PingOne - AWS IAM Identity Center
Requisitos previosConsideraciones adicionalesPaso 1: habilite el aprovisionamiento en Centro de identidades de IAMPaso 2: configure el aprovisionamiento en PingOne(Opcional) Paso 3: configure los atributos de usuario en PingOne para el control de acceso en Centro de identidades de IAM(Opcional) Paso de atributos para el control de acceso

PingOne

Centro de identidades de IAM admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde PingOne por parte de Ping Identity (de ahora en adelante “Ping”) a Centro de identidades de IAM. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Esta conexión se configura en PingOne mediante el punto de conexión SCIM y el token de acceso de Centro de identidades de IAM. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en PingOne con los atributos nombrados en Centro de identidades de IAM. Esto hace que los atributos esperados coincidan entre Centro de identidades de IAM y PingOne.

Esta guía está basada en PingOne a fecha de octubre de 2020. Los pasos para las versiones más recientes pueden variar. Póngase en contacto con Ping para obtener más información sobre cómo configurar el aprovisionamiento en Centro de identidades de IAM para otras versiones de PingOne. Esta guía contiene algunas notas sobre la configuración de la autenticación de usuarios mediante SAML.

Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios de PingOne a Centro de identidades de IAM mediante el protocolo SCIM.

nota

Antes de comenzar a implementar SCIM, le recomendamos que revise las Consideraciones para utilizar el aprovisionamiento automático. A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.

Requisitos previos

Antes de comenzar, necesitará lo siguiente:

  • Una suscripción o una prueba gratuita de PingOne, con funciones de autenticación federada y aprovisionamiento. Para obtener más información acerca de cómo obtener una prueba gratuita, consulte el sitio web de Ping Identity.

  • Una cuenta habilitada para Centro de identidades de IAM (gratuita). Para más información, consulte Activar Centro de identidades de IAM.

  • La aplicación Centro de identidades de IAM PingOne se agregó a su portal de administración de PingOne. Puede obtener la aplicación Centro de identidades de IAM PingOne en el catálogo de aplicaciones de PingOne. Para obtener información general, consulte Add an application from the Application Catalog del sitio web de Ping Identity.

  • Una conexión SAML desde su instancia de PingOne a Centro de identidades de IAM. Una vez que la aplicación Centro de identidades de IAM de PingOne se haya agregado a su portal de administración de PingOne, debe usarla para configurar una conexión SAML desde su instancia de PingOne a Centro de identidades de IAM. Utilice las características de “descarga” e “importación” de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingOne y Centro de identidades de IAM. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingOne.

Consideraciones adicionales

Las siguientes son consideraciones importantes sobre PingOne que pueden afectar a la forma en que se implementa el aprovisionamiento con Centro de identidades de IAM.

  • A partir de octubre de 2020, PingOne no admite el aprovisionamiento de grupos a través de SCIM. Póngase en contacto con Ping para obtener la información más reciente sobre el apoyo grupal en SCIM para PingOne.

  • Los usuarios pueden seguir aprovisionándose desde PingOne después de deshabilitar el aprovisionamiento en el portal de administración de PingOne. Si necesita finalizar el aprovisionamiento inmediatamente, elimine el token portador del SCIM correspondiente o desactívelo en Aprovisionamiento de un proveedor de identidad externo al Centro de identidades de IAM mediante SCIM, en Centro de identidades de IAM.

  • Si se elimina un atributo de un usuario en PingOne, ese atributo no se eliminará del usuario correspondiente en Centro de identidades de IAM. Se trata de una limitación conocida en la implementación del aprovisionador de PingOne’s. Si se modifica un atributo, el cambio se sincronizará con Centro de identidades de IAM.

  • Las siguientes son notas importantes sobre la configuración de SAML en PingOne:

    • Centro de identidades de IAM solo es compatible con emailaddress como formato de NameId. Esto significa que debe elegir un atributo de usuario que sea único en su directorio de PingOne, que no sea nulo y que tenga el formato de correo electrónico/UPN (por ejemplo, user@domain.com) para la asignación de SAML_SUBJECT en PingOne. El correo electrónico (trabajo) es un valor razonable para probar las configuraciones con el directorio integrado de PingOne.

    • Es posible que los usuarios de PingOne con una dirección de correo electrónico que contenga un carácter + no puedan iniciar sesión en Centro de identidades de IAM debido a errores como 'SAML_215' o 'Invalid input'. Para solucionar este problema, en PingOne, seleccione la opción Avanzada para la asignación de SAML_SUBJECT en las asignaciones de atributos. A continuación, defina el formato de ID de nombre para enviarlo a SP: para urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress en el menú desplegable.

Paso 1: habilite el aprovisionamiento en Centro de identidades de IAM

En este primer paso, utilizará la consola de Centro de identidades de IAM para habilitar el aprovisionamiento automático.

Cómo habilitar el aprovisionamiento automático en Centro de identidades de IAM

  1. Una vez que haya completado los requisitos previos, abra la consola de Centro de identidades de IAM.

  2. En el panel de navegación izquierdo, elija Configuración.

  3. En la página de configuración, busque el cuadro de información sobre el aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita inmediatamente el aprovisionamiento automático en Centro de identidades de IAM y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

  4. En el cuadro de diálogo de aprovisionamiento automático entrante, copie todos los valores de las opciones siguientes. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

    1. Punto de conexión de SCIM: por ejemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acceso: seleccione Mostrar token para copiar el valor.

    aviso

    Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.

