PingFederate - AWS IAM Identity Center
Requisitos previosConsideracionesPaso 1: habilite el aprovisionamiento en IAM Identity CenterPaso 2: configure el aprovisionamiento en PingFederate(Opcional) Paso 3: configure los atributos de usuario en para el control de acceso en IAM Identity Center(Opcional) Paso de atributos para el control de accesoSolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

PingFederate

IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde PingFederate por parte de Ping Identity (de ahora en adelante “Ping”) a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Esta conexión se configura en PingFederate mediante el punto de conexión SCIM y el token de acceso de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en PingFederate con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y PingFederate.

Esta guía se basa en la versión 10.2 de PingFederate. Los pasos para las versiones más recientes pueden variar. Póngase en contacto con Ping para obtener más información sobre cómo configurar el aprovisionamiento en IAM Identity Center para otras versiones de PingFederate.

Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos de PingFederate a IAM Identity Center mediante el protocolo SCIM.

nota

Antes de comenzar a implementar SCIM, le recomendamos que revise las Consideraciones para utilizar el aprovisionamiento automático. A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.

Requisitos previos

Antes de comenzar, necesitará lo siguiente:

  • Un servidor de PingFederate que funcione. Si no tiene una cuenta existente en el server de PingFederate, es posible que pueda obtener una cuenta de prueba gratuita o una cuenta de desarrollador en el sitio web de Ping Identity. La versión de prueba incluye licencias y descargas de software y la documentación asociada.

  • Una copia del software IAM Identity Center Connector de PingFederate instalado en su servidor de PingFederate. Para obtener más información sobre cómo obtener este software, consulte IAM Identity Center Connector en el sitio web de Ping Identity.

  • Una cuenta habilitada para IAM Identity Center (gratuita). Para más información, consulte Activar IAM Identity Center.

  • Una conexión SAML desde su instancia de PingFederate al IAM Identity Center. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingFederate. En resumen, la ruta recomendada es utilizar el conector de IAM Identity Center para configurar el “SSO del navegador” en PingFederate y utilizar las características de “descarga” e “importación” de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingFederate y IAM Identity Center.

Consideraciones

Las siguientes son consideraciones importantes sobre PingFederate que pueden afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.

  • Si se elimina un atributo de un usuario en PingFederate, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en la implementación del aprovisionador de PingFederate’s. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincroniza con IAM Identity Center.

Paso 1: habilite el aprovisionamiento en IAM Identity Center

En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.

Cómo habilitar el aprovisionamiento automático en IAM Identity Center

  1. Una vez que haya completado los requisitos previos, abra la consola de IAM Identity Center.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

  4. En el cuadro de diálogo Aprovisionamiento automático de entrada, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

    1. Punto de conexión de SCIM: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.

  5. Seleccione Cerrar.

Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes mediante la consola administrativa de PingFederate. Los pasos se describen en el siguiente procedimiento.

Paso 2: configure el aprovisionamiento en PingFederate

Utilice el siguiente procedimiento en el portal de administración de PingFederate para habilitar la integración entre IAM Identity Center y la aplicación IAM Identity Center. En este procedimiento, se presupone que ya ha instalado el software del conector de IAM Identity Center. Si aún no lo ha hecho, consulte los Requisitos previos y complete este procedimiento para configurar el aprovisionamiento de SCIM.

importante

Si su servidor de PingFederate no se ha configurado previamente para el aprovisionamiento de SCIM saliente, es posible que deba realizar un cambio en el archivo de configuración para habilitar el aprovisionamiento. Para obtener más información, consulte la documentación de Ping. En resumen, debe modificar la configuración de pf.provisioner.mode del archivo pingfederate-<version>/pingfederate/bin/run.properties a un valor distinto a OFF (que es el predeterminado) y reiniciar el servidor si se está ejecutando actualmente. Por ejemplo, puede utilizar STANDALONE si actualmente no tiene una configuración de alta disponibilidad con PingFederate.

Cómo configurar el aprovisionamiento en PingFederate

  1. Inicie sesión en la consola administrativa de PingFederate.

  2. Seleccione Aplicaciones en la parte superior de la página y, a continuación, haga clic en SP Connections.

  3. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.

  4. Seleccione el tipo de conexión en los encabezados de navegación oscuros situados en la parte superior de la página. Debería ver que el SSO del navegador ya estaba seleccionado en su configuración anterior de SAML. Si no es así, primero debe completar esos pasos antes de continuar.

  5. Seleccione la casilla de verificación Aprovisionamiento saliente, elija IAM Identity Center Cloud Connector como tipo y haga clic en Guardar. Si IAM Identity CenterCloud Connector no aparece como opción, asegúrese de haber instalado IAM Identity Center Cloud Connector y de haber reiniciado el servidor de PingFederate.

  6. Haga clic en Siguiente varias veces hasta llegar a la página Aprovisionamiento saliente y, a continuación, haga clic en el botón Configurar aprovisionamiento.

  7. En el procedimiento anterior, copió el valor del punto de conexión de SCIM en IAM Identity Center. Pegue ese valor en el campo URL de SCIM en la consola de PingFederate. En el procedimiento anterior, copió el valor del token de acceso en IAM Identity Center. Pegue ese valor en el campo Token de acceso en la consola de PingFederate. Haga clic en Guardar.

