Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# PingFederate
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde PingFederate por parte de Ping Identity (de ahora en adelante “Ping”) a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).
Esta conexión se configura en PingFederate mediante el punto de conexión SCIM y el token de acceso de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en PingFederate con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y PingFederate.
Esta guía se basa en la versión 10.2 de PingFederate. Los pasos para las versiones más recientes pueden variar. Póngase en contacto con Ping para obtener más información sobre cómo configurar el aprovisionamiento en IAM Identity Center para otras versiones de PingFederate.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos de PingFederate a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
**Topics**
+ [Requisitos previos](#pingfederate-prereqs)
+ [Consideraciones](#pingfederate-considerations)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#pingfederate-step1)
+ [Paso 2: configure el aprovisionamiento en PingFederate](#pingfederate-step2)
+ [(Opcional) Paso 3: Configurar los atributos de usuario en erate para el control de acceso en PingFed el IAM Identity Center](#pingfederate-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#pingfederate-passing-abac)
+ [Resolución de problemas](#pingfederate-troubleshooting)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Un servidor de PingFederate que funcione. Si no tiene una cuenta existente en el server de PingFederate, es posible que pueda obtener una cuenta de prueba gratuita o una cuenta de desarrollador en el sitio web de [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). La versión de prueba incluye licencias y descargas de software y la documentación asociada.
+ Una copia del software IAM Identity Center Connector de PingFederate instalado en su servidor de PingFederate. Para obtener más información sobre cómo obtener este software, consulte [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) en el sitio web de Ping Identity.
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una conexión SAML desde su instancia de PingFederate al IAM Identity Center. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingFederate. En resumen, la ruta recomendada es utilizar el conector de IAM Identity Center para configurar el “SSO del navegador” en PingFederate y utilizar las características de “descarga” e “importación” de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingFederate y IAM Identity Center.
+ Si ha replicado el Centro de identidades de IAM en regiones adicionales, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y Cuentas de AWS desde esas regiones. Para obtener más información, consulte [Paso 3: Actualizar la configuración del IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte la PingFederate documentación para obtener más información.
## Consideraciones
Las siguientes son consideraciones importantes sobre PingFederate que pueden afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.
+ Si se elimina un atributo de un usuario en PingFederate, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en la implementación del aprovisionador de PingFederate’s. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincroniza con IAM Identity Center.
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes mediante la consola administrativa de PingFederate. Los pasos se describen en el siguiente procedimiento.
## Paso 2: configure el aprovisionamiento en PingFederate
Utilice el siguiente procedimiento en el portal de administración de PingFederate para habilitar la integración entre IAM Identity Center y la aplicación IAM Identity Center. En este procedimiento, se presupone que ya ha instalado el software del conector de IAM Identity Center. Si aún no lo ha hecho, consulte los [Requisitos previos](#pingfederate-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM.
**importante**
Si su servidor de PingFederate no se ha configurado previamente para el aprovisionamiento de SCIM saliente, es posible que deba realizar un cambio en el archivo de configuración para habilitar el aprovisionamiento. Para obtener más información, consulte la documentación de Ping. En resumen, debe modificar la configuración de `pf.provisioner.mode` del archivo **pingfederate-/pingfederate/bin/run.properties** a un valor distinto a `OFF` (que es el predeterminado) y reiniciar el servidor si se está ejecutando actualmente. Por ejemplo, puede utilizar `STANDALONE` si actualmente no tiene una configuración de alta disponibilidad con PingFederate.
**Cómo configurar el aprovisionamiento en PingFederate**
1. Inicie sesión en la consola administrativa de PingFederate.
1. Seleccione **Aplicaciones** en la parte superior de la página y, a continuación, haga clic en **SP Connections**.
1. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.
1. Seleccione el **tipo de conexión** en los encabezados de navegación oscuros situados en la parte superior de la página. Debería ver que el **SSO del navegador** ya estaba seleccionado en su configuración anterior de SAML. Si no es así, primero debe completar esos pasos antes de continuar.
1. Seleccione la casilla de verificación **Aprovisionamiento saliente**, elija **IAM Identity Center Cloud Connector** como tipo y haga clic en **Guardar**. Si **IAM Identity CenterCloud Connector** no aparece como opción, asegúrese de haber instalado IAM Identity Center Cloud Connector y de haber reiniciado el servidor de PingFederate.
1. Haga clic en **Siguiente** varias veces hasta llegar a la página **Aprovisionamiento saliente** y, a continuación, haga clic en el botón **Configurar aprovisionamiento.**
1. En el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en IAM Identity Center. Pegue ese valor en el campo **URL de SCIM** en la consola de PingFederate. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **Token de acceso** en la consola de PingFederate. Haga clic en **Guardar**.
1. En la página **Configuración del canal (Configurar canal)**, haga clic en **Crear**.
1. Introduzca un **nombre del canal** para este nuevo canal de aprovisionamiento (por ejemplo **AWSIAMIdentityCenterchannel**) y haga clic en **Siguiente**.
