PingFederate - AWS IAM Identity Center
PrérequisConsidérations supplémentairesÉtape 1 : activer le provisionnement dans IAM Identity CenterÉtape 2 : configurer le provisionnement dans PingFederate(Facultatif) Étape 3 : configurer les attributs utilisateur dans PingFedTarif pour le contrôle d'accès dans IAM Identity Center(Facultatif) Transmission d'attributs pour le contrôle d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

PingFederate

IAMIdentity Center prend en charge le provisionnement automatique (synchronisation) des informations sur les utilisateurs et les groupes à partir du PingFederate produit par Ping Identity (ci-après »Ping») dans IAM Identity Center. Ce provisionnement utilise le protocole System for Cross-domain Identity Management (SCIM) v2.0. Vous configurez cette connexion dans PingFederate en utilisant votre point de SCIM terminaison et votre jeton d'accès IAM Identity Center. Lorsque vous configurez SCIM la synchronisation, vous créez un mappage de vos attributs utilisateur dans PingFederate aux attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center et PingFederate.

Ce guide est basé sur PingFederate version 10.2. Les étapes pour les autres versions peuvent varier. Contact Ping pour plus d'informations sur la façon de configurer le provisionnement vers IAM Identity Center pour les autres versions de PingFederate.

Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs et des groupes à partir de PingFederate à IAM Identity Center à l'aide du SCIM protocole.

Note

Avant de commencer le déploiementSCIM, nous vous recommandons de consulter d'abord leConsidérations relatives à l'utilisation du provisionnement automatique. Passez ensuite en revue les autres considérations dans la section suivante.

Prérequis

Vous aurez besoin des éléments suivants avant de pouvoir commencer :

  • Un travail PingFederate serveur. Si vous n'avez pas de PingFederate serveur, vous pourrez peut-être obtenir un essai gratuit ou un compte développeur sur le site Web de Ping Identity. La version d'essai inclut le téléchargement de licences et de logiciels ainsi que la documentation associée.

  • Une copie du PingFederate IAMLe logiciel Identity Center Connector installé sur votre PingFederate serveur. Pour plus d'informations sur la façon d'obtenir ce logiciel, consultez IAMIdentity Center Connector sur le Ping Identity site Web.

  • Un compte compatible avec IAM Identity Center (gratuit). Pour plus d'informations, consultez la section Activer IAM Identity Center.

  • Une SAML connexion depuis votre PingFederate instance vers IAM Identity Center. Pour obtenir des instructions sur la configuration de cette connexion, consultez le PingFederate . En résumé, le chemin recommandé consiste à utiliser le connecteur IAM Identity Center pour configurer le « Navigateur SSO » dans PingFederate, en utilisant les fonctionnalités de « téléchargement » et « importation » de métadonnées situées aux deux extrémités pour échanger SAML des métadonnées entre PingFederate et IAM Identity Center.

Considérations supplémentaires

Les points suivants sont importants à prendre en compte au sujet de PingFederate qui peuvent affecter la manière dont vous implémentez le provisionnement avec IAM Identity Center.

  • Si un attribut (tel qu'un numéro de téléphone) est supprimé d'un utilisateur dans le magasin de données configuré dans PingFederate, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dans PingFederate’s mise en œuvre de l'approvisionneur. Si un attribut est remplacé par une valeur différente (non vide) pour un utilisateur, cette modification sera synchronisée avec IAM Identity Center.

Étape 1 : activer le provisionnement dans IAM Identity Center

Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.

Pour activer le provisionnement automatique dans IAM Identity Center

  1. Une fois que vous avez rempli les conditions requises, ouvrez la console IAM Identity Center.

  2. Choisissez Paramètres dans le volet de navigation de gauche.

  3. Sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de SCIM terminaison et le jeton d'accès.

  4. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.

    1. SCIMpoint de terminaison : par exemple, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

    Avertissement

    C'est le seul moment où vous pouvez obtenir le SCIM point de terminaison et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous allez entrer ces valeurs pour configurer le provisionnement automatique dans Okta plus loin dans ce didacticiel.

  5. Choisissez Close (Fermer).

Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide du PingFederate console d'administration., Les étapes sont décrites dans la procédure suivante.

