PingFederate - AWS IAM Identity Center
VoraussetzungenWeitere ÜberlegungenSchritt 1: Aktivieren Sie die Bereitstellung in Identity Center IAMSchritt 2: Konfigurieren Sie die Bereitstellung in PingFederate(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingFederate für die Zugriffskontrolle in IAM Identity Center(Optional) Übergabe von Attributen für die Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

PingFederate

IAMIdentity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus PingFederate Produkt von Ping Identity (im Folgenden“Ping“) in IAM Identity Center. Bei dieser Bereitstellung wird das v2.0-Protokoll System for Cross-Domain Identity Management (SCIM) verwendet. Sie konfigurieren diese Verbindung in PingFederate mit Ihrem IAM Identity SCIM Center-Endpunkt und Ihrem Zugriffstoken. Wenn Sie die SCIM Synchronisation konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute in PingFederate zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein PingFederate.

Dieser Leitfaden basiert auf PingFederate Version 10.2. Die Schritte für andere Versionen können variieren. Kontakt Ping für weitere Informationen zur Konfiguration der Bereitstellung in IAM Identity Center für andere Versionen von PingFederate.

In den folgenden Schritten erfahren Sie, wie Sie die automatische Bereitstellung von Benutzern und Gruppen von aktivieren PingFederate mithilfe des SCIM Protokolls zu IAM Identity Center.

Anmerkung

Bevor Sie mit der Bereitstellung beginnenSCIM, empfehlen wir Ihnen, zunächst die zu lesenÜberlegungen zur Verwendung der automatischen Bereitstellung. Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.

Voraussetzungen

Sie benötigen Folgendes, bevor Sie beginnen können:

  • Ein funktionierendes PingFederate Server. Wenn Sie noch keinen vorhandenen haben PingFederate Server, möglicherweise können Sie auf der Ping Identity-Website ein kostenloses Test- oder Entwicklerkonto beantragen. Die Testversion umfasst Lizenzen und Software-Downloads sowie die zugehörige Dokumentation.

  • Eine Kopie der PingFederate IAMDie Identity Center Connector-Software ist auf Ihrem installiert PingFederate Server. Weitere Informationen darüber, wie Sie diese Software erhalten, finden Sie unter IAMIdentity Center Connector auf dem PCing Identity Webseite.

  • Ein IAM Identity Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAMIdentity Center aktivieren.

  • Eine SAML Verbindung von Ihrem PingFederate Instanz zu IAM Identity Center. Anweisungen zur Konfiguration dieser Verbindung finden Sie im PingFederate -Dokumentation. Zusammenfassend lässt sich sagen, dass der empfohlene Weg darin besteht, den IAM Identity Center Connector zur Konfiguration von „BrowserSSO“ in zu verwenden PingFederate, wobei die Funktionen „Herunterladen“ und „Importieren“ von Metadaten an beiden Enden verwendet werden, um SAML Metadaten zwischen PingFederate und IAM Identity Center.

Weitere Überlegungen

Im Folgenden finden Sie wichtige Überlegungen zu PingFederate das kann sich darauf auswirken, wie Sie die Bereitstellung mit IAM Identity Center implementieren.

  • Wenn ein Attribut (z. B. eine Telefonnummer) von einem Benutzer im Datenspeicher entfernt wird, der in konfiguriert ist PingFederate, wird dieses Attribut nicht von dem entsprechenden Benutzer in IAM Identity Center entfernt. Dies ist eine bekannte Einschränkung in PingFederate’s Implementierung des Provisioners. Wenn ein Attribut für einen Benutzer in einen anderen (nicht leeren) Wert geändert wird, wird diese Änderung mit IAM Identity Center synchronisiert.

Schritt 1: Aktivieren Sie die Bereitstellung in Identity Center IAM

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

Um die automatische Bereitstellung in IAM Identity Center zu aktivieren

  1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAMIdentity Center-Konsole.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung in IAM Identity Center aktiviert und die erforderlichen SCIM Endpunkt- und Zugriffstoken-Informationen werden angezeigt.

  4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten jeden der Werte für die folgenden Optionen. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

    1. SCIMEndpunkt — Zum Beispiel https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie geben diese Werte ein, um die automatische Bereitstellung zu konfigurieren Okta später in diesem Tutorial.

  5. Klicken Sie auf Close (Schließen).

Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mit dem PingFederate Verwaltungskonsole., Die Schritte werden im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren Sie die Bereitstellung in PingFederate

Verwenden Sie das folgende Verfahren in der PingFederate Verwaltungskonsole, um die Integration zwischen IAM Identity Center und dem IAM Identity Center Connector zu ermöglichen. Bei diesem Verfahren wird davon ausgegangen, dass Sie die IAM Identity Center Connector-Software bereits installiert haben. Falls Sie dies noch nicht getan haben, finden Sie Informationen zur Voraussetzungen Konfiguration der SCIM Bereitstellung unter und führen Sie dann dieses Verfahren aus.

