Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center
IAM Identity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
**Nota**
OneLoginattualmente non supporta il servizio ACS (Multiple Assertion Consumer Service) SAML nell'applicazione. URLs AWS IAM Identity Center Questa funzionalità SAML è necessaria per sfruttare appieno il [supporto multiregionale](multi-region-iam-identity-center.md) in IAM Identity Center. Se prevedi di replicare IAM Identity Center in altre regioni, tieni presente che l'utilizzo di un singolo URL ACS può influire sull'esperienza utente in tali regioni aggiuntive. La tua regione principale continuerà a funzionare normalmente. Ti consigliamo di collaborare con il tuo fornitore IdP per abilitare questa funzionalità. Per ulteriori informazioni sull'esperienza utente in altre regioni con un singolo URL ACS, consulta e. [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) [Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Puoi configurare questa connessione inOneLogin, utilizzando il tuo endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM OneLogin Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. OneLogin
I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations)
**Topics**
+ [Prerequisiti](#onelogin-prereqs)
+ [Fase 1: abilitare il provisioning in IAM Identity Center](#onelogin-step1)
+ [Passaggio 2: configurare il provisioning in OneLogin](#onelogin-step2)
+ [(Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center](#onelogin-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#onelogin-passing-abac)
+ [Risoluzione dei problemi](#onelogin-troubleshooting)
## Prerequisiti
Avrai bisogno di quanto segue prima di iniziare:
+ Un OneLogin account. Se non disponi di un account esistente, potresti ottenere una versione di prova gratuita o un account sviluppatore dal [OneLoginsito web](https://www.onelogin.com/free-trial).
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una connessione SAML dal tuo OneLogin account a IAM Identity Center. Per ulteriori informazioni, consulta [Enabling Single Sign-On tra OneLogin e AWS sul blog](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) AWS Partner Network.
## Fase 1: abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Ora hai configurato il provisioning nella console IAM Identity Center. Ora devi eseguire le attività rimanenti utilizzando la console di OneLogin amministrazione come descritto nella procedura seguente.
## Passaggio 2: configurare il provisioning in OneLogin
Utilizza la seguente procedura nella console di OneLogin amministrazione per abilitare l'integrazione tra IAM Identity Center e l'app IAM Identity Center. Questa procedura presuppone che tu abbia già configurato l'applicazione AWS Single Sign-On OneLogin per l'autenticazione SAML. Se non hai ancora creato questa connessione SAML, fallo prima di procedere e poi torna qui per completare il processo di provisioning SCIM. Per ulteriori informazioni sulla configurazione di SAML conOneLogin, consulta [Enabling Single Sign-On Between and on](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) the Partner Network blog. OneLogin AWS AWS
**Per configurare il provisioning in OneLogin**
1. Accedi aOneLogin, quindi vai su **Applicazioni > Applicazioni**.
1. Nella pagina **Applicazioni**, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli **Configurazione** dal pannello di navigazione.
1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** in IAM Identity Center. Incolla quel valore nel campo **SCIM Base URL** di. OneLogin Inoltre, nella procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **SCIM Bearer Token di**. OneLogin
1. Accanto a **Connessione API**, fai clic su **Abilita**, quindi su **Salva** per completare la configurazione.
1. Nel riquadro di navigazione, scegli **Provisioning**.
1. Seleziona le caselle di controllo **Abilita provisioning**, **Crea utente**, **Elimina utente** e **Aggiorna utente**, quindi scegli **Salva**.
1. Nel pannello di navigazione, seleziona **Utenti**.
1. Fai clic su **Altre azioni** e scegli **Sincronizza accessi**. Dovresti ricevere il messaggio *Sincronizzazione degli utenti con AWS Single* Sign-On.
1. Fai nuovamente clic su **Altre azioni**, quindi scegli **Riapplica** le mappature dei diritti. *Dovresti ricevere il messaggio Le mappature vengono riapplicate.*
1. A questo punto, dovrebbe iniziare il processo di approvvigionamento. Per confermare ciò, accedi ad **Attività > Eventi** e monitora i progressi. Gli eventi di provisioning riusciti, così come gli errori, dovrebbero apparire nel flusso degli eventi.
1. **Per verificare che tutti gli utenti e i gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti.** I tuoi utenti sincronizzati OneLogin vengono visualizzati nella pagina **Utenti**. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina **Gruppi**.