Étape 2 : configurer le provisionnement dans PingFederate

Utilisez la procédure suivante dans PingFederate console d'administration pour permettre l'intégration entre IAM Identity Center et IAM Identity Center Connector. Cette procédure suppose que vous avez déjà installé le logiciel IAM Identity Center Connector. Si vous ne l'avez pas encore fait, reportez-vous à cette procédurePrérequis, puis exécutez-la pour configurer le SCIM provisionnement.

Important

Si vos recettes PingFederate le serveur n'a pas été configuré auparavant pour le SCIM provisionnement sortant, vous devrez peut-être modifier le fichier de configuration pour activer le provisionnement. Pour plus d'informations, veuillez consulter la rubrique Ping . En résumé, vous devez modifier le pf.provisioner.mode paramètre dans pingfederate-<version>/pingfederate/bin/run.propertiesfichier à une valeur autre que OFF (qui est la valeur par défaut), et redémarrez le serveur s'il est en cours d'exécution. Par exemple, vous pouvez choisir d'utiliser STANDALONE si vous ne disposez pas actuellement d'une configuration haute disponibilité avec PingFederate.

Pour configurer le provisionnement dans PingFederate

  1. Connectez-vous au PingFederate console d'administration.

  2. Sélectionnez Applications en haut de la page, puis cliquez sur SP Connections.

  3. Localisez l'application que vous avez créée précédemment pour SAML établir votre connexion avec IAM Identity Center, puis cliquez sur le nom de la connexion.

  4. Sélectionnez le type de connexion dans les en-têtes de navigation sombres situés en haut de la page. Vous devriez voir que le navigateur SSO est déjà sélectionné dans votre configuration précédente deSAML. Si ce n'est pas le cas, vous devez d'abord suivre ces étapes avant de pouvoir continuer.

  5. Cochez la case Outbound Provisioning, choisissez IAMIdentity Center Cloud Connector comme type, puis cliquez sur Enregistrer. Si IAMIdentity Center Cloud Connector n'apparaît pas en option, assurez-vous d'avoir installé le connecteur IAM Identity Center et d'avoir redémarré votre PingFederate serveur.

  6. Cliquez sur Suivant à plusieurs reprises jusqu'à ce que vous arriviez sur la page de provisionnement sortant, puis cliquez sur le bouton Configurer le provisionnement.

  7. Dans la procédure précédente, vous avez copié la valeur du SCIMpoint de terminaison dans IAM Identity Center. Collez cette valeur dans le SCIMURLchamp du PingFederate console. Dans la procédure précédente, vous avez également copié la valeur du jeton d'accès dans IAM Identity Center. Collez cette valeur dans le champ Access Token du PingFederate console. Cliquez sur Sauvegarder

  8. Sur la page Configuration des canaux (Configurer les canaux), cliquez sur Créer.

  9. Entrez un nom de canal pour ce nouveau canal de provisionnement (tel queAWSIAMIdentityCenterchannel), puis cliquez sur Suivant.

  10. Sur la page Source, choisissez le magasin de données actif que vous souhaitez utiliser pour votre connexion à IAM Identity Center, puis cliquez sur Suivant.

    Note

    Si vous n'avez pas encore configuré de source de données, vous devez le faire maintenant. Voir le Ping documentation du produit pour savoir comment choisir et configurer une source de données dans PingFederate.

  11. Sur la page Paramètres source, vérifiez que toutes les valeurs sont correctes pour votre installation, puis cliquez sur Suivant.

  12. Sur la page Emplacement de la source, entrez les paramètres appropriés à votre source de données, puis cliquez sur Suivant. Par exemple, si vous utilisez Active Directory comme LDAP annuaire :

    1. Entrez le DN de base de votre forêt AD (tel queDC=myforest,DC=mydomain,DC=com).

    2. Dans Utilisateurs > Nom distinctif du groupe, spécifiez un groupe unique contenant tous les utilisateurs que vous souhaitez attribuer à IAM Identity Center. Si aucun groupe unique de ce type n'existe, créez-le dans AD, revenez à ce paramètre, puis entrez le DN correspondant.

    3. Spécifiez si vous souhaitez rechercher des sous-groupes (recherche imbriquée) et indiquez tout filtre requis. LDAP

    4. Dans Groupes > Nom du groupe, spécifiez un groupe unique contenant tous les groupes que vous souhaitez attribuer à IAM Identity Center. Dans de nombreux cas, il peut s'agir du même DN que celui que vous avez spécifié dans la section Utilisateurs. Entrez les valeurs de recherche et de filtre imbriquées selon les besoins.

