Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni utente da CyberArk Directory Platform IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).

**Nota**  
CyberArkattualmente non supporta il servizio ACS (Multiple Assertion Consumer Service) SAML nell'applicazione. URLs AWS IAM Identity Center Questa funzionalità SAML è necessaria per sfruttare appieno il [supporto multiregionale](multi-region-iam-identity-center.md) in IAM Identity Center. Se prevedi di replicare IAM Identity Center in altre regioni, tieni presente che l'utilizzo di un singolo URL ACS può influire sull'esperienza utente in tali regioni aggiuntive. La tua regione principale continuerà a funzionare normalmente. Ti consigliamo di collaborare con il tuo fornitore IdP per abilitare questa funzionalità. Per ulteriori informazioni sull'esperienza utente in altre regioni con un singolo URL ACS, consulta e. [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) [Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)

Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations) Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.

**Topics**
+ [Prerequisiti](#cyberark-prereqs)
+ [Considerazioni SCIM](#cyberark-considerations)
+ [Fase 1: abilitare il provisioning in IAM Identity Center](#cyberark-step1)
+ [Fase 2: Configurare il provisioning in CyberArk](#cyberark-step2)
+ [(Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center](#cyberark-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#cyberark-passing-abac)

## Prerequisiti
<a name="cyberark-prereqs"></a>

Prima di iniziare, avrai bisogno di quanto segue:
+ CyberArkabbonamento o prova gratuita. Per iscriverti a una prova gratuita, visita [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una connessione SAML dal tuo CyberArk account a IAM Identity Center, come descritto nella [CyberArkdocumentazione per IAM Identity Center](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Associa il connettore IAM Identity Center ai ruoli, agli utenti e alle organizzazioni a cui desideri consentire l'accesso Account AWS.

## Considerazioni SCIM
<a name="cyberark-considerations"></a>

Di seguito sono riportate le considerazioni relative all'utilizzo CyberArk della federazione per IAM Identity Center:
+ Solo i ruoli mappati nella sezione Provisioning dell'applicazione verranno sincronizzati con IAM Identity Center.
+ Lo script di provisioning è supportato solo nel suo stato predefinito, una volta modificato il provisioning SCIM potrebbe fallire.
  + È possibile sincronizzare un solo attributo del numero di telefono e l'impostazione predefinita è «telefono di lavoro».
+ Se la mappatura dei ruoli nell'applicazione CyberArk IAM Identity Center viene modificata, è previsto il seguente comportamento:
  + Se i nomi dei ruoli vengono modificati, nessuna modifica ai nomi dei gruppi in IAM Identity Center.
  + Se i nomi dei gruppi vengono modificati, verranno creati nuovi gruppi in IAM Identity Center, i vecchi gruppi rimarranno ma non avranno membri.
+ La sincronizzazione degli utenti e il comportamento di de-provisioning possono essere configurati dall'applicazione CyberArk IAM Identity Center, assicurati di impostare il comportamento giusto per la tua organizzazione. Queste sono le opzioni a tua disposizione:
  + Sovrascrivi (o meno) gli utenti nella directory di Identity Center con lo stesso nome principale.
  + Rimuovi il provisioning degli utenti da IAM Identity Center quando l'utente viene rimosso dal CyberArk ruolo.
  + Annullare il provisioning del comportamento dell'utente: disabilitazione o eliminazione.

## Fase 1: abilitare il provisioning in IAM Identity Center
<a name="cyberark-step1"></a>

In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.

**Per abilitare il provisioning automatico in IAM Identity Center**

1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.

1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.

1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.

   1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**  
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial. 

1. Scegli **Chiudi**.

Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando l'applicazione CyberArk IAM Identity Center. Questi passaggi sono descritti nella procedura seguente.

## Fase 2: Configurare il provisioning in CyberArk
<a name="cyberark-step2"></a>

 Utilizza la seguente procedura nell'applicazione CyberArk IAM Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che tu abbia già aggiunto l'applicazione CyberArk IAM Identity Center alla tua console di CyberArk amministrazione in **Web** Apps. Se non l'hai ancora fatto, consulta e completa questa procedura per configurare il [Prerequisiti](#cyberark-prereqs) provisioning SCIM. 

**Per configurare il provisioning in CyberArk**

1. Apri l'applicazione CyberArk IAM Identity Center che hai aggiunto come parte della configurazione di SAML per CyberArk (**App > Web App**). Per informazioni, consulta [Prerequisiti](#cyberark-prereqs).

1. Scegli l'applicazione **IAM Identity Center** e vai alla sezione **Provisioning**.

1. Seleziona la casella **Abilita il provisioning per questa applicazione** e scegli la modalità **Live**.

1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** da IAM Identity Center. **Incolla quel valore nel campo **SCIM Service URL**, nell'applicazione CyberArk IAM Identity Center imposta il **Tipo di autorizzazione** su Authorization Header.**

1. **Imposta il **tipo di intestazione** su Bearer Token.**

1. Dalla procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **Bearer Token** dell'applicazione CyberArk IAM Identity Center.

1. Fai clic su **Verifica** per testare e applicare la configurazione.

1. In **Opzioni di sincronizzazione**, scegliete il comportamento giusto per il quale desiderate che il provisioning in uscita funzioniCyberArk. Puoi scegliere di sovrascrivere (o meno) gli utenti esistenti di IAM Identity Center con un nome principale simile e il comportamento di de-provisioning.

1. **In **Role Mapping**, configura la mappatura dai CyberArk ruoli, nel campo **Nome**, al gruppo IAM Identity Center, nel gruppo di destinazione.**

1. Una volta terminato, fai clic su **Salva** in basso.

1. Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli **Utenti**. Gli utenti sincronizzati da CyberArk verranno visualizzati nella pagina **Utenti**. Questi utenti possono ora essere assegnati agli account e possono connettersi all'interno di IAM Identity Center.

## (Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center
<a name="cyberark-step3"></a>

Questa è una procedura facoltativa da CyberArk utilizzare se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci CyberArk vengono passati in un'asserzione SAML a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. CyberArk 

Prima di iniziare questa procedura, è necessario abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).

**Per configurare gli attributi utente CyberArk per il controllo degli accessi in IAM Identity Center**

1. Apri l'applicazione CyberArk IAM Identity Center che hai installato come parte della configurazione di SAML per CyberArk (**App > App Web**).

1. Vai all'opzione **SAML Response**.

1. In **Attributi**, aggiungi gli attributi pertinenti alla tabella seguendo la logica seguente:

   1. **Il nome dell'attributo** è il nome dell'attributo originale diCyberArk.

   1. Il **valore dell'attributo** è il nome dell'attributo inviato nell'asserzione SAML a IAM Identity Center.

1. Scegli **Save** (Salva).

## (Facoltativo) Passaggio di attributi per il controllo degli accessi
<a name="cyberark-passing-abac"></a>

Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.

Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.