Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center - AWS IAM Identity Center
PrerequisitiFase 1: abilitare il provisioning in IAM Identity CenterFase 2: Configurare il provisioning in OneLogin(Facoltativo) Passaggio 3: configura gli attributi utente in OneLogin per il controllo degli accessi in IAM Identity Center(Facoltativo) Passaggio di attributi per il controllo degli accessiRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center

IAM Identity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi da OneLogin in IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni.

Si configura questa connessione in OneLogin, utilizzando l'endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente in OneLogin agli attributi denominati in IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e OneLogin.

I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi da OneLogin a IAM Identity Center utilizzando il protocollo SCIM.

Nota

Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. Considerazioni sull'utilizzo del provisioning automatico

Prerequisiti

Avrai bisogno di quanto segue prima di iniziare:

Fase 1: abilitare il provisioning in IAM Identity Center

In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.

Per abilitare il provisioning automatico in IAM Identity Center

  1. Dopo aver completato i prerequisiti, apri la console IAM Identity Center.

  2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

  3. Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.

  4. Nella finestra di dialogo di provisioning automatico in entrata, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli più tardi quando configuri il provisioning nel tuo IdP.

    1. Endpoint SCIM: ad esempio, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token di accesso: scegli Mostra token per copiare il valore.

    avvertimento

    Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.

  5. Scegli Chiudi.

Ora hai configurato il provisioning nella console IAM Identity Center. Ora devi eseguire le attività rimanenti utilizzando il OneLogin console di amministrazione come descritto nella procedura seguente.

Fase 2: Configurare il provisioning in OneLogin

Utilizzare la procedura seguente in OneLogin console di amministrazione per abilitare l'integrazione tra IAM Identity Center e l'app IAM Identity Center. Questa procedura presuppone che tu abbia già configurato l'applicazione AWS Single Sign-On in OneLogin per l'autenticazione SAML. Se non hai ancora creato questa connessione SAML, fallo prima di procedere e poi torna qui per completare il processo di provisioning SCIM. Per ulteriori informazioni sulla configurazione di SAML con OneLogin, vedi Abilitazione del Single Sign-On Between OneLogin e AWS sul blog AWS Partner Network.

Per configurare il provisioning in OneLogin

  1. Accedi a OneLogin, quindi vai su Applicazioni > Applicazioni.

  2. Nella pagina Applicazioni, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli Configurazione dal pannello di navigazione.

  3. Nella procedura precedente, hai copiato il valore dell'endpoint SCIM in IAM Identity Center. Incolla quel valore nel campo SCIM Base URL in OneLogin. Inoltre, nella procedura precedente hai copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel campo SCIM Bearer Token in OneLogin.

  4. Accanto a Connessione API, fai clic su Abilita, quindi su Salva per completare la configurazione.

  5. Nel riquadro di navigazione, scegli Provisioning.

  6. Seleziona le caselle di controllo Abilita provisioning, Crea utente, Elimina utente e Aggiorna utente, quindi scegli Salva.

  7. Nel pannello di navigazione, seleziona Utenti.

  8. Fai clic su Altre azioni e scegli Sincronizza accessi. Dovresti ricevere il messaggio Sincronizzazione degli utenti con AWS Single Sign-On.

  9. Fai nuovamente clic su Altre azioni, quindi scegli Riapplica le mappature dei diritti. Dovresti ricevere il messaggio Le mappature vengono riapplicate.

  10. A questo punto, dovrebbe iniziare il processo di approvvigionamento. Per confermare ciò, accedi ad Attività > Eventi e monitora l'avanzamento. Gli eventi di provisioning riusciti, così come gli errori, dovrebbero apparire nel flusso degli eventi.

  11. Per verificare che tutti gli utenti e i gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti. I tuoi utenti sincronizzati da OneLogin appaiono nella pagina Utenti. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina Gruppi.

  12. Per sincronizzare automaticamente le modifiche degli utenti su IAM Identity Center, accedi alla pagina Provisioning, individua la sezione Richiedi l'approvazione dell'amministratore prima che questa azione venga eseguita, deseleziona Crea utente, Elimina utente e/o Aggiorna utente e fai clic su Salva.

