Menyiapkan penyediaan SCIM antara OneLogin dan IAM Identity Center - AWS IAM Identity Center
PrasyaratLangkah 1: Aktifkan penyediaan di IAM Identity CenterLangkah 2: Konfigurasikan penyediaan di OneLogin(Opsional) Langkah 3: Konfigurasikan atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM(Opsional) Melewati atribut untuk kontrol aksesPemecahan masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan penyediaan SCIM antara OneLogin dan IAM Identity Center

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari OneLogin ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal.

catatan

OneLoginsaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan dukungan Multi-wilayah di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs danAkun AWS ketahanan akses tanpa beberapa ACS URLs.

Anda mengonfigurasi koneksi iniOneLogin, menggunakan titik akhir SCIM Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna OneLogin ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danOneLogin.

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup dari OneLogin Pusat Identitas IAM menggunakan protokol SCIM.

catatan

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis

Prasyarat

Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:

Langkah 1: Aktifkan penyediaan di IAM Identity Center

Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Di kotak dialog Inbound automatic provisioning, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM - Misalnya, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Access token - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.

  5. Pilih Tutup.

Anda sekarang telah menyiapkan penyediaan di konsol Pusat Identitas IAM. Sekarang Anda perlu melakukan tugas yang tersisa menggunakan konsol OneLogin admin seperti yang dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di OneLogin

Gunakan prosedur berikut di konsol OneLogin admin untuk mengaktifkan integrasi antara IAM Identity Center dan aplikasi IAM Identity Center. Prosedur ini mengasumsikan Anda telah mengkonfigurasi aplikasi AWS Single Sign-On OneLogin untuk otentikasi SAMP. Jika Anda belum membuat koneksi SAMP ini, lakukan sebelum melanjutkan dan kemudian kembali ke sini untuk menyelesaikan proses penyediaan SCIM. Untuk informasi selengkapnya tentang mengonfigurasi SAMP denganOneLogin, lihat Mengaktifkan Single Sign-On Between OneLogin dan AWS di Blog Jaringan Mitra. AWS

Untuk mengonfigurasi penyediaan di OneLogin

  1. Masuk keOneLogin, lalu arahkan ke Applications > Applications.

  2. Pada halaman Aplikasi, cari aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center. Pilih dan kemudian pilih Konfigurasi dari panel navigasi.

  3. Pada prosedur sebelumnya, Anda menyalin nilai endpoint SCIM di IAM Identity Center. Tempelkan nilai itu ke bidang URL Dasar SCIM diOneLogin. Juga, dalam prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke bidang Token Pembawa SCIM di. OneLogin

  4. Di samping Koneksi API, klik Aktifkan, lalu klik Simpan untuk menyelesaikan konfigurasi.

  5. Di panel navigasi, pilih Penyediaan.

  6. Pilih kotak centang untuk Aktifkan penyediaan, Buat pengguna, Hapus pengguna, dan Perbarui pengguna, lalu pilih Simpan.

  7. Di panel navigasi, pilih Users (Pengguna).

  8. Klik Tindakan Lainnya dan pilih Sinkronkan login. Anda harus menerima pesan Sinkronisasi pengguna dengan AWS Single Sign-On.

  9. Klik Tindakan Lainnya lagi, lalu pilih Terapkan kembali pemetaan hak. Anda akan menerima pesan Pemetaan sedang diterapkan kembali.

  10. Pada titik ini, proses penyediaan harus dimulai. Untuk mengonfirmasi hal ini, navigasikan ke Aktivitas > Acara, dan pantau kemajuannya. Acara penyediaan yang berhasil, serta kesalahan, akan muncul di aliran acara.

  11. Untuk memverifikasi bahwa semua pengguna dan grup Anda telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna. Pengguna Anda yang disinkronkan OneLogin muncul di halaman Pengguna. Anda juga dapat melihat grup yang disinkronkan di halaman Grup.

