PingOne - AWS IAM Identity Center
PrasyaratPertimbangan-pertimbanganLangkah 1: Aktifkan penyediaan di IAM Identity CenterLangkah 2: Konfigurasikan penyediaan di PingOne(Opsional) Langkah 3: Konfigurasikan atribut pengguna PingOne untuk kontrol akses di Pusat Identitas IAM(Opsional) Melewati atribut untuk kontrol aksesPemecahan masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

PingOne

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari PingOne produk dengan Ping Identity (selanjutnya “Ping”) ke Pusat Identitas IAM. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Anda mengonfigurasi koneksi ini PingOne menggunakan titik akhir dan token akses IAM Identity Center SCIM Anda. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna PingOne ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danPingOne.

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dari PingOne Pusat Identitas IAM menggunakan protokol SCIM.

catatan

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.

Prasyarat

Anda memerlukan yang berikut ini sebelum Anda dapat memulai:

  • PingOneLangganan atau uji coba gratis, dengan otentikasi federasi dan kemampuan penyediaan. Untuk informasi lebih lanjut tentang cara mendapatkan uji coba gratis, lihat situs Ping Identityweb.

  • Akun berkemampuan Pusat Identitas IAM (gratis). Untuk informasi selengkapnya, lihat Mengaktifkan Pusat Identitas IAM.

  • Aplikasi PingOne IAM Identity Center ditambahkan ke portal PingOne admin Anda. Anda dapat memperoleh aplikasi PingOne IAM Identity Center dari Katalog PingOne Aplikasi. Untuk informasi umum, lihat Menambahkan aplikasi dari Katalog Aplikasi di Ping Identity situs web.

  • Koneksi SAFL dari PingOne instans Anda ke IAM Identity Center. Setelah aplikasi PingOne IAM Identity Center ditambahkan ke portal PingOne admin Anda, Anda harus menggunakannya untuk mengonfigurasi koneksi SAMP dari PingOne instans Anda ke IAM Identity Center. Gunakan fitur metadata “unduh” dan “impor” di kedua ujungnya untuk bertukar metadata SAMP antara PingOne dan IAM Identity Center. Untuk petunjuk tentang cara mengkonfigurasi koneksi ini, lihat PingOne dokumentasi.

  • Jika Anda mereplikasi Pusat Identitas IAM ke Wilayah tambahan, Anda harus memperbarui konfigurasi penyedia identitas Anda untuk mengaktifkan akses ke aplikasi AWS terkelola dan Akun AWS dari Wilayah tersebut. Untuk detail selengkapnya, lihat Langkah 3: Perbarui pengaturan iDP eksternal. Lihat PingOne dokumentasi untuk detail tambahan.

Pertimbangan-pertimbangan

Berikut ini adalah pertimbangan penting tentang hal PingOne itu dapat memengaruhi cara Anda menerapkan penyediaan dengan IAM Identity Center.

  • PingOnetidak mendukung penyediaan kelompok melalui SCIM. Hubungi Ping untuk informasi terbaru tentang dukungan grup di SCIM untukPingOne.

  • Pengguna dapat terus disediakan PingOne setelah menonaktifkan penyediaan di portal admin. PingOne Jika Anda perlu segera menghentikan penyediaan, hapus token pembawa SCIM yang relevan, and/or nonaktifkan Menyediakan pengguna dan grup dari penyedia identitas eksternal menggunakan SCIM di Pusat Identitas IAM.

  • Jika atribut untuk pengguna dihapus dari penyimpanan data yang dikonfigurasiPingOne, atribut tersebut tidak akan dihapus dari pengguna terkait di Pusat Identitas IAM. Ini adalah batasan yang diketahui dalam PingOne’s implementasi penyedia. Jika atribut diubah, perubahan akan disinkronkan ke IAM Identity Center.

  • Berikut ini adalah catatan penting mengenai konfigurasi SAMP Anda diPingOne:

    • IAM Identity Center hanya mendukung emailaddress sebagai NameId format. Ini berarti Anda harus memilih atribut pengguna yang unik dalam direktori Anda diPingOne, non-null, dan diformat sebagai email/UPN (misalnya, user@domain.com) untuk pemetaan SAML_SUBJECT Anda di. PingOne Email (Work) adalah nilai yang wajar untuk digunakan untuk konfigurasi pengujian dengan direktori PingOne bawaan.

    • Pengguna PingOne dengan alamat email yang berisi karakter + mungkin tidak dapat masuk ke Pusat Identitas IAM, dengan kesalahan seperti 'SAML_215' atau'Invalid input'. Untuk memperbaikinya, diPingOne, pilih opsi Lanjutan untuk pemetaan SAML_SUBJECT di Pemetaan Atribut. Kemudian atur Format ID Nama untuk dikirim ke SP: ke urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressdalam menu drop-down.