  13. Sur la page Mappage des attributs, vérifiez les points suivants, puis cliquez sur Suivant :

    1. Le userNamechamp doit être mappé à un attribut au format e-mail (user@domain.com). Elle doit également correspondre à la valeur que l'utilisateur utilisera pour se connecter à Ping. Cette valeur est à son tour renseignée dans la SAML nameId réclamation lors de l'authentification fédérée et utilisée pour établir une correspondance avec l'utilisateur dans IAM Identity Center. Par exemple, lorsque vous utilisez Active Directory, vous pouvez choisir de spécifier UserPrincipalName le userName.

    2. Les autres champs marqués d'un * doivent être mappés à des attributs non nuls pour vos utilisateurs.

  14. Sur la page Activation et résumé, définissez le statut du canal sur Actif pour que la synchronisation démarre immédiatement après l'enregistrement de la configuration.

  15. Vérifiez que toutes les valeurs de configuration de la page sont correctes, puis cliquez sur Terminé.

  16. Sur la page Gérer les chaînes, cliquez sur Enregistrer.

  17. À ce stade, le provisionnement commence. Pour confirmer l'activité, vous pouvez consulter le fichier provisioner.log, situé par défaut dans pingfederate-<version>/pingfederate/logrépertoire sur votre PingFederate serveur.

  18. Pour vérifier que les utilisateurs et les groupes ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs. Utilisateurs synchronisés depuis PingFederate apparaissent sur la page Utilisateurs. Vous pouvez également consulter les groupes synchronisés sur la page Groupes.

(Facultatif) Étape 3 : configurer les attributs utilisateur dans PingFedTarif pour le contrôle d'accès dans IAM Identity Center

Il s'agit d'une procédure facultative pour PingFederate si vous choisissez de configurer des attributs que vous utiliserez dans IAM Identity Center pour gérer l'accès à vos AWS ressources. Les attributs que vous définissez dans PingFederate sont transmis dans une SAML assertion à IAM Identity Center. Vous allez ensuite créer un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmis depuis PingFederate.

Avant de commencer cette procédure, vous devez d'abord activer la Attributs pour le contrôle d’accès fonctionnalité. Pour plus d'informations sur cette étape, consultez Activer et configurer les attributs pour le contrôle d'accès.

Pour configurer les attributs utilisateur dans PingFederate pour le contrôle d'accès dans IAM Identity Center

  1. Connectez-vous au PingFederate console d'administration.

  2. Choisissez Applications en haut de la page, puis cliquez sur SP Connections.

  3. Localisez l'application que vous avez créée précédemment pour SAML établir votre connexion avec IAM Identity Center, puis cliquez sur le nom de la connexion.

  4. SSOChoisissez Navigateur dans les en-têtes de navigation sombres situés en haut de la page. Cliquez ensuite sur Configurer le navigateur SSO.

  5. Sur la SSO page Configurer le navigateur, choisissez Création d'assertions, puis cliquez sur Configurer la création d'assertions.

  6. Sur la page Configurer la création d'assertions, sélectionnez Attribute Contract.

  7. Sur la page Contrat d'attribut, sous la section Étendre le contrat, ajoutez un nouvel attribut en effectuant les étapes suivantes :

    1. Dans la zone de texte, entrezhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, remplacez AttributeName par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. Pour le format du nom d'attribut, choisissez urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Choisissez Ajouter, puis Next.

  8. Sur la page Mappage des sources d'authentification, choisissez l'instance d'adaptateur configurée avec votre application.

  9. Sur la page Exécution du contrat d'attribut, choisissez la source (magasin de données) et la valeur (attribut du magasin de données) pour le contrat d'attributhttps://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    Note

    Si vous n'avez pas encore configuré de source de données, vous devez le faire maintenant. Voir le Ping documentation du produit pour savoir comment choisir et configurer une source de données dans PingFederate.

  10. Cliquez sur Suivant à plusieurs reprises jusqu'à ce que vous arriviez sur la page Activation et résumé, puis cliquez sur Enregistrer.

(Facultatif) Transmission d'attributs pour le contrôle d'accès

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAMIdentity Center pour transmettre un Attribute élément dont l'Nameattribut est défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Cet élément vous permet de transmettre des attributs sous forme de balises de session dans l'SAMLassertion. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de IAM l'utilisateur.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.