  12. Untuk menyinkronkan perubahan pengguna secara otomatis ke Pusat Identitas IAM, arahkan ke halaman Penyediaan, cari bagian Memerlukan persetujuan admin sebelum tindakan ini dilakukan, hapus pilih Buat Pengguna, Hapus Pengguna, and/or Perbarui Pengguna, dan klik Simpan.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM

Ini adalah prosedur opsional OneLogin jika Anda memilih untuk mengkonfigurasi atribut yang akan Anda gunakan di IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan OneLogin diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian akan membuat set izin di IAM Identity Center untuk mengelola akses berdasarkan atribut yang Anda lewati. OneLogin

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengonfigurasi atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM

  1. Masuk keOneLogin, lalu arahkan ke Applications > Applications.

  2. Pada halaman Aplikasi, cari aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center. Pilih dan kemudian pilih Parameter dari panel navigasi.

  3. Di bagian Parameter yang Diperlukan, lakukan hal berikut untuk setiap atribut yang ingin Anda gunakan di Pusat Identitas IAM:

    1. Pilih +.

    2. Di Nama bidang, masukkanhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, dan ganti AttributeName dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    3. Di bawah Bendera, centang kotak di samping Sertakan dalam pernyataan SAMP, dan pilih Simpan.

    4. Di bidang Nilai, gunakan daftar drop-down untuk memilih atribut OneLogin pengguna. Misalnya, Departemen.

  4. Pilih Simpan.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di IAM Identity Center untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Pemecahan masalah

Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat menyiapkan penyediaan otomatis. OneLogin

Grup tidak disediakan untuk IAM Identity Center

Secara default, grup mungkin tidak disediakan dari OneLogin Pusat Identitas IAM. Pastikan Anda telah mengaktifkan penyediaan grup untuk aplikasi Pusat Identitas IAM Anda di. OneLogin Untuk melakukannya, masuk ke konsol OneLogin admin, dan periksa untuk memastikan bahwa opsi Sertakan dalam Penyediaan Pengguna dipilih di bawah properti aplikasi Pusat Identitas IAM (aplikasi Pusat Identitas IAM > Parameter> Grup). Untuk detail selengkapnya tentang cara membuat grupOneLogin, termasuk cara menyinkronkan OneLogin peran sebagai grup di SCIM, silakan lihat situs web. OneLogin

Tidak ada yang OneLogin disinkronkan dari Pusat Identitas IAM, meskipun semua pengaturan sudah benar

Selain catatan di atas mengenai persetujuan admin, Anda perlu Menerapkan kembali pemetaan hak agar banyak perubahan konfigurasi diterapkan. Ini dapat ditemukan di Applications > Applications > Aplikasi IAM Identity Center > More Actions. Anda dapat melihat detail dan log untuk sebagian besar tindakanOneLogin, termasuk peristiwa sinkronisasi, di bawah Aktivitas > Acara.

Saya telah menghapus atau menonaktifkan grup diOneLogin, tetapi masih muncul di Pusat Identitas IAM

OneLoginsaat ini tidak mendukung operasi SCIM DELETE untuk grup, yang berarti bahwa grup terus ada di IAM Identity Center. Oleh karena itu, Anda harus menghapus grup dari Pusat Identitas IAM secara langsung untuk memastikan bahwa izin yang sesuai di Pusat Identitas IAM untuk grup tersebut dihapus.

Saya menghapus grup di Pusat Identitas IAM tanpa terlebih dahulu menghapusnya OneLogin dan sekarang saya mengalami user/group masalah sinkronisasi

Untuk memperbaiki situasi ini, pertama-tama pastikan bahwa Anda tidak memiliki aturan atau konfigurasi penyediaan grup yang berlebihan. OneLogin Misalnya, grup yang langsung ditugaskan ke aplikasi bersama dengan aturan yang menerbitkan ke grup yang sama. Selanjutnya, hapus grup yang tidak diinginkan di Pusat Identitas IAM. Terakhir, diOneLogin, Segarkan kembali hak (Aplikasi Pusat Identitas IAM > Penyediaan> Hak), lalu Terapkan kembali pemetaan hak (Aplikasi Pusat Identitas IAM > Tindakan Lainnya). Untuk menghindari masalah ini di masa mendatang, pertama-tama lakukan perubahan untuk menghentikan penyediaan grupOneLogin, lalu hapus grup dari IAM Identity Center.