As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# PingFederate
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário e grupo a partir do produto PingFederate do Ping Identity (doravante “Ping“) para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
Você configura essa conexão no PingFederate usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no PingFederate para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e PingFederate.
Este guia é baseado na versão 10.2 do PingFederate. As etapas para outras versões podem variar. Entre em contato com o Ping para obter mais informações sobre como configurar o provisionamento no IAM Identity Center para outras versões do PingFederate.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do PingFederate para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.
**Topics**
+ [Pré-requisitos](#pingfederate-prereqs)
+ [Considerações](#pingfederate-considerations)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#pingfederate-step1)
+ [Etapa 2: Configure o provisionamento no PingFederate](#pingfederate-step2)
+ [(Opcional) Etapa 3: configurar os atributos do usuário em PingFed erate para controle de acesso no IAM Identity Center](#pingfederate-step3)
+ [(Opcional) Passar atributos para controle de acesso](#pingfederate-passing-abac)
+ [Solução de problemas](#pingfederate-troubleshooting)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Um servidor do PingFederate em funcionamento. Se você não tiver um servidor do PingFederate, poderá obter uma conta de teste gratuita ou de desenvolvedor no site do [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). O teste inclui licenças e downloads de software e documentação associada.
+ Uma cópia do software IAM Identity Center Connector do PingFederate instalado em seu servidor do PingFederate. Para obter mais informações sobre como obter esse software, consulte [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) no site Ping Identity.
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua instância do PingFederate com o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingFederate. Em resumo, o caminho recomendado é usar o IAM Identity Center Connector para configurar o “SSO do navegador” no PingFederate, usando os recursos de “baixar” e “importar” metadados em ambas as extremidades para trocar metadados SAML entre o PingFederate e o IAM Identity Center.
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e a Contas da AWS partir dessas regiões. Consulte mais detalhes em [Etapa 3: atualizar a configuração do IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte a PingFederate documentação para obter detalhes adicionais.
## Considerações
A seguir estão considerações importantes sobre o PingFederate que podem afetar a forma como você implementa o provisionamento com o IAM Identity Center.
+ Se um atributo (como um número de telefone) for removido de um usuário no armazenamento de dados configurado no PingFederate, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingFederate’s. Se um atributo for alterado para um valor diferente (não vazio) em um usuário, essa alteração será sincronizada com o IAM Identity Center.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, você deve concluir as tarefas restantes usando o console administrativo do PingFederate. As etapas estão descritas no procedimento a seguir.
## Etapa 2: Configure o provisionamento no PingFederate
Use o procedimento a seguir no console administrativo do PingFederate para permitir a integração entre o IAM Identity Center e o IAM Identity Center Connector. Esse procedimento pressupõe que você já instalou o software do IAM Identity Center Connector. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#pingfederate-prereqs) e conclua este procedimento para configurar o provisionamento do SCIM.
**Importante**
Se seu servidor do PingFederate não tiver sido configurado anteriormente para provisionamento SCIM de saída, talvez seja necessário fazer uma alteração no arquivo de configuração para habilitar o provisionamento. Para obter mais informações, consulte a documentação do Ping. Em resumo, você deve modificar a configuração `pf.provisioner.mode` no arquivo **pingfederate-/pingfederate/bin/run.properties** com um valor diferente de `OFF` (que é o padrão) e reiniciar o servidor se ele estiver em execução. Por exemplo, você pode optar por usar `STANDALONE` se não tiver uma configuração de alta disponibilidade no PingFederate.
**Para configurar o provisionamento no PingFederate**
1. Faça login no console administrativo do PingFederate.
1. Selecione **Aplicativos** na parte superior da página e clique em **Conexões SP**.
1. Localize o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center e clique no nome da conexão.
1. Selecione **Tipo de conexão** nos cabeçalhos de navegação escuros próximos à parte superior da página. Você verá o **SSO do navegador** já selecionado na configuração anterior do SAML. Caso contrário, você deve concluir essas etapas primeiro antes de continuar.
1. Marque a caixa de seleção **Provisionamento de saída**, escolha **IAM Identity Center Cloud Connector** como o tipo e clique em **Salvar**. Se o **IAM Identity Center Cloud Connector** não aparecer como uma opção, verifique se você instalou o IAM Identity Center Connector e reiniciou seu servidor do PingFederate.
1. Clique em **Próximo** repetidamente até chegar à página **Provisionamento de saída** e, em seguida, clique no botão **Configurar provisionamento**.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL do SCIM** no PingFederate console. Além disso, no procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **Token de acesso** no PingFederate console. Clique em **Salvar**.
1. Na página **Configuração de canais (Configurar canais)**, clique em **Criar**.
1. Insira o **Nome de canal** desse novo canal de provisionamento (como**AWSIAMIdentityCenterchannel**) e clique em **Próximo.**
1. Na página **Fonte**, escolha o **Armazenamento de dados ativo** que você deseja usar para sua conexão com o IAM Identity Center e clique em **Próximo**.