  8. En la página Configuración del canal (Configurar canal), haga clic en Crear.

  9. Introduzca un nombre del canal para este nuevo canal de aprovisionamiento (por ejemplo AWSIAMIdentityCenterchannel) y haga clic en Siguiente.

  10. En la página Origen, elija el almacén de datos activo que desee utilizar para la conexión al IAM Identity Center y haga clic en Siguiente.

    nota

    Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.

  11. En la página Configuración de origen, confirme que todos los valores son correctos para la instalación y, a continuación, haga clic en Siguiente.

  12. En la página Ubicación de origen, introduzca la configuración adecuada para su origen de datos y, a continuación, haga clic en Siguiente. Por ejemplo, si utiliza Active Directory como directorio LDAP:

    1. Introduzca el DN base de su bosque de AD (por ejemplo, DC=myforest,DC=mydomain,DC=com).

    2. En Usuarios > DN de grupo, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. Si no existe ese grupo único, créelo en AD, vuelva a esta configuración y, a continuación, introduzca el DN correspondiente.

    3. Especifique si desea buscar subgrupos (Búsqueda anidada) y cualquier filtro LDAP necesario.

    4. En Usuarios > DN de grupo, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. En muchos casos, puede ser el mismo DN que especificó en la sección Usuarios. Introduzca los valores búsqueda anidada y filtro según sea necesario.

  13. En la página Asignación de atributos, asegúrese de lo siguiente y, a continuación, haga clic en Siguiente:

    1. El campo userName debe asignarse a un atributo con formato de correo electrónico (user@domain.com). También debe coincidir con el valor que el usuario utilizará para iniciar sesión en Ping. Este valor, a su vez, se rellena en la notificación del nameId de SAML durante la autenticación federada y se utiliza para hacer coincidir con el usuario de IAM Identity Center. Por ejemplo, cuando utilice Active Directory, puede optar por especificar el UserPrincipalName como userName.

    2. Los demás campos con un sufijo * deben asignarse a atributos que no sean nulos para los usuarios.

  14. En la página Activación y resumen, defina el estado del canal como Activo para que la sincronización comience inmediatamente después de guardar la configuración.

  15. Confirme que todos los valores de configuración de la página son correctos y haga clic en Listo.

  16. En la página Administrar canales, haga clic en Guardar.

  17. En este punto, comienza el aprovisionamiento. Para confirmar la actividad, puede ver el archivo provisioner.log, que se encuentra de forma predeterminada en el directorio pingfederate-<version>/pingfederate/log de su servidor de PingFederate.

  18. Para comprobar que los usuarios y los grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione Usuarios. Los usuarios sincronizados de PingFederate aparecerán en la página de Usuarios. También puede ver sus grupos sincronizados en la página Grupos.

(Opcional) Paso 3: configure los atributos de usuario en para el control de acceso en IAM Identity Center

Este es un procedimiento opcional para PingFederate, en caso de que quiera configurar atributos para que IAM Identity Center administre el acceso a sus recursos de AWS. Los atributos que defina en PingFederate se transfieren en una aserción de SAML a IAM Identity Center. A continuación, deberá crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde PingFederate.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

Cómo configurar atributos de usuario utilizados en PingFederate para el control de acceso en IAM Identity Center

  1. Inicie sesión en la consola administrativa de PingFederate.

  2. Seleccione Aplicaciones en la parte superior de la página y, a continuación, haga clic en SP Connections.

  3. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.

  4. Seleccione el tipo de conexión en los encabezados de navegación oscuros situados en la parte superior de la página. A continuación, haga clic en Configurar el SSO del navegador.

  5. En la página Configurar el SSO del navegador, seleccione Creación de aserciones y, a continuación, haga clic en Configurar creación de aserciones.

  6. En la página Configurar la creación de aserciones, elija Contrato de atributos.

  7. En la página Contrato de atributos, en la sección Ampliar el contrato, añada un nuevo atributo siguiendo estos pasos:

    1. En el cuadro de texto, introduzca https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, sustituya AttributeName por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. En Formato de nombre de atributo, elija urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Elija Añadir, y a continuación, elija Siguiente.

  8. En la página de asignación de fuentes de autenticación, elija la instancia de adaptador configurada con su aplicación.

  9. En la página Cumplimiento del contrato de atributo, elija el origen (almacén de datos) y el valor (atributo del almacén de datos) para el contrato de atributo https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    nota

    Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.

  10. Haga clic en Siguiente varias veces hasta llegar a la página de activación y resumen y, a continuación, haga clic en Guardar.

(Opcional) Paso de atributos para el control de acceso

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Solución de problemas

Para saber cómo solucionar problemas generales de SCIM y SAML con PingFederate, consulte las secciones siguientes:

Los recursos relacionados siguientes pueden ayudarle a solucionar problemas cuando trabaje con AWS:

  • AWS re:Post - busque preguntas frecuentes y enlaces a otros recursos para ayudarle a solucionar problemas.

  • AWS Support - obtenga soporte técnico