Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration du provisionnement SCIM entre OneLogin et IAM Identity Center
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes depuis OneLogin IAM Identity Center à l'aide du protocole SCIM (System for Cross-domain Identity Management) v2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
**Note**
OneLoginne prend actuellement pas en charge le service de consommation d'assertions multiples (ACS) SAML URLs dans l' AWS IAM Identity Center application. Cette fonctionnalité SAML est requise pour tirer pleinement parti de la prise en [charge multirégionale](multi-region-iam-identity-center.md) dans IAM Identity Center. Si vous envisagez de répliquer IAM Identity Center vers d'autres régions, sachez que l'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans ces régions supplémentaires. Votre région principale continuera de fonctionner normalement. Nous vous recommandons de travailler avec votre fournisseur d'IdP pour activer cette fonctionnalité. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Vous configurez cette connexion en OneLogin utilisant votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec OneLogin les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etOneLogin.
Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs et des groupes depuis IAM Identity Center OneLogin à l'aide du protocole SCIM.
**Note**
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations).
**Topics**
+ [Conditions préalables](#onelogin-prereqs)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#onelogin-step1)
+ [Étape 2 : configurer le provisionnement dans OneLogin](#onelogin-step2)
+ [(Facultatif) Étape 3 : Configuration des attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center](#onelogin-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#onelogin-passing-abac)
+ [Résolution des problèmes](#onelogin-troubleshooting)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ Un OneLogin compte. Si vous n'avez pas de compte existant, vous pourrez peut-être obtenir un essai gratuit ou un compte développeur sur le [OneLoginsite Web](https://www.onelogin.com/free-trial).
+ [Un compte compatible avec IAM Identity Center (gratuit).](https://aws.amazon.com/single-sign-on/) Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Une connexion SAML entre votre OneLogin compte et IAM Identity Center. Pour plus d'informations, consultez la section [Activation de l'authentification unique entre OneLogin et AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) sur le blog du réseau de AWS partenaires.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Vous avez maintenant configuré le provisionnement dans la console IAM Identity Center. Vous devez maintenant effectuer les tâches restantes à l'aide de la console OneLogin d'administration, comme décrit dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans OneLogin
Utilisez la procédure suivante dans la console OneLogin d'administration pour activer l'intégration entre IAM Identity Center et l'application IAM Identity Center. Cette procédure suppose que vous avez déjà configuré l'application AWS Single Sign-On OneLogin pour l'authentification SAML. Si vous n'avez pas encore créé cette connexion SAML, veuillez le faire avant de continuer, puis revenez ici pour terminer le processus de provisionnement SCIM. Pour plus d'informations sur la configuration de SAML avecOneLogin, consultez la section [Activation de l'authentification unique entre OneLogin et AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) sur le blog du réseau de AWS partenaires.
**Pour configurer le provisionnement dans OneLogin**
1. Connectez-vous àOneLogin, puis accédez à **Applications > Applications**.
1. Sur la page **Applications**, recherchez l'application que vous avez créée précédemment pour établir votre connexion SAML avec IAM Identity Center. Choisissez-le, puis sélectionnez **Configuration** dans le volet de navigation.
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** dans IAM Identity Center. Collez cette valeur dans le champ **URL de base SCIM** dansOneLogin. Dans la procédure précédente, vous avez également copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **SCIM Bearer Token**. OneLogin
1. À côté de **Connexion API**, cliquez sur **Activer**, puis sur **Enregistrer** pour terminer la configuration.
1. Dans le panneau de navigation, choisissez **Provisioning** (Approvisionnement).
1. Cochez les cases **Activer le provisionnement**, **Créer un utilisateur**, **Supprimer un utilisateur** et **Mettre à jour un utilisateur**, puis choisissez **Enregistrer**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Cliquez sur **Autres actions** et choisissez **Synchroniser les connexions.** Vous devriez recevoir le message *Synchronisation des utilisateurs avec l'authentification AWS unique*.
1. Cliquez à nouveau sur **Autres actions**, puis choisissez **Réappliquer les mappages d'autorisations.** Vous devriez recevoir le message Les *mappages sont réappliqués*.
1. À ce stade, le processus de provisionnement doit commencer. Pour le confirmer, accédez à **Activité > Événements** et surveillez la progression. Les événements de provisionnement réussis, ainsi que les erreurs, doivent apparaître dans le flux d'événements.
1. **Pour vérifier que vos utilisateurs et groupes ont tous été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Vos utilisateurs synchronisés OneLogin apparaissent sur la page **Utilisateurs**. Vous pouvez également consulter vos groupes synchronisés sur la page **Groupes**.