Wichtig

Wenn Ihre PingFederate Der Server wurde noch nicht für die ausgehende SCIM Bereitstellung konfiguriert. Möglicherweise müssen Sie eine Änderung der Konfigurationsdatei vornehmen, um die Bereitstellung zu aktivieren. Weitere Informationen finden Sie unter Ping -Dokumentation. Zusammenfassend müssen Sie die Einstellung in der pf.provisioner.mode ändern pingfederate-<version>/pingfederate/bin/run.propertiessetzen Sie die Datei auf einen anderen Wert als OFF (was die Standardeinstellung ist) und starten Sie den Server neu, falls er gerade läuft. Sie können beispielsweise Folgendes verwenden, STANDALONE wenn Sie derzeit keine Hochverfügbarkeitskonfiguration mit haben PingFederate.

Um die Bereitstellung zu konfigurieren in PingFederate

  1. Melden Sie sich an bei PingFederate Verwaltungskonsole.

  2. Wählen Sie oben auf der Seite Anwendungen aus und klicken Sie dann auf SP-Verbindungen.

  3. Suchen Sie die Anwendung, die Sie zuvor erstellt haben, um Ihre SAML Verbindung mit IAM Identity Center herzustellen, und klicken Sie auf den Verbindungsnamen.

  4. Wählen Sie in den dunklen Navigationsüberschriften oben auf der Seite den Verbindungstyp aus. Sie sollten sehen, dass der Browser SSO bereits aus Ihrer vorherigen Konfiguration von SAML ausgewählt wurde. Wenn nicht, müssen Sie zuerst diese Schritte ausführen, bevor Sie fortfahren können.

  5. Aktivieren Sie das Kontrollkästchen Outbound Provisioning, wählen Sie IAMIdentity Center Cloud Connector als Typ und klicken Sie auf Speichern. Wenn IAMIdentity Center Cloud Connector nicht als Option angezeigt wird, stellen Sie sicher, dass Sie den IAM Identity Center Connector installiert und Ihren Computer neu gestartet haben PingFederate Server.

  6. Klicken Sie wiederholt auf Weiter, bis Sie zur Seite Outbound Provisioning gelangen, und klicken Sie dann auf die Schaltfläche Provisioning konfigurieren.

  7. Im vorherigen Verfahren haben Sie den SCIMEndpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das SCIMURLFeld im PingFederate console. Außerdem haben Sie im vorherigen Verfahren den Wert des Zugriffstokens in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld Zugriffstoken im PingFederate console. Klicken Sie auf Speichern.

  8. Klicken Sie auf der Seite Kanalkonfiguration (Kanäle konfigurieren) auf Erstellen.

  9. Geben Sie einen Kanalnamen für diesen neuen Provisioning-Kanal ein (z. B.AWSIAMIdentityCenterchannel) und klicken Sie auf Weiter.

  10. Wählen Sie auf der Seite Quelle den Active Data Store aus, den Sie für Ihre Verbindung zu IAM Identity Center verwenden möchten, und klicken Sie auf Weiter.

    Anmerkung

    Wenn Sie noch keine Datenquelle konfiguriert haben, müssen Sie dies jetzt tun. Sehen Sie sich das an Ping In der Produktdokumentation finden Sie Informationen zur Auswahl und Konfiguration einer Datenquelle in PingFederate.

  11. Vergewissern Sie sich auf der Seite mit den Quelleinstellungen, dass alle Werte für Ihre Installation korrekt sind, und klicken Sie dann auf Weiter.

  12. Geben Sie auf der Seite Quellspeicherort die für Ihre Datenquelle geeigneten Einstellungen ein, und klicken Sie dann auf Weiter. Wenn Sie beispielsweise Active Directory als LDAP Verzeichnis verwenden:

    1. Geben Sie den Basis-DN Ihrer AD-Gesamtstruktur ein (z. B.DC=myforest,DC=mydomain,DC=com).

    2. Geben Sie unter Benutzer > Gruppen-DN eine einzelne Gruppe an, die alle Benutzer enthält, die Sie für IAM Identity Center bereitstellen möchten. Wenn keine solche einzelne Gruppe existiert, erstellen Sie diese Gruppe in AD, kehren Sie zu dieser Einstellung zurück und geben Sie dann den entsprechenden DN ein.

    3. Geben Sie an, ob Untergruppen (verschachtelte Suche) durchsucht werden sollen, und geben Sie alle erforderlichen LDAP Filter an.

