PingFederate - AWS IAM Identity Center
Requisitos previosConsideracionesPaso 1: habilite el aprovisionamiento en IAM Identity CenterPaso 2: Configurar el aprovisionamiento en PingFederate(Opcional) Paso 3: configurar los atributos de usuario en PingFedVelocidad para el control de acceso en el IAM Identity Center(Opcional) Paso de atributos para el control de accesoSolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

PingFederate

El Centro de Identidad de IAM admite el aprovisionamiento automático (sincronización) de la información de usuarios y grupos desde PingFederate producto de Ping Identity (en adelante»Ping») al Centro de identidad de IAM. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos.

Esta conexión se configura en PingFederate utilizando el punto de conexión SCIM y el token de acceso del IAM Identity Center. Al configurar la sincronización de SCIM, se crea un mapeo de los atributos de usuario en PingFederate a los atributos nombrados en el Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre el Centro de Identidad de IAM y PingFederate.

Esta guía se basa en PingFederate versión 10.2. Los pasos para las versiones más recientes pueden variar. Contacto Ping para obtener más información sobre cómo configurar el aprovisionamiento en el Centro de Identidad de IAM para otras versiones de PingFederate.

En los siguientes pasos se explica cómo habilitar el aprovisionamiento automático de usuarios y grupos desde PingFederate al IAM Identity Center mediante el protocolo SCIM.

nota

Antes de comenzar a implementar SCIM, le recomendamos que revise las Consideraciones para utilizar el aprovisionamiento automático. A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.

Requisitos previos

Necesitará lo siguiente antes de empezar:

  • Un en funcionamiento PingFederate servidor. Si no tiene un existente PingFederate servidor, es posible que puedas obtener una prueba gratuita o una cuenta de desarrollador en el sitio web de Ping Identity. La versión de prueba incluye licencias y descargas de software y la documentación asociada.

  • Una copia del PingFederate El software IAM Identity Center Connector está instalado en su PingFederate servidor. Para obtener más información sobre cómo obtener este software, consulte IAM Identity Center Connector en el Ping Identity sitio web.

  • Una cuenta habilitada para IAM Identity Center (gratuita). Para más información, consulte Activar IAM Identity Center.

  • Una conexión SAML desde tu PingFederate instancia al centro de identidad de IAM. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la PingFederate . En resumen, la ruta recomendada es utilizar el conector del IAM Identity Center para configurar el «SSO del navegador» en PingFederate, utilizando las funciones de «descarga» e «importación» de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingFederate y el Centro de identidad de IAM.

Consideraciones

Las siguientes son consideraciones importantes sobre PingFederate eso puede afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.

  • Si se elimina un atributo (como un número de teléfono) de un usuario del almacén de datos configurado en PingFederate, ese atributo no se eliminará del usuario correspondiente en el Centro de identidades de IAM. Se trata de una limitación conocida en PingFederate’s implementación del aprovisionador. Si un atributo se cambia a un valor diferente (no vacío) en un usuario, ese cambio se sincroniza con IAM Identity Center.

Paso 1: habilite el aprovisionamiento en IAM Identity Center

En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.

Cómo habilitar el aprovisionamiento automático en IAM Identity Center

  1. Una vez que haya completado los requisitos previos, abra la consola de IAM Identity Center.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

  4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie el punto final y el token de acceso del SCIM. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

    1. Punto final de SCIM: por ejemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.

  5. Seleccione Cerrar.

Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes mediante el PingFederate consola administrativa., Los pasos se describen en el siguiente procedimiento.

Paso 2: Configurar el aprovisionamiento en PingFederate

Utilice el siguiente procedimiento en el PingFederate consola administrativa para permitir la integración entre el IAM Identity Center y el IAM Identity Center Connector. En este procedimiento, se presupone que ya ha instalado el software del conector de IAM Identity Center. Si aún no lo ha hecho, consulte los Requisitos previos y complete este procedimiento para configurar el aprovisionamiento de SCIM.

importante

Si las recetas PingFederate el servidor no se ha configurado previamente para el aprovisionamiento de SCIM saliente, por lo que es posible que deba realizar un cambio en el archivo de configuración para habilitar el aprovisionamiento. Para obtener más información, consulte Ping . En resumen, debe modificar la configuración en el pf.provisioner.mode pingfederate-<version>/pingfederate/bin/run.propertiesarchivar a un valor distinto al OFF (que es el predeterminado) y reiniciar el servidor si se está ejecutando actualmente. Por ejemplo, puede optar por utilizarla STANDALONE si actualmente no tiene una configuración de alta disponibilidad con PingFederate.

Para configurar el aprovisionamiento en PingFederate

  1. Inicie sesión en el PingFederate consola administrativa.

  2. Seleccione Aplicaciones en la parte superior de la página y, a continuación, haga clic en SP Connections.

  3. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.

  4. Seleccione el tipo de conexión en los encabezados de navegación oscuros situados en la parte superior de la página. Debería ver que el SSO del navegador ya estaba seleccionado en su configuración anterior de SAML. Si no es así, primero debe completar esos pasos antes de continuar.

  5. Seleccione la casilla de verificación Aprovisionamiento saliente, elija IAM Identity Center Cloud Connector como tipo y haga clic en Guardar. Si el IAM Identity Center Cloud Connector no aparece como opción, asegúrese de haber instalado el IAM Identity Center Cloud Connector y de haber reiniciado su PingFederate servidor.

  6. Haga clic en Siguiente varias veces hasta llegar a la página Aprovisionamiento saliente y, a continuación, haga clic en el botón Configurar aprovisionamiento.

