本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# PingOne
<a name="pingone-idp"></a>

IAM Identity Center 支持将 Ping Identity 的（以下简称“Ping”）PingOne 产品的用户信息自动调配（同步）到 IAM Identity Center。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以使用 IAM Identity Center SCIM 端点和访问令牌在 PingOne 中配置此连接。配置 SCIM 同步时，您将在 PingOne 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 PingOne 之间的预期属性匹配。

以下步骤将引导您了解如何使用 SCIM 协议将用户从 PingOne 自动预置到 IAM Identity Center。

**注意**  
在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#pingone-prereqs)
+ [注意事项](#pingone-considerations)
+ [步骤 1：在 IAM Identity Center 中启用预置](#pingone-step1)
+ [步骤2：在 PingOne 中配置预置](#pingone-step2)
+ [（可选）第三步：在 PingOne IAM Identity Center 中配置用户属性进行访问控制](#pingone-step3)
+ [（可选）传递访问控制属性](#pingone-passing-abac)
+ [问题排查](#pingone-troubleshooting)

## 先决条件
<a name="pingone-prereqs"></a>

在开始之前，您将需要以下内容：
+ PingOne 订阅或免费试用，具有联合身份验证和预置功能。有关如何获得免费试用，请参阅 [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html) 网站。
+ 支持 IAM Identity Center 的帐户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ PingOne IAM Identity Center 应用程序已添加到您的 PingOne 管理门户。您可以从应用程序目录中获取 PingOne IAM Identity Center PingOne 应用程序。有关一般信息，请参阅 Ping Identity 网站上的[应用程序目录中添加应用程序](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html)。
+ 从 PingOne 实例到 IAM Identity Center 的 SAML 连接。将 PingOne IAM Identity Center 应用程序添加到您的 PingOne 管理门户后，您必须使用它来配置从您的 PingOne 实例到 IAM Identity Center 的 SAML 连接。使用两端的“下载”和“导入”元数据功能在 PingOne 和 IAM Identity Center 之间交换 SAML 元数据。有关如何配置此连接的说明，请参阅 PingOne 文档。
+ 如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置以允许访问 AWS 托管应用程序和 AWS 账户 从这些区域访问托管应用程序。有关更多详细信息，请参阅[步骤 3：更新外部 IdP 设置](replicate-to-additional-region.md#update-external-idp-setup)。有关更多详细信息，请参阅PingOne文档。

## 注意事项
<a name="pingone-considerations"></a>

以下是关于 PingOne 的重要注意事项，它们可能会影响您使用 IAM Identity Center 实施预置的方式。
+ PingOne 不支持通过 SCIM 预置组。联系 Ping 获取 SCIM 组支持 PingOne 的最新信息。
+ 在 PingOne 管理门户中禁用配置后，用户可以继续从 PingOne 进行配置。如果您需要立即终止配置，请删除相关的 SCIM 持有者令牌，[使用 SCIM 从外部身份提供者预置用户和组](provision-automatically.md)在 IAM 身份 and/or 中心中将其禁用。
+ 如果从 PingOne 中配置的数据存储中删除用户的属性，则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 PingOne’s 置备程序实现中的一个已知限制。如果修改属性，更改将同步到 IAM Identity Center。
+ 以下是关于 PingOne 中 SAML 配置的重要注意事项：
  + IAM Identity Center 仅支持 `emailaddress` 作为 `NameId` 格式。这意味着您需要为中的 **SAML\$1** SUBJECT 映射选择一个用户属性PingOne，该属性在目录中是唯一的、非空且格式为 email/UPN （例如，user@domain.com）。PingOne**电子邮件（工作）**是用于带有PingOne 内置目录的测试配置的合理值。
  + PingOne 中电子邮件地址包含 **\$1** 字符的用户可能无法登录 IAM Identity Center，并出现诸如 `'SAML_215'` 或 `'Invalid input'` 之类的错误。要解决此问题，请在 PingOne 中为**属性映射**中的 **SAML\$1SUBJECT** 映射选择**高级**选项。然后在下拉菜单中将要**发送到 SP: 的名称 ID 格式**设置为 **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="pingone-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预置，您需要使用 PingOne IAM Identity Center 应用程序完成其余任务。以下过程中描述了这些步骤。

