Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
PrasyaratPertimbangan SCIMLangkah 1: Aktifkan penyediaan di IAM Identity CenterLangkah 2: Konfigurasikan penyediaan di CyberArk(Opsional) Langkah 3: Konfigurasikan atribut pengguna CyberArk untuk kontrol akses (ABAC) di Pusat Identitas IAM(Opsional) Melewati atribut untuk kontrol akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari CyberArk Directory Platform ke IAM Identity Center. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal.

catatan

CyberArksaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan dukungan Multi-wilayah di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs danAkun AWS ketahanan akses tanpa beberapa ACS URLs.

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.

Prasyarat

Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:

  • CyberArkberlangganan atau uji coba gratis. Untuk mendaftar untuk kunjungan uji coba gratis CyberArk.

  • Akun yang diaktifkan Pusat Identitas IAM (gratis). Untuk informasi selengkapnya, lihat Mengaktifkan Pusat Identitas IAM.

  • Sambungan SAFL dari CyberArk akun Anda ke Pusat Identitas IAM, seperti yang dijelaskan dalam CyberArkdokumentasi untuk Pusat Identitas IAM.

  • Kaitkan konektor Pusat Identitas IAM dengan peran, pengguna, dan organisasi yang ingin Anda izinkan aksesnya. Akun AWS

Pertimbangan SCIM

Berikut ini adalah pertimbangan saat menggunakan CyberArk federasi untuk IAM Identity Center:

  • Hanya peran yang dipetakan di bagian Penyediaan aplikasi yang akan disinkronkan ke Pusat Identitas IAM.

  • Skrip penyediaan hanya didukung dalam status defaultnya, setelah diubah, penyediaan SCIM mungkin gagal.

    • Hanya satu atribut nomor telepon yang dapat disinkronkan dan defaultnya adalah “telepon kerja”.

  • Jika pemetaan peran dalam aplikasi CyberArk IAM Identity Center diubah, perilaku di bawah ini diharapkan:

    • Jika nama peran diubah - tidak ada perubahan pada nama grup di Pusat Identitas IAM.

    • Jika nama grup diubah - grup baru akan dibuat di IAM Identity Center, grup lama akan tetap ada tetapi tidak akan memiliki anggota.

  • Sinkronisasi pengguna dan perilaku de-provisioning dapat diatur dari aplikasi CyberArk IAM Identity Center, pastikan Anda mengatur perilaku yang tepat untuk organisasi Anda. Ini adalah opsi yang Anda miliki:

    • Timpa (atau tidak) pengguna di direktori Pusat Identitas dengan nama utama yang sama.

    • De-penyediaan pengguna dari Pusat Identitas IAM saat pengguna dihapus dari peran. CyberArk

    • Perilaku pengguna de-penyediaan - nonaktifkan atau hapus.

Langkah 1: Aktifkan penyediaan di IAM Identity Center

Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Di kotak dialog penyediaan otomatis masuk, salin titik akhir SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM - Misalnya, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token akses - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.

  5. Pilih Tutup.

Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan aplikasi Pusat Identitas CyberArk IAM. Langkah-langkah ini dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di CyberArk

Gunakan prosedur berikut dalam aplikasi CyberArk IAM Identity Center untuk mengaktifkan penyediaan dengan IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda telah menambahkan aplikasi CyberArk IAM Identity Center ke konsol CyberArk admin Anda di bawah Aplikasi Web. Jika Anda belum melakukannya, lihatPrasyarat, dan kemudian selesaikan prosedur ini untuk mengkonfigurasi penyediaan SCIM.

Untuk mengonfigurasi penyediaan di CyberArk

  1. Buka aplikasi CyberArk IAM Identity Center yang Anda tambahkan sebagai bagian dari konfigurasi SAFL untuk CyberArk (Apps > Web App). Lihat Prasyarat.

  2. Pilih aplikasi IAM Identity Center dan buka bagian Provisioning.

  3. Centang kotak untuk Aktifkan penyediaan untuk aplikasi ini dan pilih Mode Langsung.

  4. Pada prosedur sebelumnya, Anda menyalin nilai endpoint SCIM dari IAM Identity Center. Tempelkan nilai itu ke bidang URL Layanan SCIM, dalam aplikasi Pusat Identitas CyberArk IAM atur Jenis Otorisasi menjadi Header Otorisasi.

  5. Atur Jenis Header ke Token Pembawa.

  6. Dari prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke bidang Bearer Token di aplikasi CyberArk IAM Identity Center.

  7. Klik Verifikasi untuk menguji dan menerapkan konfigurasi.

  8. Di bawah Opsi Sinkronisasi, pilih perilaku yang tepat yang Anda inginkan agar CyberArk penyediaan keluar berfungsi. Anda dapat memilih untuk menimpa (atau tidak) pengguna IAM Identity Center yang ada dengan nama utama yang sama, dan perilaku de-provisioning.

  9. Di bawah Pemetaan Peran, atur pemetaan dari CyberArk peran, di bawah bidang Nama ke grup Pusat Identitas IAM, di bawah Grup Tujuan.

  10. Klik Simpan di bagian bawah setelah Anda selesai.

  11. Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna. Pengguna yang disinkronkan dari CyberArk akan muncul di halaman Pengguna. Pengguna ini sekarang dapat ditugaskan ke akun dan dapat terhubung dalam Pusat Identitas IAM.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna CyberArk untuk kontrol akses (ABAC) di Pusat Identitas IAM

Ini adalah prosedur opsional jika CyberArk Anda memilih untuk mengkonfigurasi atribut untuk IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan CyberArk diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian membuat set izin di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. CyberArk

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengonfigurasi atribut pengguna CyberArk untuk kontrol akses di Pusat Identitas IAM

  1. Buka aplikasi CyberArk IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAFL untuk CyberArk (Apps > Web Apps).

  2. Buka opsi Saml Response.

  3. Di bawah Atribut, tambahkan atribut yang relevan ke tabel berikut logika di bawah ini:

    1. Nama Atribut adalah nama atribut asli dariCyberArk.

    2. Nilai Atribut adalah nama atribut yang dikirim dalam pernyataan SAMP ke IAM Identity Center.

  4. Pilih Simpan.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat menggunakan Atribut untuk kontrol akses fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.