Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center 支援將使用者資訊從 自動佈建 (同步) CyberArk Directory Platform到 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。如需詳細資訊,請參閱搭配外部身分提供者使用 SAML 和 SCIM 聯合身分

您可以使用 CyberArk IAM Identity Center SCIM 端點和存取權杖在 中設定此連線。當您設定 SCIM 同步時,您可以在 中建立使用者屬性映射CyberArk至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符CyberArk。

本指南以 2021 年 8 月CyberArk的 為基礎。較新版本的步驟可能會有所不同。本指南包含一些有關透過 SAML 設定使用者身分驗證的注意事項。

注意

開始部署 SCIM 之前,建議您先檢閱 使用自動佈建的考量。然後繼續檢閱下一節中的其他考量事項。

先決條件

您將需要下列項目才能開始使用:

  • CyberArk 訂閱或免費試用。若要註冊免費試用,請造訪 CyberArk

  • 啟用 IAM Identity Center 的帳戶 (免費)。如需詳細資訊,請參閱啟用 IAM Identity Center

  • 從您的 CyberArk帳戶到 IAM Identity Center 的 SAML 連線,如 CyberArkIAM Identity Center 文件所述。

  • 將 IAM Identity Center 連接器與您要允許存取的角色、使用者和組織建立關聯 AWS 帳戶。

SCIM 考量事項

以下是對 CyberArk IAM Identity Center 使用聯合時的考量:

  • 只有應用程式佈建區段中映射的角色才會同步到 IAM Identity Center。

  • 佈建指令碼僅支援預設狀態,一旦變更,SCIM 佈建可能會失敗。

    • 只能同步一個電話號碼屬性,預設值為「工作電話」。

  • 如果 IAM Identity Center CyberArk 應用程式中的角色映射已變更,則預期下列行為:

    • 如果角色名稱已變更 - 不會變更 IAM Identity Center 中的群組名稱。

    • 如果群組名稱已變更 - 新的群組將在 IAM Identity Center 中建立,則舊群組會保留,但不會有任何成員。

  • 您可以從 CyberArk IAM Identity Center 應用程式設定使用者同步和取消佈建行為,確保您為組織設定正確的行為。以下是您擁有的選項:

    • 以相同的主體名稱覆寫 (或不覆寫) Identity Center 目錄中的使用者。

    • 從CyberArk角色中移除使用者時,從 IAM Identity Center 取消佈建使用者。

    • 取消佈建使用者行為 - 停用或刪除。

步驟 1:在 IAM Identity Center 中啟用佈建

在此第一個步驟中,您可以使用 IAM Identity Center 主控台來啟用自動佈建。

在 IAM Identity Center 中啟用自動佈建
  1. 完成先決條件後,請開啟 IAM Identity Center 主控台

  2. 在左側導覽窗格中選擇設定

  3. 設定頁面上,找到自動佈建資訊方塊,然後選擇啟用。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。

  4. 傳入自動佈建對話方塊中,複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時,您需要將這些項目貼入 。

    1. SCIM 端點 - 例如,https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-5555555555/scim/v2

    2. 存取字符 - 選擇顯示字符以複製值。

    警告

    這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。您將在本教學稍後輸入這些值,以設定 IdP 中的自動佈建。

  5. 選擇關閉

現在您已在 IAM Identity Center 主控台中設定佈建,您需要使用 CyberArk IAM Identity Center 應用程式完成剩餘的任務。這些步驟會在下列程序中說明。

步驟 2:在 中設定佈建 CyberArk

在 CyberArk IAM Identity Center 應用程式中使用下列程序,以啟用使用 IAM Identity Center 的佈建。此程序假設您已將 CyberArk IAM Identity Center 應用程式新增至 Web 應用程式下的CyberArk管理員主控台。如果您尚未這麼做,請參閱 先決條件,然後完成此程序以設定 SCIM 佈建。

在 中設定佈建 CyberArk
  1. 開啟您在為 CyberArk 設定 SAML 時新增的 IAM Identity Center 應用程式 CyberArk(應用程式 > Web 應用程式)。請參閱 先決條件

  2. 選擇 IAM Identity Center 應用程式,然後前往佈建區段。

  3. 勾選啟用此應用程式的佈建方塊,然後選擇即時模式

  4. 在先前的程序中,您會從 IAM Identity Center 複製 SCIM 端點值。將該值貼到 SCIM 服務 URL 欄位中,在 CyberArk IAM Identity Center 應用程式中,將授權類型設定為授權標頭

  5. 標頭類型設定為承載字符

  6. 從先前的程序中,您複製了 IAM Identity Center 中的存取字符值。將該值貼到 IAM Identity Center CyberArk 應用程式的承載字符欄位中。

  7. 按一下驗證以測試和套用組態。

  8. 同步選項下,選擇您要傳出佈建從中CyberArk運作的正確行為。您可以選擇覆寫 (或不覆寫) 具有類似主體名稱的現有 IAM Identity Center 使用者,以及取消佈建行為。

  9. 角色映射下,設定從CyberArk角色到目的地群組下 IAM Identity Center 群組的名稱欄位下的映射。

  10. 完成後,按一下底部的儲存

  11. 若要確認使用者已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇使用者。來自 的同步使用者CyberArk會出現在使用者頁面上。這些使用者現在可以指派給 帳戶,並且可以在 IAM Identity Center 中連線。

(選用) 步驟 3:在 中設定使用者屬性CyberArk以進行 IAM Identity Center 中的存取控制 (ABAC)

如果您選擇CyberArk設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取,這是 的選用程序。您在 中定義的屬性CyberArk會在 SAML 聲明中傳遞至 IAM Identity Center。然後,您可以在 IAM Identity Center 中建立許可集,以根據您從 傳遞的屬性來管理存取權CyberArk。

開始此程序之前,您必須先啟用存取控制的屬性此功能。如需如何進行該服務的詳細資訊,請參閱啟用和設定存取控制的屬性

在 中設定使用者屬性CyberArk,以在 IAM Identity Center 中進行存取控制
  1. 開啟您在為 CyberArk 設定 SAML 時安裝的 IAM Identity Center 應用程式 CyberArk(應用程式 > Web 應用程式)。

  2. 前往 SAML 回應選項。

  3. 屬性下,依照下列邏輯將相關屬性新增至資料表:

    1. 屬性名稱是來自 的原始屬性名稱CyberArk。

    2. 屬性值是在 SAML 聲明中傳送至 IAM Identity Center 的屬性名稱。

  4. 選擇儲存

(選用) 傳遞屬性以進行存取控制

您可以選擇性地使用 IAM Identity Center 中的 存取控制的屬性功能,傳遞 Name 屬性設為 的 Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱《IAM 使用者指南》中的在 中傳遞工作階段標籤 AWS STS

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值對 CostCenter = blue,請使用下列屬性。

<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤加入個別的Attribute元素。