本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 OneLogin和 IAM Identity Center 之間設定 SCIM 佈建
<a name="onelogin-idp"></a>

IAM Identity Center 支援使用跨網域身分管理 (SCIM) 2.0 版通訊協定，將使用者和群組資訊從 自動佈建 （同步） OneLogin到 IAM Identity Center。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

**注意**  
OneLogin 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多聲明使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域，請注意，使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作，以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

您可以使用 IAM Identity Center 的 SCIM 端點和 IAM Identity Center 自動建立的承載字符OneLogin，在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射OneLogin至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符OneLogin。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者和群組從 自動佈建OneLogin至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。

**Topics**
+ [先決條件](#onelogin-prereqs)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#onelogin-step1)
+ [步驟 2：在 中設定佈建 OneLogin](#onelogin-step2)
+ [（選用） 步驟 3：在 中設定使用者屬性OneLogin，以在 IAM Identity Center 中進行存取控制](#onelogin-step3)
+ [（選用） 傳遞屬性以進行存取控制](#onelogin-passing-abac)
+ [疑難排解](#onelogin-troubleshooting)

## 先決條件
<a name="onelogin-prereqs"></a>

您將需要下列項目才能開始使用：
+ OneLogin 帳戶。如果您沒有現有的 帳戶，您可能可以從 [OneLogin網站](https://www.onelogin.com/free-trial)取得免費試用或開發人員帳戶。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從OneLogin您的帳戶到 IAM Identity Center 的 SAML 連線。如需詳細資訊，請參閱 AWS 合作夥伴網路部落格上的在 [OneLogin和 之間啟用單一登入 AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="onelogin-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學稍後輸入這些值，以設定 IdP 中的自動佈建。

1. 選擇**關閉**。

您現在已在 IAM Identity Center 主控台中設定佈建。現在，您需要使用OneLogin管理員主控台執行剩餘的任務，如下列程序所述。

## 步驟 2：在 中設定佈建 OneLogin
<a name="onelogin-step2"></a>

在OneLogin管理員主控台中使用下列程序，以啟用 IAM Identity Center 與 IAM Identity Center 應用程式之間的整合。此程序假設您已在 中設定 AWS 單一登入應用程式OneLogin以進行 SAML 身分驗證。如果您尚未建立此 SAML 連線，請在繼續之前執行此操作，然後返回這裡以完成 SCIM 佈建程序。如需使用 設定 SAML 的詳細資訊OneLogin，請參閱 合作夥伴網路部落格上的 AWS 在 [OneLogin和 之間啟用單一登入 AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/)。

**在 中設定佈建 OneLogin**

1. 登入 OneLogin，然後導覽至**應用程式 > 應用程式**。

1. 在**應用程式**頁面上，搜尋您先前建立的應用程式，以與 IAM Identity Center 建立 SAML 連線。選擇它，然後從導覽窗格中選擇**組態**。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 中的 **SCIM 基礎 URL** 欄位OneLogin。此外，在先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 中的 **SCIM 承載權杖**欄位OneLogin。

1. 在 **API 連線**旁，按一下**啟用**，然後按一下**儲存**以完成組態。

1. 在導覽窗格中，選擇 **Provisioning** (佈建)。

1. 選取**啟用佈建**、**建立使用者**、**刪除使用者**和**更新使用者的**核取方塊，然後選擇**儲存**。

1. 在導覽窗格中，選擇**使用者** 。

1. 按一下**更多動作**，然後選擇**同步登入**。您應該會收到*使用 AWS 單一登入同步使用者*的訊息。

1. 再次按一下**更多動作**，然後選擇**重新套用權利映射**。您應該會收到*正在重新套用映射*的訊息。

1. 此時，佈建程序應開始。若要確認，請導覽至**活動 > 事件**，並監控進度。成功的佈建事件以及錯誤都應該出現在事件串流中。

1. 若要確認您的使用者和群組皆已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步使用者OneLogin會出現在**使用者**頁面上。您也可以在群組頁面上檢視同步的**群組**。