  5. Elija Close.

Ahora que ha configurado el aprovisionamiento en la consola de Centro de identidades de IAM, debe completar las tareas restantes con la aplicación Centro de identidades de IAM de PingOne. Estos pasos se explican en el procedimiento siguiente.

Paso 2: configure el aprovisionamiento en PingOne

Utilice el siguiente procedimiento en la aplicación Centro de identidades de IAM PingOne para habilitar el aprovisionamiento con Centro de identidades de IAM. En este procedimiento se presupone que ya ha añadido la aplicación PingOne de Centro de identidades de IAM a la consola de administración del portal de PingOne. Si aún no lo ha hecho, consulte los Requisitos previos y complete este procedimiento para configurar el aprovisionamiento de SCIM.

Cómo configurar el aprovisionamiento en PingOne

  1. Abra la aplicación Centro de identidades de IAM PingOne que instaló como parte de la configuración de SAML para PingOne (Aplicaciones > Mis aplicaciones). Consulte Requisitos previos.

  2. Desplácese hasta el final de la página. En Aprovisionamiento de usuarios, elija el enlace completo para acceder a la configuración de aprovisionamiento de usuarios de su conexión.

  3. En la página de instrucciones de aprovisionamiento, seleccione Continuar con el siguiente paso.

  4. En el procedimiento anterior, copió el valor del punto de conexión de SCIM en Centro de identidades de IAM. Pegue ese valor en el campo URL de SCIM de la aplicación PingOne de Centro de identidades de IAM. En el procedimiento anterior, copió el valor del token de acceso en Centro de identidades de IAM. Pegue ese valor en el campo ACCESS_TOKEN en la aplicación de PingOne de Centro de identidades de IAM.

  5. Para REMOVE_ACTION, elija Desactivada o Eliminada (consulte el texto de descripción de la página para obtener más información).

  6. En la página de asignación de atributos, elija un valor para usarlo en la afirmación SAML_SUBJECT (NameId), siguiendo las instrucciones de Consideraciones adicionales que aparecen anteriormente en esta página. A continuación elija Continuar con el paso siguiente.

  7. En la página Personalización de la aplicación Centro de identidades de IAM PingOne, realice los cambios de personalización que desee (opcional) y haga clic en Continuar con el siguiente paso.

  8. En la página Acceso grupal, seleccione los grupos que contienen los usuarios que desea habilitar para el aprovisionamiento y el inicio de sesión único en Centro de identidades de IAM. Elija Continuar con el paso siguiente.

  9. Desplácese hasta el final de la página y seleccione Finalizar para iniciar el aprovisionamiento.

  10. Para comprobar que los usuarios se han sincronizado correctamente con Centro de identidades de IAM, vuelva a la consola de Centro de identidades de IAM y seleccione Usuarios. Los usuarios sincronizados de PingOne aparecerán en la página Usuarios. Estos usuarios ahora pueden asignarse a cuentas en Centro de identidades de IAM.

    Recuerde que PingOne no admite el aprovisionamiento de grupos o la pertenencia a grupos a través de SCIM. Póngase en contacto con la asistencia de Ping para obtener más información.

(Opcional) Paso 3: configure los atributos de usuario en PingOne para el control de acceso en Centro de identidades de IAM

Este es un procedimiento opcional para PingOne, en caso de que quiera configurar atributos para que Centro de identidades de IAM administre el acceso a sus recursos de AWS. Los atributos que defina en PingOne se transfieren en una aserción de SAML a Centro de identidades de IAM. A continuación, debe crear un conjunto de permisos en Centro de identidades de IAM para administrar el acceso en función de los atributos que transfirió desde PingOne.

Antes de comenzar con este procedimiento, debe habilitar la característica Atributos para controlar el acceso. Para obtener más información acerca de cómo hacerlo, consulte Habilitación y configuración de atributos para el control de acceso.

Cómo configurar atributos de usuario utilizados en PingOne para el control de acceso en Centro de identidades de IAM

  1. Abra la aplicación Centro de identidades de IAM PingOne que instaló como parte de la configuración de SAML para PingOne (Aplicaciones > Mis aplicaciones).

  2. Elija Editar y, a continuación, elija Continuar con el siguiente paso hasta llegar a la página Asignaciones de atributos.

  3. En la página Asignaciones de atributos, elija Añadir nuevo atributo. A continuación, siga estos pasos para cada atributo que vaya a añadir para su uso en Centro de identidades de IAM para el control de acceso.

    1. En el campo Atributo de la aplicación, introduzca https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Sustituya AttributeName por el nombre del atributo que está esperando en Centro de identidades de IAM. Por ejemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. En el campo del atributo o valor lineal del puente de identidades, elija los atributos de usuario de su directorio de PingOne. Por ejemplo, Correo electrónico (trabajo).

  4. Elija Siguiente y, a continuación, haga clic en Terminar.

(Opcional) Paso de atributos para el control de acceso

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de Centro de identidades de IAM para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.