## 步骤2：在 PingOne 中配置预置
<a name="pingone-step2"></a>

在 PingOne IAM Identity Center 应用程序中使用以下过程来启用 IAM Identity Center 的预置。此过程假设您已将 PingOne IAM Identity Center 应用程序添加到 PingOne 管理门户。如果您尚未执行此操作，请参阅 [先决条件](#pingone-prereqs)，然后完成此过程来配置 SCIM 预置。

**要在 PingOne 中配置预置**

1. 打开您在为 PingOne 配置 SAML 时安装的 PingOne IAM Identity Center 应用程序（**应用程序** > **我的应用程序**）。请参阅[先决条件](#pingone-prereqs)。

1. 滚动到页面底部。在**用户预置**下，选择**完整**链接以导航到连接的用户预置配置。

1. 在**预置说明**页面上，选择**继续下一步**。

1. 在上一过程中，您复制了 IAM Identity Center 中的 **SCIM 端点**值。将该值粘贴到 PingOne IAM Identity Center 应用程序中的 **SCIM URL** 字段中。此外，在之前的过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 PingOne IAM Identity Center 应用程序中的 **ACCESS\$1TOKEN **字段中。

1. 对于 **REMOVE\$1ACTION**，选择**已禁用**或**已删除**（有关更多详细信息，请参阅页面上的说明文本）。

1. 在**属性映射**页面上，按照本页面前面的 [注意事项](#pingone-considerations) 中的指导，选择用于 **SAML\$1SUBJECT** (`NameId`) 断言的值。然后选择**继续下一步**。

1. 在 **PingOne 应用程序自定义 - IAM Identity Center **页面上，进行任何所需的自定义更改（可选），然后单击**继续下一步**。

1. 在**组访问权限**页面上，选择包含您想要启用的用户组，以便预置和单点登录 IAM Identity Center。选择**继续下一步**。

1. 滚动到页面底部，然后选择**完成**，开始预置。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自 PingOne 的同步用户将显示在**用户**页面上。现在可以将这些用户分配给 IAM Identity Center 内的帐户和应用程序。

   请记住，PingOne 不支持通过 SCIM 预置组或组成员身份。联系 Ping 以获取更多信息。

## （可选）第三步：在 PingOne IAM Identity Center 中配置用户属性进行访问控制
<a name="pingone-step3"></a>

PingOne如果您选择为 IAM Identity Center 配置属性以管理对 AWS 资源的访问权限，则这是一个可选过程。您在 PingOne 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您在 IAM Identity Center 中创建权限集，以根据您从 PingOne 传递的属性管理访问权限。

在开始此过程之前，您必须首先启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

**要在 PingOne 中配置用户属性，用于 IAM Identity Center 的访问控制**

1. 打开您在为 PingOne 配置 SAML 时安装的 PingOne IAM Identity Center 应用程序（**应用程序 > 我的应用程序**）。

1. 选择**编辑**，然后选择**继续下一步**，直到进入**属性映射**页面。

1. 在**属性映射**页上，选择**添加新属性**，然后执行以下操作。您必须对要添加的每个属性执行这些步骤，以便在 IAM Identity Center 中使用以进行访问控制。

   1. 在**应用程序属性** 字段中输入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`。*AttributeName* 替换为您在 IAM Identity Center 中期望的属性的名称。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`。

   1. 在**身份关联属性或文本值**字段中，从 PingOne 目录中选择用户属性。例如，**电子邮件（工作）**。

1. 选择**下一步**几次，然后选择**完成**。

## （可选）传递访问控制属性
<a name="pingone-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

## 问题排查
<a name="pingone-troubleshooting"></a>

有关使用 PingOne 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ 有关 PingOne 的更多信息，请参阅 [PingOne 文档](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持