PingFederate - AWS IAM Identity Center
Pré-requisitosConsideraçõesEtapa 1: Habilitar provisionamento no IAM Identity CenterEtapa 2: Configure o provisionamento no PingFederate(Opcional) Etapa 3: configurar os atributos do usuário no PingFederate para controle de acesso no IAM Identity Center(Opcional) Passar atributos para controle de acessoSolução de problemas

PingFederate

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário e grupo a partir do produto PingFederate do Ping Identity (doravante “Ping“) para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Você configura essa conexão no PingFederate usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no PingFederate para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e PingFederate.

Este guia é baseado na versão 10.2 do PingFederate. As etapas para outras versões podem variar. Entre em contato com o Ping para obter mais informações sobre como configurar o provisionamento no IAM Identity Center para outras versões do PingFederate.

As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do PingFederate para o IAM Identity Center usando o protocolo SCIM.

nota

Antes de começar a implantar o SCIM, é recomendável que você analise Considerações sobre o uso do provisionamento automático antes. Em seguida, continue analisando considerações adicionais na próxima seção.

Pré-requisitos

Você precisará do seguinte antes de começar:

  • Um servidor do PingFederate em funcionamento. Se você não tiver um servidor do PingFederate, poderá obter uma conta de teste gratuita ou de desenvolvedor no site do Ping Identity. O teste inclui licenças e downloads de software e documentação associada.

  • Uma cópia do software IAM Identity Center Connector do PingFederate instalado em seu servidor do PingFederate. Para obter mais informações sobre como obter esse software, consulte IAM Identity Center Connector no site Ping Identity.

  • Uma conta habilitada para o IAM Identity Center (gratuita). Para obter mais informações, consulte Habilitar o IAM Identity Center.

  • Uma conexão SAML da sua instância do PingFederate com o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingFederate. Em resumo, o caminho recomendado é usar o IAM Identity Center Connector para configurar o “SSO do navegador” no PingFederate, usando os recursos de “baixar” e “importar” metadados em ambas as extremidades para trocar metadados SAML entre o PingFederate e o IAM Identity Center.

Considerações

A seguir estão considerações importantes sobre o PingFederate que podem afetar a forma como você implementa o provisionamento com o IAM Identity Center.

  • Se um atributo (como um número de telefone) for removido de um usuário no armazenamento de dados configurado no PingFederate, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingFederate’s. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.

Etapa 1: Habilitar provisionamento no IAM Identity Center

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

Para habilitar o provisionamento automático no IAM Identity Center

  1. Depois de concluir os pré-requisitos, abra o console do IAM Identity Center.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  4. Na caixa de diálogo de Provisionamento automático de entrada, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.

    1. SCIM endpoint - por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.

  5. Escolha Fechar.

Agora que você configurou o provisionamento no console do IAM Identity Center, você deve concluir as tarefas restantes usando o console administrativo do PingFederate. As etapas estão descritas no procedimento a seguir.

Etapa 2: Configure o provisionamento no PingFederate

Use o procedimento a seguir no console administrativo do PingFederate para permitir a integração entre o IAM Identity Center e o IAM Identity Center Connector. Esse procedimento pressupõe que você já instalou o software do IAM Identity Center Connector. Se você ainda não tiver feito isso, consulte Pré-requisitos e conclua este procedimento para configurar o provisionamento do SCIM.

Importante

Se seu servidor do PingFederate não tiver sido configurado anteriormente para provisionamento SCIM de saída, talvez seja necessário fazer uma alteração no arquivo de configuração para habilitar o provisionamento. Para obter mais informações, consulte a documentação do Ping. Em resumo, você deve modificar a configuração pf.provisioner.mode no arquivo pingfederate-<version>/pingfederate/bin/run.properties com um valor diferente de OFF (que é o padrão) e reiniciar o servidor se ele estiver em execução. Por exemplo, você pode optar por usar STANDALONE se não tiver uma configuração de alta disponibilidade no PingFederate.

Para configurar o provisionamento no PingFederate

  1. Faça login no console administrativo do PingFederate.

  2. Selecione Aplicativos na parte superior da página e clique em Conexões SP.

  3. Localize o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center e clique no nome da conexão.

  4. Selecione Tipo de conexão nos cabeçalhos de navegação escuros próximos à parte superior da página. Você verá o SSO do navegador já selecionado na configuração anterior do SAML. Caso contrário, você deve concluir essas etapas primeiro antes de continuar.

  5. Marque a caixa de seleção Provisionamento de saída, escolha IAM Identity Center Cloud Connector como o tipo e clique em Salvar. Se o IAM Identity Center Cloud Connector não aparecer como uma opção, verifique se você instalou o IAM Identity Center Connector e reiniciou seu servidor do PingFederate.

  6. Clique em Próximo repetidamente até chegar à página Provisionamento de saída e, em seguida, clique no botão Configurar provisionamento.

  7. No procedimento anterior, você copiou o valor do endpoint SCIM do IAM Identity Center. Cole esse valor no campo URL do SCIM no PingFederate console. Além disso, no procedimento anterior, você copiou o valor do Token de acesso do IAM Identity Center. Cole esse valor no campo Token de acesso no PingFederate console. Clique em Salvar.