Langkah 1: Aktifkan penyediaan di IAM Identity Center

Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Di kotak dialog penyediaan otomatis masuk, salin titik akhir SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM - Misalnya, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Access token - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.

  5. Pilih Tutup.

Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan aplikasi Pusat Identitas PingOne IAM. Langkah-langkah ini dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di PingOne

Gunakan prosedur berikut dalam aplikasi PingOne IAM Identity Center untuk mengaktifkan penyediaan dengan IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda telah menambahkan aplikasi PingOne IAM Identity Center ke portal PingOne admin Anda. Jika Anda belum melakukannya, lihatPrasyarat, dan kemudian selesaikan prosedur ini untuk mengonfigurasi penyediaan SCIM.

Untuk mengonfigurasi penyediaan di PingOne

  1. Buka aplikasi PingOne IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk PingOne (Applications > My Applications). Lihat Prasyarat.

  2. Gulir ke bagian bawah halaman. Di bawah Penyediaan Pengguna, pilih tautan lengkap untuk menavigasi ke konfigurasi penyediaan pengguna koneksi Anda.

  3. Pada halaman Petunjuk Penyediaan, pilih Lanjutkan ke Langkah Berikutnya.

  4. Pada prosedur sebelumnya, Anda menyalin nilai endpoint SCIM di IAM Identity Center. Tempelkan nilai itu ke bidang URL SCIM di aplikasi PingOne IAM Identity Center. Juga, dalam prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke bidang ACCESS_TOKEN di aplikasi PingOne IAM Identity Center.

  5. Untuk REMOVE_ACTION, pilih salah satu Dinonaktifkan atau Dihapus (lihat teks deskripsi di halaman untuk detail selengkapnya).

  6. Pada halaman Pemetaan Atribut, pilih nilai yang akan digunakan untuk pernyataan SAML_SUBJECT (NameId), mengikuti panduan dari sebelumnya di halaman ini. Pertimbangan-pertimbangan Kemudian pilih Lanjutkan ke Langkah Berikutnya.

  7. Pada halaman Kustomisasi PingOne Aplikasi - Pusat Identitas IAM, buat perubahan penyesuaian yang diinginkan (opsional), dan klik Lanjutkan ke Langkah Berikutnya.

  8. Pada halaman Akses Grup, pilih grup yang berisi pengguna yang ingin Anda aktifkan untuk penyediaan dan masuk tunggal ke Pusat Identitas IAM. Pilih Lanjutkan ke Langkah Berikutnya.

  9. Gulir ke bagian bawah halaman, dan pilih Selesai untuk memulai penyediaan.

  10. Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna. Pengguna yang disinkronkan dari PingOne akan muncul di halaman Pengguna. Pengguna ini sekarang dapat ditugaskan ke akun dan aplikasi dalam IAM Identity Center.

    Ingat bahwa PingOne tidak mendukung penyediaan kelompok atau keanggotaan kelompok melalui SCIM. Hubungi Ping untuk informasi lebih lanjut.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna PingOne untuk kontrol akses di Pusat Identitas IAM

Ini adalah prosedur opsional PingOne jika Anda memilih untuk mengkonfigurasi atribut untuk IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan PingOne diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian membuat set izin di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda lewati. PingOne

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengonfigurasi atribut pengguna PingOne untuk kontrol akses di Pusat Identitas IAM

  1. Buka aplikasi PingOne IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk PingOne (Applications > My Applications).

  2. Pilih Edit, lalu pilih Lanjutkan ke Langkah Berikutnya hingga Anda masuk ke halaman Pemetaan Atribut.

  3. Pada halaman Pemetaan Atribut, pilih Tambahkan atribut baru, lalu lakukan hal berikut. Anda harus melakukan langkah-langkah ini untuk setiap atribut yang akan Anda tambahkan untuk digunakan di Pusat Identitas IAM untuk kontrol akses.

    1. Di bidang Atribut Aplikasi, masukkanhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Ganti AttributeName dengan nama atribut yang Anda harapkan di IAM Identity Center. Misalnya, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. Di bidang Atribut Jembatan Identitas atau Nilai Literal, pilih atribut pengguna dari PingOne direktori Anda. Misalnya, Email (Kerja).

  4. Pilih Berikutnya beberapa kali, lalu pilih Selesai.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat menggunakan Atribut untuk kontrol akses fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Pemecahan masalah

Untuk pemecahan masalah SCIM dan SAMP umum denganPingOne, lihat bagian berikut:

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS

  • AWS re:Post- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.

  • AWS Dukungan- Dapatkan dukungan teknis