本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 IAM Identity Center 与 JumpCloud 目录平台连接
<a name="jumpcloud-idp"></a>

IAM Identity Center 支持将用户信息从  JumpCloud Directory Platform 自动预置（同步）到 IAM Identity Center。此预置使用[安全断言标记语言（SAML）2.0](scim-profile-saml.md)协议。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

您可以使用 IAM Identity Center SCIM 端点和访问令牌在 JumpCloud 中配置此连接。配置 SCIM 同步时，您将在 JumpCloud 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 JumpCloud 之间的预期属性匹配。

本指南基于截至 2021 年 6 月的 JumpCloud。新版本的步骤可能有所不同。本指南包含一些有关通过 SAML 配置用户身份验证的说明。

以下步骤将引导您了解如何使用 SCIM 协议将用户和组从 JumpCloud 自动预置到 IAM Identity Center。

**注意**  
在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#jumpcloud-prereqs)
+ [SCIM 注意事项](#jumpcloud-scim)
+ [步骤 1：在 IAM Identity Center 中启用预置](#jumpcloud-step1)
+ [步骤2：在 JumpCloud 中配置预置](#jumpcloud-step2)
+ [（可选）第三步：在 JumpCloud IAM Identity Center 中配置用户属性进行访问控制](#jumpcloud-step3)
+ [（可选）传递访问控制属性](#jumpcloud-passing-abac)

## 先决条件
<a name="jumpcloud-prereqs"></a>

在开始之前，您将需要以下内容：
+ JumpCloud 订阅或免费试用。报名参加免费试用访问 [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup)。
+ 启用 IAM 身份中心的账户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 从您的 JumpCloud 帐户到 IAM Identity Center 的 SAML 连接，如 [IAM Identity Center JumpCloud 文档](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)中所述。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置以允许访问 AWS 托管应用程序和 AWS 账户 从这些区域访问托管应用程序。有关更多详细信息，请参阅[步骤 3：更新外部 IdP 设置](replicate-to-additional-region.md#update-external-idp-setup)。有关更多详细信息，请参阅JumpCloud文档。
+ 将 IAM Identity Center 连接器与您想要允许访问 AWS 帐户的组关联。

## SCIM 注意事项
<a name="jumpcloud-scim"></a>

 以下是使用 IAM Identity Center 联合身份验证 JumpCloud 时的注意事项。
+ 只有与中的 AWS 单点登录连接器关联的群组才 JumpCloud会与 SCIM 同步。
+ 只能同步一种电话号码属性，默认为“工作电话”。
+ JumpCloud 目录中的用户必须配置名字和姓氏才能使用 SCIM 同步到 IAM Identity Center。
+ 如果用户在 IAM Identity Center 中被禁用但在 JumpCloud 中仍然激活，属性仍然会同步。
+ 您可以通过取消选中连接器中的“启用用户组和组成员身份管理”来选择仅对用户信息启用 SCIM 同步。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="jumpcloud-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预配置，您需要使用 JumpCloud IAM Identity Center 连接器完成剩余任务。以下过程中描述了这些步骤。

## 步骤2：在 JumpCloud 中配置预置
<a name="jumpcloud-step2"></a>

在 JumpCloud IAM Identity Center 连接器中使用以下过程以启用 IAM Identity Center 预置。此过程假设您已将  JumpCloud IAM Identity Center 连接器添加到您的 JumpCloud 管理门户和组。如果您尚未执行此操作，请参阅 [先决条件](#jumpcloud-prereqs)，然后完成此过程来配置 SCIM 预置。

**要在 JumpCloud 中配置预置**

1. 打开您在为 JumpCloud 配置 SAML 过程中安装的 JumpCloud IAM Identity Center 连接器（**用户身份验证** > **IAM Identity Center**）。请参阅[先决条件](#jumpcloud-prereqs)。

1. 选择 **IAM Identity Center** 连接器，然后选择第三个选项卡**身份管理**。

1. 如果您希望组 SCIM 同步，请选中**启用此应用程序中的用户组和组成员身份管理**复选框。

1. 单击**配置**。

1. 在上一过程中，您复制了 IAM Identity Center 中的 **SCIM 端点**值。将该值粘贴到 JumpCloud IAM Identity Center 连接器的**基本 URL** 字段中。

1. 在上一过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 JumpCloud IAM Identity Center 连接器中的**令牌密钥**字段中。

1. 单击**激活**以应用配置。

1. 确保**单点登录**旁边有一个绿色指示器已激活。

1. 移至第四个选项卡**用户组**并检查要使用 SCIM 配置的组。

1. 完成后点击底部的**保存**。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自  JumpCloud 的同步用户出现在**用户**页面上。现在可以将这些用户分配到 IAM Identity Center 内的帐户。

## （可选）第三步：在 JumpCloud IAM Identity Center 中配置用户属性进行访问控制
<a name="jumpcloud-step3"></a>

如果您选择为 IAM Identity Center 配置属性以管理对 AWS 资源的访问权限，则这是一个可选过程。JumpCloud您在 JumpCloud 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您在 IAM Identity Center 中创建权限集，以根据您从 JumpCloud 传递的属性管理访问权限。

在开始此过程之前，您必须首先启用[访问控制功能的属性](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html)。有关如何执行此操作的详细信息，请参阅[启用和配置访问控制属性](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)。

****要在 JumpCloud 中配置用户属性，用于 IAM Identity Center 的访问控制****

1. 打开您在为 JumpCloud 配置 SAML 过程中安装的 JumpCloud IAM Identity Center 连接器（**用户身份验证** > **IAM Identity Center**）。

1. 选择 **IAM Identity Center** 连接器。然后，选择第二个选项卡 **IAM 身份中心**。

1. 在此选项卡底部，您可以选择**用户属性**映射，选择**添加新属性**，然后执行以下操作： 您必须对要添加以在 IAM Identity Center 中用于访问控制的每个属性执行这些步骤。

   1. 在**服务提供属性名称**字段中，输入 `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` 将 ` AttributeName ` 替换为您在 IAM Identity Center 中期望的属性名称。例如，` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `。

   1. 在 **JumpCloud 属性名称**字段中，从 JumpCloud 目录中选择用户属性。例如，**电子邮件（工作）**。

1. 选择**保存**。

## （可选）传递访问控制属性
<a name="jumpcloud-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。