  8. Na página Configuração de canais (Configurar canais), clique em Criar.

  9. Insira o Nome de canal desse novo canal de provisionamento (comoAWSIAMIdentityCenterchannel) e clique em Próximo.

  10. Na página Fonte, escolha o Armazenamento de dados ativo que você deseja usar para sua conexão com o IAM Identity Center e clique em Próximo.

    nota

    Se você ainda não configurou uma fonte de dados, faça isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.

  11. Na página Configurações de fonte, confirme se todos os valores estão corretos para sua instalação e clique em Próximo.

  12. Na página Localização da Fonte, insira as configurações apropriadas à sua fonte de dados e clique em Próximo. Por exemplo, se estiver usando o Active Directory como um diretório LDAP:

    1. Insira o DN base da sua floresta do AD (por exemplo, DC=myforest,DC=mydomain,DC=com).

    2. Em Usuários > DN do Grupo, especifique um único grupo que contenha todos os usuários que você deseja provisionar para o IAM Identity Center. Se esse grupo único não existir, crie esse grupo no AD, retorne a essa configuração e insira o DN correspondente.

    3. Especifique se deseja pesquisar subgrupos (Pesquisa aninhada) e qualquer filtro LDAP necessário.

    4. Em Grupos > DN do Grupo, especifique um único grupo que contenha todos os grupos que você deseja provisionar para o IAM Identity Center. Em muitos casos, esse pode ser o mesmo DN que você especificou na seção Usuários. Insira os valores de Pesquisa aninhada e Filtro conforme necessário.

  13. Na página Mapeamento de atributos, verifique o seguinte e clique em Próximo:

    1. O campo Nome de usuário deve ser mapeado para um Atributo formatado como um e-mail (user@domain.com). Ele também deve corresponder ao valor que o usuário usará para fazer login no Ping. Esse valor, por sua vez, é preenchido na declaração SAML nameId durante a autenticação federada e usado para corresponder ao usuário no IAM Identity Center. Por exemplo, ao usar o Active Directory, você pode optar por especificar o UserPrincipalName como o Nome de usuário.

    2. Outros campos com o sufixo * devem ser mapeados para atributos que não sejam nulos para seus usuários.

  14. Na página Ativação e resumo, defina o Status do canal como Ativo para fazer com que a sincronização comece imediatamente após a configuração ser salva.

  15. Confirme se todos os valores de configuração na página estão corretos e clique em Concluído.

  16. Na página Gerenciar canais, clique em Salvar.

  17. Nesse ponto, o provisionamento começa. Para confirmar a atividade, você pode visualizar o arquivo provisioner.log, localizado por padrão no diretório pingfederate-<version>/pingfederate/log do seu servidor do PingFederate.

  18. Para verificar se os usuários e grupos foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Os usuários sincronizados do PingFederate aparecem na página Usuários. Você também pode ver os grupos sincronizados na página Grupos.

(Opcional) Etapa 3: configurar os atributos do usuário no PingFederate para controle de acesso no IAM Identity Center

Esse é um procedimento opcional para o PingFederate se você escolher configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus recursos da AWS. Os atributos que você define no PingFederate são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos que você passou do PingFederate.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

Para configurar atributos do usuário em PingFederate para controle de acesso no IAM Identity Center

  1. Faça login no console administrativo do PingFederate.

  2. Escolha Aplicativos na parte superior da página e clique em Conexões SP.

  3. Localize o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center e clique no nome da conexão.

  4. Selecione SSO do navegador nos cabeçalhos de navegação escuros próximos à parte superior da página. Em seguida, clique em Configurar SSO do navegador.

  5. Na página Configurar SSO do Navegador, escolha Criação de asserção e clique em Configurar criação de asserção.

  6. Na página Configurar criação de asserção, escolha Contrato de atributo.

  7. Na página Contrato de atributo, na seção Estender o contrato, adicione um novo atributo executando as seguintes etapas:

    1. No campo de texto, digite https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName e substitua AttributeName pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. Em Formato do nome do atributo, escolha urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Escolha Adicionar e a seguir Próximo.

  8. Na página Mapeamento da fonte de autenticação, escolha a instância do adaptador configurada com seu aplicativo.

  9. Na página Atendimento ao Contrato de Atributo, escolha a Fonte (armazenamento de dados) e o Valor (atributo do armazenamento de dados) para o Contrato de Atributo https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    nota

    Se você ainda não configurou uma fonte de dados, será necessário fazer isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.

  10. Clique em Próximo repetidamente até chegar à página Ativação e Resumo e, em seguida, clique em Salvar.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Solução de problemas

Para solucionar problemas gerais de SCIM e SAML com o PingFederate, consulte as seguintes seções:

Os seguintes recursos podem ajudar você a solucionar problemas ao trabalhar com o AWS:

  • AWS re:Post - encontre as perguntas frequentes e links para outros recursos para ajudar você a solucionar problemas.

  • AWS Support - obter suporte técnico