(Facoltativo) Passaggio 3: configura gli attributi utente in OneLogin per il controllo degli accessi in IAM Identity Center

Questa è una procedura opzionale per OneLogin se scegli di configurare gli attributi, utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci in OneLogin vengono passati in un'asserzione SAML a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui hai trasmesso OneLogin.

Prima di iniziare questa procedura, devi prima abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.

Per configurare gli attributi utente in OneLogin per il controllo degli accessi in IAM Identity Center

  1. Accedi a OneLogin, quindi vai su Applicazioni > Applicazioni.

  2. Nella pagina Applicazioni, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli Parametri dal pannello di navigazione.

  3. Nella sezione Parametri richiesti, procedi come segue per ogni attributo che desideri utilizzare in IAM Identity Center:

    1. Scegli +.

    2. In Nome campohttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, inserisci e sostituisci AttributeName con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    3. In Flags, seleziona la casella accanto a Includi nell'asserzione SAML e scegli Salva.

    4. Nel campo Valore, utilizza l'elenco a discesa per scegliere OneLogin attributi utente. Ad esempio, Department.

  4. Seleziona Salva.

(Facoltativo) Passaggio di attributi per il controllo degli accessi

Facoltativamente, puoi utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta Passing session tag AWS STS in the IAM User Guide.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, usa il seguente attributo.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.

Risoluzione dei problemi

Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la configurazione del provisioning automatico con OneLogin.

I gruppi non vengono assegnati a IAM Identity Center

Per impostazione predefinita, i gruppi non possono essere forniti da OneLogin a IAM Identity Center. Assicurati di aver abilitato il provisioning di gruppo per la tua applicazione IAM Identity Center in OneLogin. Per fare ciò, accedi al OneLogin console di amministrazione e verifica che l'opzione Includi nel provisioning degli utenti sia selezionata nelle proprietà dell'applicazione IAM Identity Center (applicazione IAM Identity Center > Parametri > Gruppi). Per ulteriori dettagli su come creare gruppi in OneLogin, incluso come eseguire la sincronizzazione OneLogin ruoli come gruppi in SCIM, consulta il OneLogin sito web.

Niente è sincronizzato da OneLogin su IAM Identity Center, nonostante tutte le impostazioni siano corrette

Oltre alla nota precedente relativa all'approvazione dell'amministratore, dovrai riapplicare le mappature delle autorizzazioni per rendere effettive molte modifiche alla configurazione. È possibile trovarlo in Applicazioni > Applicazioni > Applicazione IAM Identity Center > Altre azioni. Puoi visualizzare i dettagli e i registri per la maggior parte delle azioni in OneLogin, inclusi gli eventi di sincronizzazione, in Attività > Eventi.

Ho eliminato o disabilitato un gruppo in OneLogin, ma appare ancora in IAM Identity Center

OneLogin attualmente non supporta l'operazione SCIM DELETE per i gruppi, il che significa che il gruppo continua a esistere in IAM Identity Center. È quindi necessario rimuovere il gruppo direttamente da IAM Identity Center per garantire che tutte le autorizzazioni corrispondenti in IAM Identity Center per quel gruppo vengano rimosse.

Ho eliminato un gruppo in IAM Identity Center senza prima eliminarlo da OneLogin e ora ho problemi di sincronizzazione utente/gruppo

Per porre rimedio a questa situazione, assicurati innanzitutto di non avere regole o configurazioni ridondanti di provisioning di gruppo in OneLogin. Ad esempio, un gruppo assegnato direttamente a un'applicazione insieme a una regola che pubblica nello stesso gruppo. Quindi, elimina tutti i gruppi indesiderati in IAM Identity Center. Infine, in OneLogin, aggiorna le autorizzazioni (app IAM Identity Center > Provisioning > Entitlements), quindi riapplica le mappature delle autorizzazioni (app IAM Identity Center > Altre azioni). Per evitare che questo problema si verifichi in futuro, apporta innanzitutto la modifica per interrompere l'approvvigionamento del gruppo OneLogin, quindi elimina il gruppo da IAM Identity Center.