Uso de Centro de identidades de IAM para conectarse a su plataforma de directorios de JumpCloud
Centro de identidades de IAM admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde la plataforma de directorios de JumpCloud a Centro de identidades de IAM. Este aprovisionamiento utiliza el protocolo de Lenguaje de marcado de seguridad (SAML) 2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.
Esta conexión se configura en JumpCloud mediante el punto de conexión SCIM y el token de acceso de Centro de identidades de IAM. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en JumpCloud con los atributos nombrados en Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre Centro de identidades de IAM y JumpCloud.
Esta guía está basada en JumpCloud a fecha de junio de 2021. Los pasos para las versiones más recientes pueden variar. Esta guía contiene algunas notas sobre la configuración de la autenticación de usuarios mediante SAML.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios y grupos de JumpCloud a Centro de identidades de IAM mediante el protocolo SCIM.
nota
Antes de comenzar a implementar SCIM, le recomendamos que revise las Consideraciones para utilizar el aprovisionamiento automático. A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
Temas
- Requisitos previos
- Consideraciones de SCIM
- Paso 1: habilite el aprovisionamiento en Centro de identidades de IAM
- Paso 2: configure el aprovisionamiento en JumpCloud
- (Opcional) Paso 3: configure los atributos de usuario en JumpCloud para el control de acceso en Centro de identidades de IAM
- (Opcional) Paso de atributos para el control de acceso
Requisitos previos
Antes de comenzar, necesitará lo siguiente:
-
Suscripción a JumpCloud o prueba gratuita. Para suscribirse a una versión de prueba gratuita, vaya a JumpCloud
. -
Una cuenta habilitada para Centro de identidades de IAM (gratuita
). Para más información, consulte Activar Centro de identidades de IAM. -
Una conexión SAML desde su cuenta de JumpCloud a Centro de identidades de IAM, tal y como se describe en la documentación de Centro de identidades de IAM JumpCloud
. -
Asocie el conector de Centro de identidades de IAM a los grupos a los que desee permitir el acceso a las cuentas de AWS.
Consideraciones de SCIM
A continuación, se presentan las consideraciones a tener en cuenta al utilizar la federación de JumpCloud para Centro de identidades de IAM.
-
Solo los grupos asociados al conector de inicio de sesión único de AWS en JumpCloud se sincronizarán con SCIM.
-
Solo se puede sincronizar un atributo de número de teléfono y el valor predeterminado es “teléfono del trabajo”.
-
Los usuarios del directorio de JumpCloud deben tener su nombre y apellidos configurados para poder sincronizarse con Centro de identidades de IAM mediante SCIM.
-
Los atributos siguen sincronizados si el usuario está deshabilitado en Centro de identidades de IAM, pero sigue activo en JumpCloud.
-
Si desea activar la sincronización con SCIM únicamente para la información del usuario, desmarque la opción “Habilitar la administración de grupos de usuarios y la pertenencia a grupos” en el conector.
Paso 1: habilite el aprovisionamiento en Centro de identidades de IAM
En este primer paso, utilizará la consola de Centro de identidades de IAM para habilitar el aprovisionamiento automático.
Cómo habilitar el aprovisionamiento automático en Centro de identidades de IAM
-
Una vez que haya completado los requisitos previos, abra la consola de Centro de identidades de IAM
. -
En el panel de navegación izquierdo, elija Configuración.
-
En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en Centro de identidades de IAM y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
-
En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
-
Punto de conexión de SCIM: por ejemplo, https://scim.
us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 -
Token de acceso: seleccione Mostrar token para copiar el valor.
aviso
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
-
-
Elija Close.
Ahora que ha configurado el aprovisionamiento en la consola de Centro de identidades de IAM, debe completar las tareas restantes con la aplicación Centro de identidades de IAM de JumpCloud. Estos pasos se explican en el procedimiento siguiente.