1. En la página **Origen**, elija el **almacén de datos activo** que desee utilizar para la conexión al IAM Identity Center y haga clic en **Siguiente**.
**nota**
Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.
1. En la página **Configuración de origen**, confirme que todos los valores son correctos para la instalación y, a continuación, haga clic en **Siguiente**.
1. En la página **Ubicación de origen**, introduzca la configuración adecuada para su origen de datos y, a continuación, haga clic en **Siguiente**. Por ejemplo, si utiliza Active Directory como directorio LDAP:
1. Introduzca el **DN base** de su bosque de AD (por ejemplo, **DC=myforest,DC=mydomain,DC=com**).
1. En **Usuarios > DN de grupo**, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. Si no existe ese grupo único, créelo en AD, vuelva a esta configuración y, a continuación, introduzca el DN correspondiente.
1. Especifique si desea buscar subgrupos (**Búsqueda anidada**) y cualquier **filtro** LDAP necesario.
1. En **Usuarios > DN de grupo**, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. En muchos casos, puede ser el mismo DN que especificó en la sección **Usuarios**. Introduzca los valores **búsqueda anidada** y **filtro** según sea necesario.
1. En la página **Asignación de atributos**, asegúrese de lo siguiente y, a continuación, haga clic en **Siguiente**:
1. El campo **userName** debe asignarse a un **atributo** con formato de correo electrónico (user@domain.com). También debe coincidir con el valor que el usuario utilizará para iniciar sesión en Ping. Este valor, a su vez, se rellena en la notificación del `nameId` de SAML durante la autenticación federada y se utiliza para hacer coincidir con el usuario de IAM Identity Center. Por ejemplo, cuando utilice Active Directory, puede optar por especificar el `UserPrincipalName` como **userName**.
1. Los demás campos con un sufijo **\$1** deben asignarse a atributos que no sean nulos para los usuarios.
1. En la página **Activación y resumen**, defina el **estado del canal** como **Activo** para que la sincronización comience inmediatamente después de guardar la configuración.
1. Confirme que todos los valores de configuración de la página son correctos y haga clic en **Listo**.
1. En la página **Administrar canales**, haga clic en **Guardar**.
1. En este punto, comienza el aprovisionamiento. Para confirmar la actividad, puede ver el archivo **provisioner.log**, que se encuentra de forma predeterminada en el directorio **pingfederate-/pingfederate/log** de su servidor de PingFederate.
1. Para comprobar que los usuarios y los grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios.** Los usuarios sincronizados de PingFederate aparecerán en la página de **Usuarios**. También puede ver sus grupos sincronizados en la página **Grupos**.
## (Opcional) Paso 3: Configurar los atributos de usuario en erate para el control de acceso en PingFed el IAM Identity Center
Se trata de un procedimiento opcional PingFederate si decide configurar los atributos que utilizará en el Centro de identidades de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en PingFederate se transfieren en una aserción de SAML a IAM Identity Center. A continuación, deberá crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde PingFederate.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
**Cómo configurar atributos de usuario utilizados en PingFederate para el control de acceso en IAM Identity Center**
1. Inicie sesión en la consola administrativa de PingFederate.
1. Seleccione **Aplicaciones** en la parte superior de la página y, a continuación, haga clic en **SP Connections**.
1. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.
1. Seleccione el **tipo de conexión** en los encabezados de navegación oscuros situados en la parte superior de la página. A continuación, haga clic en **Configurar el SSO del navegador.**
1. En la página **Configurar el SSO del navegador**, seleccione **Creación de aserciones** y, a continuación, haga clic en **Configurar creación de aserciones**.
1. En la página **Configurar la creación de aserciones**, elija **Contrato de atributos**.
1. En la página **Contrato de atributos**, en la sección **Ampliar el contrato**, añada un nuevo atributo siguiendo estos pasos:
1. En el cuadro de texto, introduzca `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, sustituya **AttributeName** por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. En **Formato de nombre de atributo**, elija **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Elija **Añadir**, y a continuación, elija **Siguiente**.
1. En la página de **asignación de fuentes de autenticación**, elija la instancia de adaptador configurada con su aplicación.
1. En la página **Cumplimiento del contrato de atributo**, elija el **origen** (*almacén de datos*) y el **valor** (*atributo del almacén de datos*) para el **contrato de atributo** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
**nota**
Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la documentación del producto de Ping para obtener información sobre cómo elegir y configurar un origen de datos en PingFederate.
1. Haga clic en **Siguiente** varias veces hasta llegar a la página de **activación y resumen** y, a continuación, haga clic en **Guardar**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con PingFederate, consulte las secciones siguientes:
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obtener más información acerca de PingFederate, consulte la [documentación de PingFederate](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html).
Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con: AWS
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico