Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center - AWS IAM Identity Center
PrerequisitiFase 1: abilitare il provisioning in IAM Identity CenterPassaggio 2: configurare il provisioning in OneLogin(Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center(Facoltativo) Passaggio di attributi per il controllo degli accessiRisoluzione dei problemi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center

IAM Identity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni.

Nota

OneLoginattualmente non supporta il servizio ACS (Multiple Assertion Consumer Service) SAML nell'applicazione. URLs AWS IAM Identity Center Questa funzionalità SAML è necessaria per sfruttare appieno il supporto multiregionale in IAM Identity Center. Se prevedi di replicare IAM Identity Center in altre regioni, tieni presente che l'utilizzo di un singolo URL ACS può influire sull'esperienza utente in tali regioni aggiuntive. La tua regione principale continuerà a funzionare normalmente. Ti consigliamo di collaborare con il tuo fornitore IdP per abilitare questa funzionalità. Per ulteriori informazioni sull'esperienza utente in altre regioni con un singolo URL ACS, consulta e. Utilizzo di applicazioni AWS gestite senza più ACS URLs Account AWS resilienza di accesso senza più ACS URLs

Puoi configurare questa connessione inOneLogin, utilizzando il tuo endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM OneLogin Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. OneLogin

I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo SCIM.

Nota

Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. Considerazioni sull'utilizzo del provisioning automatico

Prerequisiti

Avrai bisogno di quanto segue prima di iniziare:

Fase 1: abilitare il provisioning in IAM Identity Center

In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.

Per abilitare il provisioning automatico in IAM Identity Center

  1. Dopo aver completato i prerequisiti, apri la console IAM Identity Center.

  2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

  3. Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.

  4. Nella finestra di dialogo di provisioning automatico in entrata, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.

    1. Endpoint SCIM: ad esempio, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token di accesso: scegli Mostra token per copiare il valore.

    avvertimento

    Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.

  5. Scegli Chiudi.

Ora hai configurato il provisioning nella console IAM Identity Center. Ora devi eseguire le attività rimanenti utilizzando la console di OneLogin amministrazione come descritto nella procedura seguente.

Passaggio 2: configurare il provisioning in OneLogin

Utilizza la seguente procedura nella console di OneLogin amministrazione per abilitare l'integrazione tra IAM Identity Center e l'app IAM Identity Center. Questa procedura presuppone che tu abbia già configurato l'applicazione AWS Single Sign-On OneLogin per l'autenticazione SAML. Se non hai ancora creato questa connessione SAML, fallo prima di procedere e poi torna qui per completare il processo di provisioning SCIM. Per ulteriori informazioni sulla configurazione di SAML conOneLogin, consulta Enabling Single Sign-On Between and on the Partner Network blog. OneLogin AWS AWS

Per configurare il provisioning in OneLogin

  1. Accedi aOneLogin, quindi vai su Applicazioni > Applicazioni.

  2. Nella pagina Applicazioni, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli Configurazione dal pannello di navigazione.

  3. Nella procedura precedente, hai copiato il valore dell'endpoint SCIM in IAM Identity Center. Incolla quel valore nel campo SCIM Base URL di. OneLogin Inoltre, nella procedura precedente hai copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel campo SCIM Bearer Token di. OneLogin

  4. Accanto a Connessione API, fai clic su Abilita, quindi su Salva per completare la configurazione.

  5. Nel riquadro di navigazione, scegli Provisioning.

  6. Seleziona le caselle di controllo Abilita provisioning, Crea utente, Elimina utente e Aggiorna utente, quindi scegli Salva.

  7. Nel pannello di navigazione, seleziona Utenti.

  8. Fai clic su Altre azioni e scegli Sincronizza accessi. Dovresti ricevere il messaggio Sincronizzazione degli utenti con AWS Single Sign-On.

  9. Fai nuovamente clic su Altre azioni, quindi scegli Riapplica le mappature dei diritti. Dovresti ricevere il messaggio Le mappature vengono riapplicate.

  10. A questo punto, dovrebbe iniziare il processo di approvvigionamento. Per confermare ciò, accedi ad Attività > Eventi e monitora i progressi. Gli eventi di provisioning riusciti, così come gli errori, dovrebbero apparire nel flusso degli eventi.

