PingOne - AWS IAM Identity Center
VoraussetzungenÜberlegungenSchritt 1: Aktivieren Sie die Bereitstellung im IAM Identity CenterSchritt 2: Konfigurieren Sie die Bereitstellung in PingOne(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute PingOne für die Zugriffskontrolle in IAM Identity Center(Optional) Übergabe von Attributen für die ZugriffskontrolleFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

PingOne

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus dem PingOne Produkt Ping Identity (im Folgenden „Ping“) in IAM Identity Center. Bei dieser Bereitstellung wird das SCIM-Protokoll (System for Cross-Domain Identity Management) v2.0 verwendet. Sie konfigurieren diese Verbindung PingOne mithilfe Ihres IAM Identity Center SCIM-Endpoints und Ihres Zugriffstokens. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute PingOne zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. PingOne

In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern von PingOne bis zum IAM Identity Center aktivieren.

Anmerkung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. Überlegungen zur Verwendung der automatischen Bereitstellung Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.

Voraussetzungen

Bevor Sie beginnen können, benötigen Sie Folgendes:

  • Ein PingOne Abonnement oder eine kostenlose Testversion mit föderierten Authentifizierungs- und Bereitstellungsfunktionen. Weitere Informationen darüber, wie Sie eine kostenlose Testversion erhalten, finden Sie auf der Ping IdentityWebsite.

  • Ein IAM Identity Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAM Identity Center aktivieren.

  • Die PingOne IAM Identity Center-Anwendung wurde Ihrem PingOne Admin-Portal hinzugefügt. Sie können die PingOne IAM Identity Center-Anwendung aus dem PingOne Anwendungskatalog abrufen. Allgemeine Informationen finden Sie unter Hinzufügen einer Anwendung aus dem Anwendungskatalog auf der Ping Identity Website.

  • Eine SAML-Verbindung von Ihrer PingOne Instance zum IAM Identity Center. Nachdem die PingOne IAM Identity Center-Anwendung zu Ihrem PingOne Admin-Portal hinzugefügt wurde, müssen Sie sie verwenden, um eine SAML-Verbindung von Ihrer PingOne Instance zum IAM Identity Center zu konfigurieren. Verwenden Sie die Funktion „Metadaten herunterladen“ und „Importieren“ an beiden Enden, um SAML-Metadaten zwischen PingOne und IAM Identity Center auszutauschen. Anweisungen zur Konfiguration dieser Verbindung finden Sie in der PingOne Dokumentation.

  • Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und AWS-Konten von diesen Regionen aus zu ermöglichen. Weitere Details finden Sie unter Schritt 3: Aktualisieren Sie das externe IdP-Setup. Weitere Informationen finden Sie in der PingOne Dokumentation.

Überlegungen

Im Folgenden finden Sie wichtige ÜberlegungenPingOne, die sich darauf auswirken können, wie Sie die Bereitstellung mit IAM Identity Center implementieren.

  • PingOneunterstützt die Bereitstellung von Gruppen über SCIM nicht. Wenden Sie sich an, Ping um die neuesten Informationen zur Gruppenunterstützung in SCIM für zu erhalten. PingOne

  • Benutzer können auch PingOne nach der Deaktivierung der Bereitstellung im Admin-Portal weiterhin Provisioning erhalten. PingOne Wenn Sie die Bereitstellung sofort beenden müssen, löschen Sie das entsprechende SCIM-Bearer-Token und deaktivieren Sie es im IAM Identity Center. and/or Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit

  • Wenn ein Attribut für einen Benutzer aus dem in konfigurierten Datenspeicher entfernt wirdPingOne, wird dieses Attribut nicht aus dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung bei der Implementierung von PingOne’s Provisionern. Wenn ein Attribut geändert wird, wird die Änderung mit IAM Identity Center synchronisiert.

  • Im Folgenden finden Sie wichtige Hinweise zu Ihrer SAML-Konfiguration in: PingOne

    • IAM Identity Center unterstützt nur emailaddress als NameId Format. Das bedeutet, dass Sie für Ihre SAML_SUBJECT-Zuordnung in ein Benutzerattribut wählen müssenPingOne, das innerhalb Ihres Verzeichnisses eindeutig ist, einen Wert ungleich Null hat und das als email/UPN (z. B. user@domain.com) formatiert ist. PingOne E-Mail (Arbeit) ist ein sinnvoller Wert für Testkonfigurationen mit dem integrierten Verzeichnis. PingOne

    • Benutzer PingOne mit einer E-Mail-Adresse, die ein +-Zeichen enthält, können sich möglicherweise nicht bei IAM Identity Center anmelden, was zu Fehlern wie 'SAML_215' oder 'Invalid input' führt. Um dieses Problem zu behebenPingOne, wählen Sie in unter Attributzuordnungen die Option Erweitert für die Zuordnung SAML_SUBJECT aus. Legen Sie dann im Drop-down-Menü das Name-ID-Format fest, das an SP: to urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressgesendet werden soll.

Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

Um die automatische Bereitstellung in IAM Identity Center zu aktivieren

  1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

  4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

    1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.

  5. Klicken Sie auf Schließen.

Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mithilfe der PingOne IAM Identity Center-Anwendung ausführen. Diese Schritte werden im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren Sie die Bereitstellung in PingOne

Verwenden Sie das folgende Verfahren in der PingOne IAM Identity Center-Anwendung, um die Bereitstellung mit IAM Identity Center zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die PingOne IAM Identity Center-Anwendung bereits zu Ihrem Admin-Portal hinzugefügt haben. PingOne Falls Sie dies noch nicht getan haben, finden Sie weitere Informationen unter diesem Verfahren zur Voraussetzungen Konfiguration der SCIM-Bereitstellung und führen Sie es anschließend aus.

So konfigurieren Sie die Bereitstellung in PingOne

  1. Öffnen Sie die PingOne IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben PingOne (Anwendungen > Meine Anwendungen). Siehe Voraussetzungen.

  2. Scrollen Sie zum Ende der Seite. Wählen Sie unter Benutzerbereitstellung den vollständigen Link aus, um zur Benutzerbereitstellungskonfiguration Ihrer Verbindung zu gelangen.

  3. Wählen Sie auf der Seite mit den Anweisungen zur Bereitstellung die Option Weiter zum nächsten Schritt aus.

  4. Im vorherigen Verfahren haben Sie den SCIM-Endpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld SCIM-URL in der PingOne IAM Identity Center-Anwendung ein. Außerdem haben Sie im vorherigen Verfahren den Wert des Zugriffstokens in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld ACCESS_TOKEN in der PingOne IAM Identity Center-Anwendung ein.

  5. Wählen Sie für REMOVE_ACTION entweder Deaktiviert oder Gelöscht (weitere Informationen finden Sie im Beschreibungstext auf der Seite).

  6. Wählen Sie auf der Seite „Attributzuordnung“ einen Wert aus, der für die SAML_SUBJECT (NameId) -Assertion verwendet werden soll. Folgen Sie dabei den Anweisungen weiter oben auf dieser Seite. Überlegungen Wählen Sie dann Weiter zum nächsten Schritt.

  7. Nehmen Sie auf der Seite PingOneApp-Anpassung — IAM Identity Center die gewünschten Anpassungsänderungen vor (optional) und klicken Sie auf Weiter zum nächsten Schritt.

  8. Wählen Sie auf der Seite Gruppenzugriff die Gruppen aus, die die Benutzer enthalten, die Sie für die Bereitstellung und das Single Sign-On bei IAM Identity Center aktivieren möchten. Wählen Sie Weiter zum nächsten Schritt.

  9. Scrollen Sie zum Ende der Seite und wählen Sie Fertig stellen, um mit der Bereitstellung zu beginnen.

  10. Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Synchronisierte Benutzer von PingOne werden auf der Seite Benutzer angezeigt. Diese Benutzer können jetzt Konten und Anwendungen in IAM Identity Center zugewiesen werden.

    Denken Sie daran, dass die Bereitstellung von Gruppen oder Gruppenmitgliedschaften über SCIM PingOne nicht unterstützt wird. Kontaktieren Sie uns Ping für weitere Informationen.

(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute PingOne für die Zugriffskontrolle in IAM Identity Center

Dies ist ein optionales Verfahren, PingOne wenn Sie Attribute für IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die von Ihnen definierten Attribute werden in PingOne einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. PingOne

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

Um Benutzerattribute PingOne für die Zugriffskontrolle im IAM Identity Center zu konfigurieren

  1. Öffnen Sie die PingOne IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben PingOne (Anwendungen > Meine Anwendungen).

  2. Wählen Sie Bearbeiten und dann Weiter zum nächsten Schritt, bis Sie zur Seite „Attributzuordnungen“ gelangen.

  3. Wählen Sie auf der Seite „Attributzuordnungen“ die Option Neues Attribut hinzufügen aus, und gehen Sie dann wie folgt vor. Sie müssen diese Schritte für jedes Attribut ausführen, das Sie zur Verwendung in IAM Identity Center für die Zugriffskontrolle hinzufügen möchten.

    1. Geben https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName Sie im Feld Anwendungsattribut den Wert ein. AttributeNameErsetzen Sie es durch den Namen des Attributs, das Sie in IAM Identity Center erwarten. Beispiel, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. Wählen Sie im Feld Identity Bridge-Attribut oder Literalwert Benutzerattribute aus Ihrem PingOne Verzeichnis aus. Zum Beispiel E-Mail (Arbeit).

  4. Wählen Sie einige Male Weiter und dann Fertig stellen.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Fehlerbehebung

Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit PingOne finden Sie in den folgenden Abschnitten:

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit helfen AWS:

  • AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

  • AWS Support- Holen Sie sich technischen Support