**nota**
Se você ainda não configurou uma fonte de dados, faça isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.
1. Na página **Configurações de fonte**, confirme se todos os valores estão corretos para sua instalação e clique em **Próximo**.
1. Na página **Localização da Fonte**, insira as configurações apropriadas à sua fonte de dados e clique em **Próximo**. Por exemplo, se estiver usando o Active Directory como um diretório LDAP:
1. Insira o **DN base** da sua floresta do AD (por exemplo, **DC=myforest,DC=mydomain,DC=com**).
1. Em **Usuários > DN do Grupo**, especifique um único grupo que contenha todos os usuários que você deseja provisionar para o IAM Identity Center. Se esse grupo único não existir, crie esse grupo no AD, retorne a essa configuração e insira o DN correspondente.
1. **Especifique se deseja pesquisar subgrupos (**Pesquisa aninhada**) e qualquer filtro LDAP necessário.**
1. Em **Grupos > DN do Grupo**, especifique um único grupo que contenha todos os grupos que você deseja provisionar para o IAM Identity Center. Em muitos casos, esse pode ser o mesmo DN que você especificou na seção **Usuários**. Insira os valores de **Pesquisa aninhada** e **Filtro** conforme necessário.
1. Na página **Mapeamento de atributos**, verifique o seguinte e clique em **Próximo**:
1. O campo **Nome de usuário** deve ser mapeado para um **Atributo** formatado como um e-mail (user@domain.com). Ele também deve corresponder ao valor que o usuário usará para fazer login no Ping. Esse valor, por sua vez, é preenchido na declaração SAML `nameId` durante a autenticação federada e usado para corresponder ao usuário no IAM Identity Center. Por exemplo, ao usar o Active Directory, você pode optar por especificar o `UserPrincipalName` como o **Nome de usuário**.
1. Outros campos com o sufixo **\$1** devem ser mapeados para atributos que não sejam nulos para seus usuários.
1. Na página **Ativação e resumo**, defina o **Status do canal** como **Ativo** para fazer com que a sincronização comece imediatamente após a configuração ser salva.
1. Confirme se todos os valores de configuração na página estão corretos e clique em **Concluído**.
1. Na página **Gerenciar canais**, clique em **Salvar**.
1. Nesse ponto, o provisionamento começa. Para confirmar a atividade, você pode visualizar o arquivo **provisioner.log**, localizado por padrão no diretório **pingfederate-/pingfederate/log** do seu servidor do PingFederate.
1. Para verificar se os usuários e grupos foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do PingFederate aparecem na página **Usuários**. Você também pode ver os grupos sincronizados na página **Grupos**.
## (Opcional) Etapa 3: configurar os atributos do usuário em PingFed erate para controle de acesso no IAM Identity Center
Esse é um procedimento opcional PingFederate se você optar por configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define no PingFederate são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos que você passou do PingFederate.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário em PingFederate para controle de acesso no IAM Identity Center**
1. Faça login no console administrativo do PingFederate.
1. Escolha **Aplicativos** na parte superior da página e clique em **Conexões SP**.
1. Localize o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center e clique no nome da conexão.
1. Selecione **SSO do navegador** nos cabeçalhos de navegação escuros próximos à parte superior da página. Em seguida, clique em **Configurar SSO do navegador**.
1. Na página **Configurar SSO do Navegador**, escolha **Criação de asserção** e clique em **Configurar criação de asserção**.
1. Na página **Configurar criação de asserção**, escolha **Contrato de atributo**.
1. Na página **Contrato de atributo**, na seção **Estender o contrato**, adicione um novo atributo executando as seguintes etapas:
1. No campo de texto, digite `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName` e substitua **AttributeName** pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, .`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`
1. Em **Formato do nome do atributo**, escolha **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. Escolha **Adicionar** e a seguir **Próximo**.
1. Na página **Mapeamento da fonte de autenticação**, escolha a instância do adaptador configurada com seu aplicativo.
1. Na página **Atendimento ao Contrato de Atributo**, escolha a **Fonte** (*armazenamento de dados*) e o **Valor** (*atributo do armazenamento de dados*) para o **Contrato de Atributo** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
**nota**
Se você ainda não configurou uma fonte de dados, será necessário fazer isso agora. Consulte a documentação do produto Ping para obter informações sobre como escolher e configurar uma fonte de dados no PingFederate.
1. Clique em **Próximo** repetidamente até chegar à página **Ativação e Resumo e**, em seguida, clique em **Salvar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o PingFederate, consulte as seguintes seções:
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obter mais informações sobre o PingFederate, consulte a [documentação do PingFederate](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico