本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# PingOne
<a name="pingone-idp"></a>

IAM Identity Center 支援透過 （以下稱「Ping」) 從PingOne產品自動佈建 Ping Identity（同步） 使用者資訊至 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。您可以使用 IAM Identity Center SCIM 端點和存取權杖PingOne在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射PingOne至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符PingOne。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者從 自動佈建PingOne至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#pingone-prereqs)
+ [考量事項](#pingone-considerations)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#pingone-step1)
+ [步驟 2：在 中設定佈建 PingOne](#pingone-step2)
+ [（選用） 步驟 3：在 中設定使用者屬性PingOne，以在 IAM Identity Center 中進行存取控制](#pingone-step3)
+ [（選用） 傳遞屬性以進行存取控制](#pingone-passing-abac)
+ [疑難排解](#pingone-troubleshooting)

## 先決條件
<a name="pingone-prereqs"></a>

您需要下列項目才能開始使用：
+ PingOne 訂閱或免費試用，同時具備聯合身分驗證和佈建功能。如需如何取得免費試用的詳細資訊，請參閱 [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)網站。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ PingOne IAM Identity Center 應用程式已新增至您的PingOne管理員入口網站。您可以從 Application Catalog PingOne 取得 IAM Identity Center PingOne 應用程式。如需一般資訊，請參閱 Ping Identity 網站上的[從 Application Catalog 新增應用程式](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html)。
+ 從PingOne執行個體到 IAM Identity Center 的 SAML 連線。將 PingOne IAM Identity Center 應用程式新增至PingOne管理員入口網站後，您必須使用它來設定從PingOne執行個體到 IAM Identity Center 的 SAML 連線。在兩端使用「下載」和「匯入」中繼資料功能，在 PingOne和 IAM Identity Center 之間交換 SAML 中繼資料。如需如何設定此連線的說明，請參閱 PingOne 文件。
+ 如果您將 IAM Identity Center 複寫到其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式和 AWS 帳戶 來自這些區域的存取。如需詳細資訊，請參閱[步驟 3：更新外部 IdP 設定](replicate-to-additional-region.md#update-external-idp-setup)。如需其他詳細資訊，請參閱 PingOne 文件。

## 考量事項
<a name="pingone-considerations"></a>

以下是有關 的重要考量PingOne，這可能會影響您使用 IAM Identity Center 實作佈建的方式。
+ PingOne 不支援透過 SCIM 佈建群組。如需 的 SCIM 中群組支援的最新資訊Ping，請聯絡 PingOne。
+ 在 PingOne管理員入口網站中停用佈建PingOne之後，使用者可以繼續從 佈建。如果您需要立即終止佈建，請刪除相關的 SCIM 承載字符，和/或在 IAM Identity Center [使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)中停用 。
+ 如果從 中設定的資料存放區中移除使用者的屬性PingOne，則不會從 IAM Identity Center 中的對應使用者中移除該屬性。這是PingOne’s佈建器實作的已知限制。如果修改屬性，變更會同步至 IAM Identity Center。
+ 以下是有關 中 SAML 組態的重要備註PingOne：
  + IAM Identity Center 僅支援 `emailaddress` `NameId` 格式。這表示您需要為 中的 **SAML\$1SUBJECT** 映射選擇 目錄中唯一的使用者屬性PingOne，而非 Null，並格式化為電子郵件/UPN （例如 user@domain.com)PingOne。**Email (Work)** 是搭配PingOne內建目錄用於測試組態的合理值。
  + 中PingOne包含 **\$1** 字元的電子郵件地址的使用者可能無法登入 IAM Identity Center，並出現錯誤，例如 `'SAML_215'`或 `'Invalid input'`。若要修正此問題，請在 PingOne中選擇屬性映射中 **SAML\$1SUBJECT** **映射的****進階**選項。然後在下拉式功能表**urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**中設定**要傳送至 SP： 的名稱 ID 格式**。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="pingone-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您需要使用 PingOne IAM Identity Center 應用程式完成其餘任務。這些步驟會在下列程序中說明。