Paso 2: configure el aprovisionamiento en JumpCloud
Utilice el siguiente procedimiento en el conector Centro de identidades de IAM JumpCloud para habilitar el aprovisionamiento con Centro de identidades de IAM. En este procedimiento se presupone que ya ha añadido la aplicación JumpCloud de Centro de identidades de IAM a la consola de JumpCloud administración del portal. Si aún no lo ha hecho, consulte los Requisitos previos y complete este procedimiento para configurar el aprovisionamiento de SCIM.
Cómo configurar el aprovisionamiento en JumpCloud
-
Abra el conector Centro de identidades de IAM JumpCloud que instaló como parte de la configuración SAML para JumpCloud (Autenticación de usuario > Centro de identidades de IAM). Consulte Requisitos previos.
-
Seleccione el conector Centro de identidades de IAM y, a continuación, elija la tercera pestaña Gestión de identidades.
-
Marque la casilla Habilitar la administración de grupos de usuarios y la pertenencia a grupos en esta aplicación si desea que los grupos se sincronicen con SCIM.
-
Haga clic en Configurar.
-
En el procedimiento anterior, copió el valor del punto de conexión de SCIM en Centro de identidades de IAM. Pegue ese valor en el campo URL base en el conector Centro de identidades de IAM JumpCloud.
-
En el procedimiento anterior, copió el valor del token de acceso en Centro de identidades de IAM. Pegue ese valor en el campo Clave de token en el conector Centro de identidades de IAM JumpCloud.
-
Haga clic en Activar para aplicar la configuración.
-
Asegúrese de tener activado un indicador verde junto a Inicio de sesión único activado.
-
Vaya a la cuarta pestaña Grupos de usuarios y marque los grupos que desee aprovisionar con SCIM.
-
Cuando haya terminado, haga clic en Guardar, en la parte inferior.
-
Para comprobar que los usuarios se han sincronizado correctamente con Centro de identidades de IAM, vuelva a la consola de Centro de identidades de IAM y seleccione Usuarios. Los usuarios sincronizados de JumpCloud aparecerán en la página de Usuarios. Estos usuarios ya pueden asignarse a cuentas en Centro de identidades de IAM.
(Opcional) Paso 3: configure los atributos de usuario en JumpCloud para el control de acceso en Centro de identidades de IAM
Este es un procedimiento opcional para JumpCloud en caso de que decida configurar los atributos para que Centro de identidades de IAM administre el acceso a sus recursos de AWS. Los atributos que defina en JumpCloud se transfieren en una aserción de SAML al Centro de identidades de IAM. A continuación, debe crear un conjunto de permisos en Centro de identidades de IAM para administrar el acceso en función de los atributos que transfirió desde JumpCloud.
Antes de iniciar este procedimiento, habilite primero la característica Atributos para el control de acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.
Cómo configurar atributos de usuario utilizados en JumpCloud para el control de acceso en Centro de identidades de IAM
-
Abra el conector Centro de identidades de IAM JumpCloud que instaló como parte de la configuración SAML para JumpCloud (Autenticación de usuario > Centro de identidades de IAM).
-
Elija el conector de Centro de identidades de IAM. A continuación, elija la segunda pestaña para Centro de identidades de IAM.
-
En la parte inferior de esta pestaña está la asignación de atributos de usuario. Elija Añadir nuevo atributo y, a continuación siga estos pasos para cada atributo que vaya a añadir para su uso en Centro de identidades de IAM para el control de acceso.
-
En el campo Nombre del atributo proporcionado por el servicio, introduzca
https://aws.amazon.com/SAML/Attributes/AccessControl:. ReemplaceAttributeName.AttributeNamehttps://aws.amazon.com/SAML/Attributes/AccessControl:.Email -
En el campo Nombre del atributo de JumpCloud, elija los atributos de usuario de su directorio de JumpCloud. Por ejemplo, Correo electrónico (trabajo).
-
-
Seleccione Guardar.
(Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica Atributos para controlar el acceso de Centro de identidades de IAM para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.{TagKey}
Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.
