Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
PingOne
IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni utente dal PingOne prodotto Ping Identity (di seguito «Ping») in IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Questa connessione viene configurata PingOne utilizzando l'endpoint e il token di accesso IAM Identity Center SCIM. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in PingOne IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. PingOne
I passaggi seguenti illustrano come abilitare il provisioning automatico degli utenti da PingOne IAM Identity Center utilizzando il protocollo SCIM.
Nota
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. Considerazioni sull'utilizzo del provisioning automatico Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.
Argomenti
Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
-
Un PingOne abbonamento o una prova gratuita, con funzionalità di autenticazione e provisioning federate. Per ulteriori informazioni su come ottenere una prova gratuita, consulta il Ping Identity
sito Web. -
Un account abilitato per IAM Identity Center (gratuito
). Per ulteriori informazioni, consulta Enable IAM Identity Center. -
L'applicazione PingOne IAM Identity Center aggiunta al tuo portale di PingOne amministrazione. È possibile ottenere l'applicazione PingOne IAM Identity Center dall'PingOneApplication Catalog. Per informazioni generali, consulta Aggiungere un'applicazione dal catalogo
delle applicazioni sul Ping Identity sito Web. -
Una connessione SAML dall'PingOneistanza a IAM Identity Center. Dopo aver aggiunto l'applicazione PingOne IAM Identity Center al tuo portale di PingOne amministrazione, devi utilizzarla per configurare una connessione SAML dall'PingOneistanza a IAM Identity Center. Utilizza la funzionalità di «download» e «importazione» dei metadati su entrambe le estremità per scambiare metadati SAML tra PingOne e IAM Identity Center. Per istruzioni su come configurare questa connessione, consulta la documentazione. PingOne
-
Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS da tali regioni. Per ulteriori dettagli, consultare Fase 3: Aggiornare la configurazione dell'IdP esterno. Consulta la PingOne documentazione per ulteriori dettagli.
Considerazioni
Di seguito sono riportate importanti considerazioni in merito PingOne che possono influire sul modo in cui si implementa il provisioning con IAM Identity Center.
-
PingOnenon supporta il provisioning di gruppi tramite SCIM. Contatta Ping per le informazioni più recenti sul supporto di gruppo in SCIM for. PingOne
-
È possibile continuare a ricevere il provisioning degli utenti PingOne dopo aver disabilitato il provisioning nel portale di amministrazione. PingOne Se è necessario interrompere immediatamente il provisioning, eliminare il token BEARER SCIM pertinente e disattivarlo in IAM Identity Center. and/or Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM
-
Se un attributo per un utente viene rimosso dal data store configurato inPingOne, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Questa è una limitazione nota nell'implementazione del PingOne’s provisioner. Se un attributo viene modificato, la modifica verrà sincronizzata con IAM Identity Center.
-
Di seguito sono riportate note importanti relative alla configurazione SAML in: PingOne
-
IAM Identity Center supporta solo
emailaddresscomeNameIdformato. Ciò significa che devi scegliere un attributo utente che sia unico all'interno della tua directory inPingOne, non nullo e formattato come email/UPN (ad esempio, user@domain.com) per la mappatura SAML_SUBJECT. PingOne Email (Work) è un valore ragionevole da utilizzare per le configurazioni di test con la directory integrata. PingOne -
Gli utenti PingOne con un indirizzo e-mail contenente un carattere + potrebbero non essere in grado di accedere a IAM Identity Center, con errori come
'SAML_215'o'Invalid input'. Per risolvere questo problemaPingOne, scegli l'opzione Avanzata per la mappatura SAML_SUBJECT in Attribute Mappings. Quindi imposta Name ID Format da inviare a SP: to nel menu a discesa. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
-
Passaggio 1: abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
Per abilitare il provisioning automatico in IAM Identity Center
-
Dopo aver completato i prerequisiti, apri la console IAM Identity Center
. -
Scegli Impostazioni nel riquadro di navigazione a sinistra.
-
Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
-
Nella finestra di dialogo di provisioning automatico in entrata, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
-
Endpoint SCIM: ad esempio, https://scim.
us-east-2.amazonaws.com/ /scim/v211111111111-2222-3333-4444-555555555555 -
Token di accesso: scegli Mostra token per copiare il valore.
avvertimento
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
-
-
Scegli Chiudi.
Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando l'applicazione PingOne IAM Identity Center. Questi passaggi sono descritti nella procedura seguente.
Fase 2: Configurare il provisioning in PingOne
Utilizza la seguente procedura nell'applicazione PingOne IAM Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che tu abbia già aggiunto l'applicazione PingOne IAM Identity Center al tuo portale di PingOne amministrazione. Se non l'hai ancora fatto, consulta e completa questa procedura per Prerequisiti configurare il provisioning SCIM.
Per configurare il provisioning in PingOne
-
Apri l'applicazione PingOne IAM Identity Center che hai installato come parte della configurazione di SAML per PingOne (Applicazioni > Le mie applicazioni). Per informazioni, consulta Prerequisiti.
-
Scorri fino alla fine della pagina. In User Provisioning, scegli il link completo per accedere alla configurazione di provisioning utente della tua connessione.
-
Nella pagina Istruzioni per il provisioning, scegli Continua con il passaggio successivo.
-
Nella procedura precedente, hai copiato il valore dell'endpoint SCIM in IAM Identity Center. Incolla quel valore nel campo SCIM URL nell'applicazione PingOne IAM Identity Center. Inoltre, nella procedura precedente hai copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel campo ACCESS_TOKEN dell'applicazione PingOne IAM Identity Center.
-
Per REMOVE_ACTION, scegli Disabilitato o Eliminato (consulta il testo della descrizione nella pagina per maggiori dettagli).
-
Nella pagina Mappatura degli attributi, scegliete un valore da utilizzare per l'asserzione SAML_SUBJECT (
NameId), seguendo le indicazioni fornite in precedenza in questa pagina. Considerazioni Quindi scegli Continua al passaggio successivo. -
Nella pagina Personalizzazione dell'PingOneapp - IAM Identity Center, apporta le modifiche di personalizzazione desiderate (opzionale) e fai clic su Continua con il passaggio successivo.
-
Nella pagina Group Access, scegli i gruppi contenenti gli utenti che desideri abilitare per il provisioning e il single sign-on su IAM Identity Center. Scegli Continua al passaggio successivo.
-
Scorri fino alla fine della pagina e scegli Fine per iniziare il provisioning.
-
Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti. Gli utenti sincronizzati da PingOne verranno visualizzati nella pagina Utenti. Questi utenti possono ora essere assegnati ad account e applicazioni all'interno di IAM Identity Center.
Ricorda che non PingOne supporta la fornitura di gruppi o l'appartenenza a gruppi tramite SCIM. Contattateci Ping per ulteriori informazioni.
(Facoltativo) Fase 3: Configurazione degli attributi utente PingOne per il controllo degli accessi in IAM Identity Center
Questa è una procedura facoltativa da PingOne utilizzare se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi definiti in vengono passati in PingOne un'asserzione SAML a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. PingOne
Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.
Per configurare gli attributi utente PingOne per il controllo degli accessi in IAM Identity Center
-
Apri l'applicazione PingOne IAM Identity Center che hai installato come parte della configurazione di SAML per PingOne (Applicazioni > Le mie applicazioni).
-
Scegli Modifica, quindi scegli Continua con il passaggio successivo fino ad arrivare alla pagina Mappature degli attributi.
-
Nella pagina Mappature degli attributi, scegli Aggiungi nuovo attributo, quindi procedi come segue. È necessario eseguire questi passaggi per ogni attributo che verrà aggiunto per l'utilizzo in IAM Identity Center per il controllo degli accessi.
-
Nel campo Application Attribute, inserisci
https://aws.amazon.com/SAML/Attributes/AccessControl:. SostituisciAttributeNameAttributeNamecon il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio,https://aws.amazon.com/SAML/Attributes/AccessControl:Email. -
Nel campo Identity Bridge Attribute o Literal Value, scegli gli attributi utente dalla tua PingOne directory. Ad esempio, Email (Work).
-
-
Scegli Avanti alcune volte, quindi scegli Fine.
(Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl: impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta Passing session tag AWS STS in the IAM User Guide.{TagKey}
Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, usa il seguente attributo.
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.
Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conPingOne, consulta le seguenti sezioni:
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
AWS re:Post
- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi. Supporto AWS
- Richiedere supporto tecnico