1. 若要自動將使用者變更同步至 IAM Identity Center，請導覽至**佈建**頁面，找到**需要管理員核准才能執行此動作**區段，取消選取**建立使用者**、**刪除使用者**和/或**更新使用者**，然後按一下**儲存**。

## （選用） 步驟 3：在 中設定使用者屬性OneLogin，以在 IAM Identity Center 中進行存取控制
<a name="onelogin-step3"></a>

OneLogin 如果您選擇設定要在 IAM Identity Center 中用來管理 AWS 資源存取的屬性，這是 的選用程序。您在 中定義的屬性OneLogin會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您將在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權OneLogin。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性OneLogin，以在 IAM Identity Center 中控制存取控制**

1. 登入 OneLogin，然後導覽至**應用程式 > 應用程式**。

1. 在**應用程式**頁面上，搜尋您先前建立的應用程式，以與 IAM Identity Center 建立 SAML 連線。選擇它，然後從導覽窗格中選擇**參數**。

1. 在**必要參數**區段中，針對您要在 IAM Identity Center 中使用的每個屬性執行下列動作：

   1. 選擇 **\$1**。

   1. 在**欄位名稱**中，輸入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`，並以您在 IAM Identity Center 中預期的屬性名稱**AttributeName**取代 。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。

   1. 在**旗標**下，勾選**包含在 SAML 聲明中的**核取方塊，然後選擇**儲存**。

   1. 在**值**欄位中，使用下拉式清單選擇OneLogin使用者屬性。例如， **Department**。

1. 選擇**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="onelogin-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 疑難排解
<a name="onelogin-troubleshooting"></a>

以下可協助您針對使用 設定自動佈建時可能遇到的一些常見問題進行疑難排解OneLogin。

**群組不會佈建至 IAM Identity Center**

根據預設，群組可能不會從 佈建OneLogin至 IAM Identity Center。請確定您已在 中為 IAM Identity Center 應用程式啟用群組佈建OneLogin。若要這樣做，請登入OneLogin管理員主控台，並檢查以確保在 IAM Identity Center 應用程式 (**IAM Identity Center 應用程式 > 參數 > 群組**) 的屬性下選取**包含在使用者佈建**選項。如需如何在 中建立群組的詳細資訊OneLogin，包括如何在 SCIM 中同步OneLogin角色為群組，請參閱 [OneLogin網站](https://onelogin.service-now.com/support)。

**即使所有設定都正確，也不會從 同步OneLogin到 IAM Identity Center**

除了上述有關管理員核准的備註之外，您將需要**重新套用權利映射**，許多組態變更才會生效。這可在**應用程式 > 應用程式 > IAM Identity Center 應用程式 > 更多動作**中找到。您可以在活動 > 事件下查看 中大多數動作的詳細資訊和日誌，OneLogin包括同步事件。 ****

**我已在 中刪除或停用群組OneLogin，但仍會出現在 IAM Identity Center 中**

OneLogin 目前不支援群組的 SCIM DELETE 操作，這表示群組會持續存在於 IAM Identity Center 中。因此，您必須直接從 IAM Identity Center 移除群組，以確保移除該群組 IAM Identity Center 中的任何對應許可。

**我刪除了 IAM Identity Center 中的群組，但未先從 刪除該群組OneLogin，現在發生使用者/群組同步問題**

若要修正這種情況，請先確定您在 中沒有任何備援群組佈建規則或組態OneLogin。例如，直接指派給應用程式的群組，以及發佈至相同群組的規則。接著，刪除 IAM Identity Center 中任何不需要的群組。最後，在 中OneLogin**重新整理**權利 (**IAM Identity Center 應用程式 > 佈建 > 權限**)，然後**重新套用權利映射 (IAM Identity Center 應用程式 > 更多動作）**。若要避免未來發生此問題，請先進行變更以停止在 中佈建群組OneLogin，然後從 IAM Identity Center 刪除群組。