  11. Per verificare che tutti gli utenti e i gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti. I tuoi utenti sincronizzati OneLogin vengono visualizzati nella pagina Utenti. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina Gruppi.

  12. Per sincronizzare automaticamente le modifiche degli utenti su IAM Identity Center, accedi alla pagina Provisioning, individua la sezione Richiedi l'approvazione dell'amministratore prima che questa azione venga eseguita, deseleziona Crea utente, Elimina utente, and/or Aggiorna utente e fai clic su Salva.

(Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center

Questa è una procedura opzionale OneLogin se scegli di configurare gli attributi che utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci OneLogin vengono passati in un'asserzione SAML a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. OneLogin

Prima di iniziare questa procedura, devi prima abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.

Per configurare gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center

  1. Accedi aOneLogin, quindi vai su Applicazioni > Applicazioni.

  2. Nella pagina Applicazioni, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli Parametri dal pannello di navigazione.

  3. Nella sezione Parametri richiesti, procedi come segue per ogni attributo che desideri utilizzare in IAM Identity Center:

    1. Scegli +.

    2. In Nome campohttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, inserisci e sostituisci AttributeName con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    3. In Flags, seleziona la casella accanto a Includi nell'asserzione SAML e scegli Salva.

    4. Nel campo Valore, utilizza l'elenco a discesa per scegliere gli attributi utente. OneLogin Ad esempio, Dipartimento.

  4. Scegli Save (Salva).

(Facoltativo) Passaggio di attributi per il controllo degli accessi

Facoltativamente, puoi utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta Passing session tag AWS STS in the IAM User Guide.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, usa il seguente attributo.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.

Risoluzione dei problemi

Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la configurazione del provisioning automatico con. OneLogin

I gruppi non vengono assegnati a IAM Identity Center

Per impostazione predefinita, non è possibile effettuare il provisioning dei gruppi OneLogin da IAM Identity Center. Assicurati di aver abilitato il provisioning di gruppo per la tua applicazione IAM Identity Center in. OneLogin A tale scopo, accedi alla console di OneLogin amministrazione e verifica che l'opzione Includi nel provisioning degli utenti sia selezionata nelle proprietà dell'applicazione IAM Identity Center (applicazione IAM Identity Center > Parametri > Gruppi). Per maggiori dettagli su come creare gruppi inOneLogin, incluso come sincronizzare i OneLogin ruoli come gruppi in SCIM, consulta il sito Web. OneLogin

Niente viene sincronizzato da OneLogin IAM Identity Center, nonostante tutte le impostazioni siano corrette

Oltre alla nota precedente relativa all'approvazione dell'amministratore, sarà necessario riapplicare le mappature delle autorizzazioni per rendere effettive molte modifiche alla configurazione. È possibile trovarlo in Applicazioni > Applicazioni > Applicazione IAM Identity Center > Altre azioni. Puoi visualizzare i dettagli e i registri per la maggior parte delle azioniOneLogin, inclusi gli eventi di sincronizzazione, in Attività > Eventi.

Ho eliminato o disabilitato un gruppo inOneLogin, ma appare ancora in IAM Identity Center

OneLoginattualmente non supporta l'operazione SCIM DELETE per i gruppi, il che significa che il gruppo continua a esistere in IAM Identity Center. È quindi necessario rimuovere il gruppo direttamente da IAM Identity Center per garantire che tutte le autorizzazioni corrispondenti in IAM Identity Center per quel gruppo vengano rimosse.

Ho eliminato un gruppo in IAM Identity Center senza prima eliminarlo da esso OneLogin e ora ho problemi user/group di sincronizzazione

Per porre rimedio a questa situazione, assicurati innanzitutto di non avere regole o configurazioni ridondanti di provisioning di gruppo. OneLogin Ad esempio, un gruppo assegnato direttamente a un'applicazione insieme a una regola di pubblicazione nello stesso gruppo. Quindi, elimina tutti i gruppi indesiderati in IAM Identity Center. Infine, inOneLogin, aggiorna le autorizzazioni (app IAM Identity Center > Provisioning > Entitlements), quindi riapplica le mappature delle autorizzazioni (app IAM Identity Center > Altre azioni). Per evitare questo problema in futuro, apporta innanzitutto la modifica per interrompere il provisioning del gruppoOneLogin, quindi elimina il gruppo da IAM Identity Center.