本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center 支援將使用者資訊從 自動佈建 (同步) CyberArk Directory Platform到 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。如需詳細資訊,請參閱搭配外部身分提供者使用 SAML 和 SCIM 聯合身分。
您可以使用 CyberArk IAM Identity Center SCIM 端點和存取權杖在 中設定此連線。當您設定 SCIM 同步時,您可以在 中建立使用者屬性映射CyberArk至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符CyberArk。
本指南以 2021 年 8 月CyberArk的 為基礎。較新版本的步驟可能會有所不同。本指南包含一些有關透過 SAML 設定使用者身分驗證的注意事項。
注意
開始部署 SCIM 之前,建議您先檢閱 使用自動佈建的考量。然後繼續檢閱下一節中的其他考量事項。
主題
先決條件
您將需要下列項目才能開始使用:
-
CyberArk 訂閱或免費試用。若要註冊免費試用,請造訪 CyberArk
。 -
啟用 IAM Identity Center 的帳戶 (免費
)。如需詳細資訊,請參閱啟用 IAM Identity Center。 -
從您的 CyberArk帳戶到 IAM Identity Center 的 SAML 連線,如 CyberArkIAM Identity Center 文件
所述。 -
將 IAM Identity Center 連接器與您要允許存取的角色、使用者和組織建立關聯 AWS 帳戶。
SCIM 考量事項
以下是對 CyberArk IAM Identity Center 使用聯合時的考量:
-
只有應用程式佈建區段中映射的角色才會同步到 IAM Identity Center。
-
佈建指令碼僅支援預設狀態,一旦變更,SCIM 佈建可能會失敗。
-
只能同步一個電話號碼屬性,預設值為「工作電話」。
-
-
如果 IAM Identity Center CyberArk 應用程式中的角色映射已變更,則預期下列行為:
-
如果角色名稱已變更 - 不會變更 IAM Identity Center 中的群組名稱。
-
如果群組名稱已變更 - 新的群組將在 IAM Identity Center 中建立,則舊群組會保留,但不會有任何成員。
-
-
您可以從 CyberArk IAM Identity Center 應用程式設定使用者同步和取消佈建行為,確保您為組織設定正確的行為。以下是您擁有的選項:
-
以相同的主體名稱覆寫 (或不覆寫) Identity Center 目錄中的使用者。
-
從CyberArk角色中移除使用者時,從 IAM Identity Center 取消佈建使用者。
-
取消佈建使用者行為 - 停用或刪除。
-
步驟 1:在 IAM Identity Center 中啟用佈建
在此第一個步驟中,您可以使用 IAM Identity Center 主控台來啟用自動佈建。
在 IAM Identity Center 中啟用自動佈建
-
完成先決條件後,請開啟 IAM Identity Center 主控台
。 -
在左側導覽窗格中選擇設定。
-
在設定頁面上,找到自動佈建資訊方塊,然後選擇啟用。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。
-
在傳入自動佈建對話方塊中,複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時,您需要將這些項目貼入 。
-
SCIM 端點 - 例如,https://scim.
us-east-2
.amazonaws.com/11111111111-2222-3333-4444-5555555555
/scim/v2 -
存取字符 - 選擇顯示字符以複製值。
警告
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。您將在本教學稍後輸入這些值,以設定 IdP 中的自動佈建。
-
-
選擇關閉。
現在您已在 IAM Identity Center 主控台中設定佈建,您需要使用 CyberArk IAM Identity Center 應用程式完成剩餘的任務。這些步驟會在下列程序中說明。
步驟 2:在 中設定佈建 CyberArk
在 CyberArk IAM Identity Center 應用程式中使用下列程序,以啟用使用 IAM Identity Center 的佈建。此程序假設您已將 CyberArk IAM Identity Center 應用程式新增至 Web 應用程式下的CyberArk管理員主控台。如果您尚未這麼做,請參閱 先決條件,然後完成此程序以設定 SCIM 佈建。
在 中設定佈建 CyberArk
-
開啟您在為 CyberArk 設定 SAML 時新增的 IAM Identity Center 應用程式 CyberArk(應用程式 > Web 應用程式)。請參閱 先決條件。
-
選擇 IAM Identity Center 應用程式,然後前往佈建區段。
-
勾選啟用此應用程式的佈建方塊,然後選擇即時模式。
-
在先前的程序中,您會從 IAM Identity Center 複製 SCIM 端點值。將該值貼到 SCIM 服務 URL 欄位中,在 CyberArk IAM Identity Center 應用程式中,將授權類型設定為授權標頭。
-
將標頭類型設定為承載字符。
-
從先前的程序中,您複製了 IAM Identity Center 中的存取字符值。將該值貼到 IAM Identity Center CyberArk 應用程式的承載字符欄位中。
-
按一下驗證以測試和套用組態。
-
在同步選項下,選擇您要傳出佈建從中CyberArk運作的正確行為。您可以選擇覆寫 (或不覆寫) 具有類似主體名稱的現有 IAM Identity Center 使用者,以及取消佈建行為。
-
在角色映射下,設定從CyberArk角色到目的地群組下 IAM Identity Center 群組的名稱欄位下的映射。
-
完成後,按一下底部的儲存。
-
若要確認使用者已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇使用者。來自 的同步使用者CyberArk會出現在使用者頁面上。這些使用者現在可以指派給 帳戶,並且可以在 IAM Identity Center 中連線。
(選用) 步驟 3:在 中設定使用者屬性CyberArk以進行 IAM Identity Center 中的存取控制 (ABAC)
如果您選擇CyberArk設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取,這是 的選用程序。您在 中定義的屬性CyberArk會在 SAML 聲明中傳遞至 IAM Identity Center。然後,您可以在 IAM Identity Center 中建立許可集,以根據您從 傳遞的屬性來管理存取權CyberArk。
開始此程序之前,您必須先啟用存取控制的屬性此功能。如需如何進行該服務的詳細資訊,請參閱啟用和設定存取控制的屬性。
在 中設定使用者屬性CyberArk,以在 IAM Identity Center 中進行存取控制
-
開啟您在為 CyberArk 設定 SAML 時安裝的 IAM Identity Center 應用程式 CyberArk(應用程式 > Web 應用程式)。
-
前往 SAML 回應選項。
-
在屬性下,依照下列邏輯將相關屬性新增至資料表:
-
屬性名稱是來自 的原始屬性名稱CyberArk。
-
屬性值是在 SAML 聲明中傳送至 IAM Identity Center 的屬性名稱。
-
-
選擇儲存。
(選用) 傳遞屬性以進行存取控制
您可以選擇性地使用 IAM Identity Center 中的 存取控制的屬性功能,傳遞 Name
屬性設為 的 Attribute
元素https://aws.amazon.com/SAML/Attributes/AccessControl:
。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱《IAM 使用者指南》中的在 中傳遞工作階段標籤 AWS STS。{TagKey}
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue
元素。例如,若要傳遞標籤鍵值對 CostCenter = blue
,請使用下列屬性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要新增多個屬性,請為每個標籤加入個別的Attribute
元素。