Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
Requisitos previosConsideraciones de SCIMPaso 1: habilite el aprovisionamiento en IAM Identity CenterPaso 2: Configurar el aprovisionamiento en CyberArk(Opcional) Paso 3: configurar los atributos de usuario en CyberArk para el control de acceso (ABAC) en el IAM Identity Center (Opcional) Paso de atributos para el control de acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Setting up SCIM provisioning between CyberArk and IAM Identity Center

El IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde CyberArk Directory Platform al Centro de identidades de IAM. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Esta conexión se configura en CyberArk utilizando el punto de conexión SCIM y el token de acceso del IAM Identity Center. Al configurar la sincronización de SCIM, se crea un mapeo de los atributos de usuario en CyberArk a los atributos nombrados en el Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre el Centro de Identidad de IAM y CyberArk.

Esta guía se basa en CyberArk a partir de agosto de 2021. Los pasos para las versiones más recientes pueden variar. Esta guía contiene algunas notas sobre la configuración de la autenticación de usuarios mediante SAML.

nota

Antes de comenzar a implementar SCIM, le recomendamos que revise las Consideraciones para utilizar el aprovisionamiento automático. A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.

Requisitos previos

Antes de comenzar, necesitará lo siguiente:

  • CyberArk suscripción o prueba gratuita. Para suscribirse a una prueba gratuita, visite CyberArk.

  • Una cuenta habilitada para IAM Identity Center (gratuita). Para más información, consulte Activar IAM Identity Center.

  • Una conexión SAML desde tu CyberArk cuenta al Centro de Identidad de IAM, tal y como se describe en CyberArk documentación para el Centro de Identidad de IAM.

  • Asocie el conector de IAM Identity Center a los roles, usuarios y organizaciones a los que desee permitir el acceso a las Cuentas de AWS.

Consideraciones de SCIM

Las siguientes son consideraciones a tener en cuenta a la hora de utilizar CyberArk federación para IAM Identity Center:

  • Solo los roles asignados en la sección de aprovisionamiento de aplicaciones se sincronizarán con IAM Identity Center.

  • El script de aprovisionamiento solo se admite en su estado predeterminado; una vez modificado, el aprovisionamiento de SCIM podría fallar.

    • Solo se puede sincronizar un atributo de número de teléfono y el valor predeterminado es “teléfono del trabajo”.

  • Si el mapeo de roles es CyberArk La aplicación IAM Identity Center ha cambiado, se espera el siguiente comportamiento:

    • Si se cambian los nombres de los roles, no habrá cambios en los nombres de los grupos en IAM Identity Center.

    • Si se cambian los nombres de los grupos, se crearán nuevos grupos en IAM Identity Center y los grupos antiguos permanecerán sin miembros.

  • El comportamiento de sincronización y desaprovisionamiento de los usuarios se puede configurar desde el CyberArk Aplicación IAM Identity Center, asegúrese de configurar el comportamiento correcto para su organización. Estas son las opciones:

    • Sobrescriba (o no) a los usuarios del directorio de Identity Center con el mismo nombre principal.

    • Elimine el aprovisionamiento de usuarios del Centro de Identidad de IAM cuando el usuario se retire del CyberArk rol.

    • Cancele el aprovisionamiento de usuarios: deshabilite o elimine.

Paso 1: habilite el aprovisionamiento en IAM Identity Center

En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.

Cómo habilitar el aprovisionamiento automático en IAM Identity Center

  1. Una vez que haya completado los requisitos previos, abra la consola de IAM Identity Center.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

  4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie el punto final y el token de acceso de SCIM. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

    1. Punto final SCIM: por ejemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.

  5. Seleccione Cerrar.

Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes mediante el CyberArk Aplicación IAM Identity Center. Estos pasos se explican en el procedimiento siguiente.

Paso 2: Configurar el aprovisionamiento en CyberArk

Utilice el siguiente procedimiento en el CyberArk Aplicación IAM Identity Center para permitir el aprovisionamiento con IAM Identity Center. En este procedimiento se presupone que ya ha añadido el CyberArk La aplicación IAM Identity Center a su CyberArk consola de administración en Aplicaciones web. Si aún no lo ha hecho, consulte los Requisitos previos y complete este procedimiento para configurar el aprovisionamiento de SCIM.

Para configurar el aprovisionamiento en CyberArk

  1. Abra el icono CyberArk Aplicación del Centro de Identidad de IAM que agregó como parte de la configuración de SAML para CyberArk (Aplicaciones > Aplicación web). Consulte Requisitos previos.

  2. Elija la aplicación IAM Identity Center y vaya a la sección Aprovisionamiento.

  3. Marque la casilla Habilitar el aprovisionamiento para esta aplicación y elija Live Mode.

  4. En el procedimiento anterior, copió el valor del punto de conexión del SCIM de IAM Identity Center. Pegue ese valor en el campo URL del servicio SCIM, en el CyberArk La aplicación IAM Identity Center estableció el tipo de autorización como encabezado de autorización.

  5. Configure el tipo de encabezado como token al portador.

  6. En el procedimiento anterior, copió el valor del token de acceso en IAM Identity Center. Pegue ese valor en el campo Bearer Token del CyberArk Aplicación IAM Identity Center.

  7. Haga clic en Verificar para probar y aplicar la configuración.

  8. En las opciones de sincronización, elija el comportamiento correcto para el que desea realizar el aprovisionamiento saliente CyberArk para que funcione. Puede optar por sobrescribir (o no) a los usuarios actuales de IAM Identity Center con un nombre principal y un comportamiento de desaprovisionamiento similares.

  9. En Role Mapping, configure el mapeo desde CyberArk roles, en el campo Nombre, al grupo del Centro de Identidad de IAM, en el Grupo de destino.

  10. Cuando haya terminado, haga clic en Guardar, en la parte inferior.

  11. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione Usuarios. Usuarios sincronizados de CyberArk aparecerá en la página de usuarios. Estos usuarios ya pueden asignarse a cuentas y conectarse dentro de IAM Identity Center.

(Opcional) Paso 3: configurar los atributos de usuario en CyberArk para el control de acceso (ABAC) en el IAM Identity Center

Se trata de un procedimiento opcional para CyberArk si decide configurar los atributos del IAM Identity Center para gestionar el acceso a sus AWS recursos. Los atributos que defina en CyberArk se transmiten en una aserción de SAML al Centro de Identidad de IAM. A continuación, debe crear un conjunto de permisos en el Centro de Identidad de IAM para gestionar el acceso en función de los atributos de los que ha pasado CyberArk.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

Para configurar los atributos de usuario en CyberArk para el control de acceso en el IAM Identity Center

  1. Abra el icono CyberArk Aplicación del Centro de Identidad de IAM que instaló como parte de la configuración de SAML para CyberArk (Aplicaciones > Aplicaciones web).

  2. Vaya a la opción Respuesta SAML.

  3. En Atributos, añada los atributos relevantes a la tabla siguiendo la siguiente lógica:

    1. El nombre del atributo es el nombre del atributo original de CyberArk.

    2. El Valor del atributo es el nombre del atributo que se envía en la aserción SAML a IAM Identity Center.

  4. Seleccione Guardar.

(Opcional) Paso de atributos para el control de acceso

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.