronisieren* erhalten.

1. Klicken Sie erneut auf **Weitere Aktionen** und wählen Sie dann Berechtigungszuordnungen **erneut anwenden** aus. Sie sollten die Meldung „*Zuordnungen* werden erneut angewendet“ erhalten.

1. Zu diesem Zeitpunkt sollte der Bereitstellungsprozess beginnen. Um dies zu bestätigen, navigieren Sie zu **Aktivität > Ereignisse** und überwachen Sie den Fortschritt. Erfolgreiche Bereitstellungsereignisse sowie Fehler sollten im Event-Stream erscheinen.

1. **Um zu überprüfen, ob Ihre Benutzer und Gruppen alle erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus.** Ihre synchronisierten Benutzer von OneLogin werden auf der Seite **Benutzer** angezeigt. Sie können Ihre synchronisierten Gruppen auch auf der **Gruppenseite** einsehen.

1. **Um Benutzeränderungen automatisch mit IAM Identity Center zu synchronisieren, navigieren Sie zur Seite **Provisioning**, suchen Sie den Abschnitt **Administratorgenehmigung erforderlich, bevor diese Aktion ausgeführt wird**, deaktivieren Sie die Optionen **Benutzer erstellen, Benutzer** **löschen, Benutzer and/or ** **aktualisieren** und klicken Sie auf Speichern.**

## (Optional) Schritt 3: Konfigurieren Sie Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center
<a name="onelogin-step3"></a>

Dies ist ein optionales Verfahren für die OneLogin Konfiguration von Attributen, die Sie in IAM Identity Center verwenden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren, OneLogin werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. OneLogin

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion aktivieren. Weitere Information dazu finden Sie unter [Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle](configure-abac.md).

**Um Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center zu konfigurieren**

1. Melden Sie sich an OneLogin und navigieren Sie dann zu **Anwendungen > Anwendungen**.

1. Suchen Sie auf der Seite **Anwendungen** nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie sie aus und klicken Sie dann im Navigationsbereich auf **Parameter**. 

1. Gehen Sie im Abschnitt **Erforderliche Parameter** für jedes Attribut, das Sie in IAM Identity Center verwenden möchten, wie folgt vor:

   1. Wählen Sie **\$1**.

   1. Geben Sie im **Feld Feldname** den Namen des Attributs ein`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, das Sie in IAM Identity Center erwarten, und ersetzen **AttributeName** Sie es durch. Beispiel, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`. 

   1. **Aktivieren Sie unter **Flags** das Kontrollkästchen neben **In SAML-Assertion einbeziehen** und wählen Sie Speichern aus.**

   1. Verwenden Sie im Feld **Wert** die Dropdownliste, um die OneLogin Benutzerattribute auszuwählen. Zum Beispiel **Abteilung**. 

1. Wählen Sie **Speichern**.

## (Optional) Übergabe von Attributen für die Zugriffskontrolle
<a name="onelogin-passing-abac"></a>

Sie können optional die [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) Funktion in IAM Identity Center verwenden, um ein `Attribute` Element zu übergeben, dessen `Name` Attribut auf `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie [AWS STS im *IAM-Benutzerhandbuch* unter Sitzungs-Tags übergeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html).

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das `AttributeValue`-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar `CostCenter = blue` für das Tag zu übergeben.

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates `Attribute` Element hinzu. 

## Fehlerbehebung
<a name="onelogin-troubleshooting"></a>

Im Folgenden können Sie einige häufig auftretende Probleme beheben, die bei der Einrichtung der automatischen Bereitstellung auftreten können. OneLogin

**Gruppen werden nicht für IAM Identity Center bereitgestellt**

Standardmäßig können Gruppen nicht vom IAM Identity Center aus OneLogin bereitgestellt werden. Stellen Sie sicher, dass Sie die Gruppenbereitstellung für Ihre IAM Identity Center-Anwendung in aktiviert haben. OneLogin Melden Sie sich dazu bei der OneLogin Admin-Konsole an und stellen Sie sicher, dass **in den Eigenschaften der IAM Identity Center-Anwendung (**IAM Identity Center-Anwendung > Parameter >** Gruppen) die Option In die Benutzerverwaltung einbeziehen** ausgewählt ist. [Weitere Informationen zum Erstellen von Gruppen inOneLogin, einschließlich der Synchronisation von OneLogin Rollen als Gruppen in SCIM, finden Sie auf der Website. OneLogin](https://onelogin.service-now.com/support)

**Es wird nichts vom OneLogin IAM Identity Center synchronisiert, obwohl alle Einstellungen korrekt sind**

Zusätzlich zu dem obigen Hinweis zur Genehmigung durch den Administrator müssen Sie die **Berechtigungszuordnungen erneut anwenden**, damit viele Konfigurationsänderungen wirksam werden. Dies finden Sie unter **Anwendungen > Anwendungen > IAM Identity Center-Anwendung >** Weitere Aktionen. Details und Protokolle zu den meisten AktionenOneLogin, einschließlich Synchronisierungsereignissen, finden Sie unter **Aktivität > Ereignisse**.

**Ich habe eine Gruppe gelöscht oder deaktiviertOneLogin, aber sie wird immer noch in IAM Identity Center angezeigt**

OneLoginunterstützt derzeit den SCIM DELETE-Vorgang für Gruppen nicht, was bedeutet, dass die Gruppe weiterhin in IAM Identity Center existiert. Sie müssen die Gruppe daher direkt aus IAM Identity Center entfernen, um sicherzustellen, dass alle entsprechenden Berechtigungen in IAM Identity Center für diese Gruppe entfernt werden.

**Ich habe eine Gruppe in IAM Identity Center gelöscht, ohne sie vorher zu löschen, OneLogin und jetzt habe ich Synchronisierungsprobleme user/group **

Um dieses Problem zu beheben, stellen Sie zunächst sicher, dass Sie keine redundanten Regeln oder Konfigurationen für die Gruppenbereitstellung eingerichtet haben. OneLogin Zum Beispiel eine Gruppe, die einer Anwendung direkt zugewiesen ist, zusammen mit einer Regel, die für dieselbe Gruppe veröffentlicht. Löschen Sie anschließend alle unerwünschten Gruppen in IAM Identity Center. **Aktualisieren Sie** abschließend die Berechtigungen (**IAM Identity Center App > Provisioning > Berechtigungen) und wenden Sie dann die Berechtigungszuordnungen** **erneut an (IAM Identity Center App > Weitere Aktionen**). OneLogin Um dieses Problem in future zu vermeiden, nehmen Sie zunächst die Änderung vor, um die Bereitstellung der Gruppe in zu beendenOneLogin, und löschen Sie dann die Gruppe aus IAM Identity Center.