  7. En el procedimiento anterior, copió el valor del punto de conexión de SCIM en IAM Identity Center. Pegue ese valor en el campo URL de SCIM en el PingFederate console. En el procedimiento anterior, copió el valor del token de acceso en IAM Identity Center. Pegue ese valor en el campo Token de acceso del PingFederate console. Haga clic en Guardar.

  8. En la página Configuración del canal (Configurar canal), haga clic en Crear.

  9. Introduzca un nombre del canal para este nuevo canal de aprovisionamiento (por ejemplo AWSIAMIdentityCenterchannel) y haga clic en Siguiente.

  10. En la página Origen, elija el almacén de datos activo que desee utilizar para la conexión al IAM Identity Center y haga clic en Siguiente.

    nota

    Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la Ping para obtener información sobre cómo elegir y configurar una fuente de datos en PingFederate.

  11. En la página Configuración de origen, confirme que todos los valores son correctos para la instalación y, a continuación, haga clic en Siguiente.

  12. En la página Ubicación de origen, introduzca la configuración adecuada para su origen de datos y, a continuación, haga clic en Siguiente. Por ejemplo, si utiliza Active Directory como directorio LDAP:

    1. Introduzca el DN base de su bosque de AD (por ejemplo, DC=myforest,DC=mydomain,DC=com).

    2. En Usuarios > DN de grupo, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. Si no existe ese grupo único, créelo en AD, vuelva a esta configuración y, a continuación, introduzca el DN correspondiente.

    3. Especifique si desea buscar subgrupos (Búsqueda anidada) y cualquier filtro LDAP necesario.

    4. En Usuarios > DN de grupo, especifique un único grupo que contenga todos los usuarios que desee aprovisionar al IAM Identity Center. En muchos casos, puede ser el mismo DN que especificó en la sección Usuarios. Introduzca los valores búsqueda anidada y filtro según sea necesario.

  13. En la página Asignación de atributos, asegúrese de lo siguiente y, a continuación, haga clic en Siguiente:

    1. El campo userName debe asignarse a un atributo con formato de correo electrónico (user@domain.com). También debe coincidir con el valor que el usuario utilizará para iniciar sesión en Ping. Este valor, a su vez, se rellena en la notificación del nameId de SAML durante la autenticación federada y se utiliza para hacer coincidir con el usuario de IAM Identity Center. Por ejemplo, cuando utilice Active Directory, puede optar por especificar el UserPrincipalName como userName.

    2. Los demás campos con un sufijo * deben asignarse a atributos que no sean nulos para los usuarios.

  14. En la página Activación y resumen, defina el estado del canal como Activo para que la sincronización comience inmediatamente después de guardar la configuración.

  15. Confirme que todos los valores de configuración de la página son correctos y haga clic en Listo.

  16. En la página Administrar canales, haga clic en Guardar.

  17. En este punto, comienza el aprovisionamiento. Para confirmar la actividad, puede ver el archivo provisioner.log, que se encuentra de forma predeterminada en pingfederate-<version>/pingfederate/logdirectorio de su PingFederate servidor.

  18. Para comprobar que los usuarios y los grupos se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione Usuarios. Usuarios sincronizados de PingFederate aparecen en la página de usuarios. También puede ver sus grupos sincronizados en la página Grupos.

(Opcional) Paso 3: configurar los atributos de usuario en PingFedVelocidad para el control de acceso en el IAM Identity Center

Este es un procedimiento opcional para PingFederate si decide configurar los atributos que utilizará en el Centro de identidades de IAM para gestionar el acceso a sus AWS recursos. Los atributos que defina en PingFederate se transmiten en una aserción de SAML al Centro de Identidad de IAM. A continuación, creará un conjunto de permisos en el Centro de Identidad de IAM para gestionar el acceso en función de los atributos desde los que haya pasado PingFederate.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

Para configurar los atributos de usuario en PingFederate para el control de acceso en el IAM Identity Center

  1. Inicie sesión en el PingFederate consola administrativa.

  2. Seleccione Aplicaciones en la parte superior de la página y, a continuación, haga clic en SP Connections.

  3. Localice la aplicación que creó anteriormente para establecer su conexión SAML con IAM Identity Center y haga clic en el nombre de la conexión.

  4. Seleccione el tipo de conexión en los encabezados de navegación oscuros situados en la parte superior de la página. A continuación, haga clic en Configurar el SSO del navegador.

  5. En la página Configurar el SSO del navegador, seleccione Creación de aserciones y, a continuación, haga clic en Configurar creación de aserciones.

  6. En la página Configurar la creación de aserciones, elija Contrato de atributos.

  7. En la página Contrato de atributos, en la sección Ampliar el contrato, añada un nuevo atributo siguiendo estos pasos:

    1. En el cuadro de texto, introduzca https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, sustituya AttributeName por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. En Formato de nombre de atributo, elija urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Elija Añadir, y a continuación, elija Siguiente.

  8. En la página de asignación de fuentes de autenticación, elija la instancia de adaptador configurada con su aplicación.

  9. En la página Cumplimiento del contrato de atributo, elija el origen (almacén de datos) y el valor (atributo del almacén de datos) para el contrato de atributo https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    nota

    Si aún no ha configurado un origen de datos, deberá hacerlo ahora. Consulte la Ping para obtener información sobre cómo elegir y configurar una fuente de datos en PingFederate.

  10. Haga clic en Siguiente varias veces hasta llegar a la página de activación y resumen y, a continuación, haga clic en Guardar.

(Opcional) Paso de atributos para el control de acceso

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Solución de problemas

Para solucionar problemas generales de SCIM y SAML con PingFederate, consulte las siguientes secciones:

Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con AWS:

  • AWS re:Post- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.

  • AWS Support: obtenga soporte técnico