## 步驟 2：在 中設定佈建 PingOne
<a name="pingone-step2"></a>

在 PingOne IAM Identity Center 應用程式中使用下列程序，以啟用使用 IAM Identity Center 的佈建。此程序假設您已將 PingOne IAM Identity Center 應用程式新增至PingOne管理員入口網站。如果您尚未這麼做，請參閱 [先決條件](#pingone-prereqs)，然後完成此程序以設定 SCIM 佈建。

**在 中設定佈建 PingOne**

1. 開啟您在為 PingOne 設定 SAML 時安裝的 IAM Identity Center 應用程式 PingOne(**應用程式** > **我的應用程式**)。請參閱 [先決條件](#pingone-prereqs)。

1. 捲動至頁面底部。在**使用者佈建**下，選擇**完整**連結以導覽至連線的使用者佈建組態。

1. 在**佈建指示**頁面上，選擇**繼續下一個步驟**。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 IAM Identity Center PingOne 應用程式的 **SCIM URL** 欄位中。此外，在先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 IAM Identity Center PingOne 應用程式的 **ACCESS\$1TOKEN** 欄位。

1. 針對 **REMOVE\$1ACTION**，選擇**已停用**或刪除 ****（如需詳細資訊，請參閱頁面上的說明文字）。

1. 在**屬性映射**頁面上，依照本頁[考量事項](#pingone-considerations)稍早的指導方針，選擇要用於 **SAML\$1SUBJECT** (`NameId`) 聲明的值。然後選擇**繼續下一步**。

1. 在**PingOne應用程式自訂 - IAM Identity Center** 頁面上，進行任何所需的自訂變更 （選用），然後按一下**繼續下一個步驟**。

1. 在**群組存取**頁面上，選擇包含您要啟用以佈建和單一登入 IAM Identity Center 之使用者的群組。選擇**繼續至下一步**。

1. 捲動至頁面底部，然後選擇**完成**以開始佈建。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步使用者PingOne會出現在**使用者**頁面上。這些使用者現在可以指派給 IAM Identity Center 內的帳戶和應用程式。

   請記住， PingOne 不支援透過 SCIM 佈建群組或群組成員資格。如需詳細資訊Ping，請聯絡 。

## （選用） 步驟 3：在 中設定使用者屬性PingOne，以在 IAM Identity Center 中進行存取控制
<a name="pingone-step3"></a>

PingOne 如果您選擇設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取，這是 的選用程序。您在 中定義的屬性PingOne會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您可以在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權PingOne。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性PingOne，以在 IAM Identity Center 中控制存取控制**

1. 開啟您在為 PingOne 設定 SAML 時安裝的 IAM Identity Center 應用程式 PingOne(**應用程式 > 我的應用程式**)。

1. 選擇**編輯**，然後選擇**繼續下一步**，直到到達**屬性映射**頁面。

1. 在**屬性映射**頁面上，選擇**新增屬性**，然後執行下列動作。您必須針對要新增以在 IAM Identity Center 中使用的每個屬性執行這些步驟，以進行存取控制。

   1. 在**應用程式屬性**欄位中，輸入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`。以您在 IAM Identity Center 中預期的屬性名稱取代 *AttributeName*。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`。

   1. 在 **Identity Bridge 屬性或文字值**欄位中，從您的PingOne目錄中選擇使用者屬性。例如，**電子郵件 （工作）**。

1. 選擇**下一步**幾次，然後選擇**完成**。

## （選用） 傳遞屬性以進行存取控制
<a name="pingone-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。

## 疑難排解
<a name="pingone-troubleshooting"></a>

如需使用 進行一般 SCIM 和 SAML 疑難排解PingOne，請參閱下列章節：
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ 如需 的詳細資訊PingOne，請參閱 [PingOne 文件](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)。

下列資源可協助您在使用 時進行故障診斷 AWS：
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結，以協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援