1. **Pour synchroniser automatiquement les modifications des utilisateurs avec IAM Identity Center, accédez à la page **Provisioning**, recherchez la section **Exiger l'approbation de l'administrateur avant que cette action ne soit effectuée**, désélectionnez **Créer un utilisateur, Supprimer un utilisateur****, and/or **Mettre à jour** un utilisateur**, puis cliquez sur Enregistrer.**
## (Facultatif) Étape 3 : Configuration des attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center
Il s'agit d'une procédure facultative OneLogin si vous choisissez de configurer les attributs que vous utiliserez dans IAM Identity Center pour gérer l'accès à vos AWS ressources. Les attributs que vous définissez OneLogin sont transmis dans une assertion SAML à IAM Identity Center. Vous allez ensuite créer un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisOneLogin.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
**Pour configurer les attributs utilisateur OneLogin pour le contrôle d'accès dans IAM Identity Center**
1. Connectez-vous àOneLogin, puis accédez à **Applications > Applications**.
1. Sur la page **Applications**, recherchez l'application que vous avez créée précédemment pour établir votre connexion SAML avec IAM Identity Center. Choisissez-le, puis sélectionnez **Paramètres** dans le volet de navigation.
1. Dans la section **Paramètres requis**, procédez comme suit pour chaque attribut que vous souhaitez utiliser dans IAM Identity Center :
1. Choisissez **\$1**.
1. Dans **Nom du champ**`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, entrez et remplacez **AttributeName** par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. Sous **Drapeaux**, cochez la case à côté de **Inclure dans l'assertion SAML**, puis choisissez **Enregistrer**.
1. Dans le champ **Valeur**, utilisez la liste déroulante pour choisir les attributs OneLogin utilisateur. Par exemple, **Department**.
1. Choisissez **Enregistrer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.
## Résolution des problèmes
Les informations suivantes peuvent vous aider à résoudre certains problèmes courants que vous pouvez rencontrer lors de la configuration du provisionnement automatique avec. OneLogin
**Les groupes ne sont pas fournis à IAM Identity Center**
Par défaut, les groupes ne peuvent pas être approvisionnés depuis OneLogin IAM Identity Center. Assurez-vous d'avoir activé le provisionnement de groupe pour votre application IAM Identity Center dans. OneLogin Pour ce faire, connectez-vous à la console OneLogin d'administration et assurez-vous que l'option **Inclure dans le provisionnement utilisateur** est sélectionnée dans les propriétés de l'application IAM Identity Center (application **IAM Identity Center > Paramètres > Groupes**). Pour plus de détails sur la création de groupes dansOneLogin, notamment sur la synchronisation des OneLogin rôles en tant que groupes dans SCIM, consultez le [OneLoginsite Web](https://onelogin.service-now.com/support).
**Rien n'est synchronisé depuis OneLogin IAM Identity Center, même si tous les paramètres sont corrects**
Outre la remarque ci-dessus concernant l'approbation de l'administrateur, vous devrez **réappliquer les mappages de droits** pour que de nombreuses modifications de configuration prennent effet. Vous pouvez le trouver dans **Applications > Applications > Application IAM Identity Center > Autres actions**. Vous pouvez consulter les détails et les journaux de la plupart des actionsOneLogin, y compris les événements de synchronisation, sous **Activité > Événements**.
**J'ai supprimé ou désactivé un groupe dansOneLogin, mais il apparaît toujours dans IAM Identity Center**
OneLoginne prend actuellement pas en charge l'opération SCIM DELETE pour les groupes, ce qui signifie que le groupe continue d'exister dans IAM Identity Center. Vous devez donc supprimer le groupe directement d'IAM Identity Center pour vous assurer que toutes les autorisations correspondantes dans IAM Identity Center pour ce groupe sont supprimées.
**J'ai supprimé un groupe dans IAM Identity Center sans le supprimer au préalable OneLogin et je rencontre maintenant des problèmes de user/group synchronisation**
Pour remédier à cette situation, assurez-vous d'abord que vous ne disposez pas de règles ou de configurations de provisionnement de groupe redondantes. OneLogin Par exemple, un groupe directement affecté à une application ainsi qu'une règle qui publie pour le même groupe. Supprimez ensuite tous les groupes indésirables dans IAM Identity Center. EnfinOneLogin, **actualisez** les droits (**application IAM Identity Center > Provisioning > Droits), puis réappliquez les mappages de droits** **(application IAM Identity Center >** Autres actions). Pour éviter ce problème à l'avenir, effectuez d'abord la modification pour arrêter le provisionnement du groupeOneLogin, puis supprimez le groupe d'IAM Identity Center.