    4. Geben Sie unter Gruppen > Gruppen-DN eine einzelne Gruppe an, die alle Gruppen enthält, die Sie für IAM Identity Center bereitstellen möchten. In vielen Fällen kann dies derselbe DN sein, den Sie im Abschnitt Benutzer angegeben haben. Geben Sie nach Bedarf Werte für verschachtelte Suche und Filter ein.

  13. Stellen Sie auf der Seite Attributzuordnung Folgendes sicher, und klicken Sie dann auf Weiter:

    1. Das userNameFeld muss einem Attribut zugeordnet sein, das als E-Mail formatiert ist (user@domain.com). Es muss auch dem Wert entsprechen, den der Benutzer für die Anmeldung bei Ping verwenden wird. Dieser Wert wird wiederum bei der Verbundauthentifizierung in den SAML nameId Anspruch übernommen und für den Abgleich mit dem Benutzer in IAM Identity Center verwendet. Wenn Sie beispielsweise Active Directory verwenden, können Sie den UserPrincipalName userNameals angeben.

    2. Andere Felder mit dem Suffix * müssen Attributen zugeordnet werden, die für Ihre Benutzer ungleich Null sind.

  14. Setzen Sie auf der Seite Aktivierung und Zusammenfassung den Kanalstatus auf Aktiv, damit die Synchronisation sofort nach dem Speichern der Konfiguration gestartet wird.

  15. Vergewissern Sie sich, dass alle Konfigurationswerte auf der Seite korrekt sind, und klicken Sie auf Fertig.

  16. Klicken Sie auf der Seite „Kanäle verwalten“ auf Speichern.

  17. An diesem Punkt beginnt die Bereitstellung. Um die Aktivität zu bestätigen, können Sie sich die Datei provisioner.log ansehen, die sich standardmäßig im pingfederate-<version>/pingfederate/logVerzeichnis auf Ihrem PingFederate Server.

  18. Um zu überprüfen, ob Benutzer und Gruppen erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Synchronisierte Benutzer von PingFederate erscheinen auf der Benutzerseite. Sie können synchronisierte Gruppen auch auf der Gruppenseite anzeigen.

(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute in PingFederate für die Zugriffskontrolle in IAM Identity Center

Dies ist ein optionales Verfahren für PingFederate wenn Sie sich dafür entscheiden, Attribute zu konfigurieren, die Sie in IAM Identity Center verwenden werden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren in PingFederate werden in einer SAML Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der von Ihnen übergebenen Attribute zu verwalten PingFederate.

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

Um Benutzerattribute zu konfigurieren PingFederate für die Zugriffskontrolle im IAM Identity Center

  1. Melden Sie sich an bei PingFederate Verwaltungskonsole.

  2. Wählen Sie oben auf der Seite Anwendungen aus und klicken Sie dann auf SP-Verbindungen.

  3. Suchen Sie die Anwendung, die Sie zuvor erstellt haben, um Ihre SAML Verbindung mit IAM Identity Center herzustellen, und klicken Sie auf den Verbindungsnamen.

  4. Wählen Sie in den dunklen Navigationsüberschriften oben auf der Seite die Option Browser SSO aus. Klicken Sie anschließend auf Browser SSO konfigurieren.

  5. Wählen Sie auf der SSO Seite Browser konfigurieren die Option Assertion Creation aus und klicken Sie dann auf Configure Assertion Creation.

  6. Wählen Sie auf der Seite „Assertionserstellung konfigurieren“ die Option Attributvertrag aus.

  7. Fügen Sie auf der Seite „Attributvertrag“ im Abschnitt „Vertrag verlängern“ ein neues Attribut hinzu, indem Sie die folgenden Schritte ausführen:

    1. Geben Sie in das Textfeld den Namen des Attributs einhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, das Sie in IAM Identity Center erwarten, und ersetzen AttributeName Sie es durch. Beispiel, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. Wählen Sie für Attributnamenformat urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Wählen Sie „Hinzufügen“ und anschließend „Weiter“.

  8. Wählen Sie auf der Seite „Zuordnung der Authentifizierungsquelle“ die mit Ihrer Anwendung konfigurierte Adapter-Instance aus.

  9. Wählen Sie auf der Seite „Erfüllung des Attributvertrags“ die Quelle (Datenspeicher) und den Wert (Datenspeicherattribut) für den Attributvertrag aushttps://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    Anmerkung

    Wenn Sie noch keine Datenquelle konfiguriert haben, müssen Sie dies jetzt tun. Sehen Sie sich das an Ping In der Produktdokumentation finden Sie Informationen zur Auswahl und Konfiguration einer Datenquelle in PingFederate.

  10. Klicken Sie wiederholt auf Weiter, bis Sie zur Seite Aktivierung und Zusammenfassung gelangen, und klicken Sie dann auf Speichern.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf gesetzt isthttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML Assertion übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAMBenutzerhandbuch unter Übergeben von Sitzungs-Tags.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.