1. **Per sincronizzare automaticamente le modifiche degli utenti su IAM Identity Center, accedi alla pagina **Provisioning**, individua la sezione **Richiedi l'approvazione dell'amministratore prima che questa azione venga eseguita**, deseleziona **Crea utente, Elimina utente****, and/or **Aggiorna utente**** e fai clic su Salva.**
## (Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center
Questa è una procedura opzionale OneLogin se scegli di configurare gli attributi che utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci OneLogin vengono passati in un'asserzione SAML a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. OneLogin
Prima di iniziare questa procedura, devi prima abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
**Per configurare gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center**
1. Accedi aOneLogin, quindi vai su **Applicazioni > Applicazioni**.
1. Nella pagina **Applicazioni**, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli **Parametri** dal pannello di navigazione.
1. Nella sezione **Parametri richiesti**, procedi come segue per ogni attributo che desideri utilizzare in IAM Identity Center:
1. Scegli **\$1**.
1. In **Nome campo**`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, inserisci e sostituisci **AttributeName** con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. **In **Flags**, seleziona la casella accanto a **Includi nell'asserzione SAML** e scegli Salva.**
1. Nel campo **Valore**, utilizza l'elenco a discesa per scegliere gli attributi utente. OneLogin **Ad esempio, Dipartimento.**
1. Scegli **Save** (Salva).
## (Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
## Risoluzione dei problemi
Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la configurazione del provisioning automatico con. OneLogin
**I gruppi non vengono assegnati a IAM Identity Center**
Per impostazione predefinita, non è possibile effettuare il provisioning dei gruppi OneLogin da IAM Identity Center. Assicurati di aver abilitato il provisioning di gruppo per la tua applicazione IAM Identity Center in. OneLogin A tale scopo, accedi alla console di OneLogin amministrazione e verifica che l'opzione **Includi nel provisioning degli utenti sia selezionata nelle** proprietà dell'applicazione IAM Identity Center (applicazione IAM Identity Center **> Parametri > Gruppi**). [Per maggiori dettagli su come creare gruppi inOneLogin, incluso come sincronizzare i OneLogin ruoli come gruppi in SCIM, consulta il sito Web. OneLogin](https://onelogin.service-now.com/support)
**Niente viene sincronizzato da OneLogin IAM Identity Center, nonostante tutte le impostazioni siano corrette**
Oltre alla nota precedente relativa all'approvazione dell'amministratore, sarà necessario **riapplicare le mappature delle autorizzazioni per rendere effettive** molte modifiche alla configurazione. È possibile trovarlo in **Applicazioni > Applicazioni > Applicazione IAM Identity Center >** Altre azioni. Puoi visualizzare i dettagli e i registri per la maggior parte delle azioniOneLogin, inclusi gli eventi di sincronizzazione, in **Attività >** Eventi.
**Ho eliminato o disabilitato un gruppo inOneLogin, ma appare ancora in IAM Identity Center**
OneLoginattualmente non supporta l'operazione SCIM DELETE per i gruppi, il che significa che il gruppo continua a esistere in IAM Identity Center. È quindi necessario rimuovere il gruppo direttamente da IAM Identity Center per garantire che tutte le autorizzazioni corrispondenti in IAM Identity Center per quel gruppo vengano rimosse.
**Ho eliminato un gruppo in IAM Identity Center senza prima eliminarlo da esso OneLogin e ora ho problemi user/group di sincronizzazione**
Per porre rimedio a questa situazione, assicurati innanzitutto di non avere regole o configurazioni ridondanti di provisioning di gruppo. OneLogin Ad esempio, un gruppo assegnato direttamente a un'applicazione insieme a una regola di pubblicazione nello stesso gruppo. Quindi, elimina tutti i gruppi indesiderati in IAM Identity Center. Infine, inOneLogin, **aggiorna** le autorizzazioni (**app IAM Identity Center > Provisioning > Entitlements), quindi riapplica le mappature delle autorizzazioni** **(app IAM Identity Center > Altre azioni**). Per evitare questo problema in futuro, apporta innanzitutto la modifica per interrompere il provisioning del gruppoOneLogin, quindi elimina il gruppo da IAM Identity Center.