PingOne - AWS IAM Identity Center
PrérequisConsidérations supplémentairesÉtape 1 : activer le provisionnement dans IAM Identity CenterÉtape 2 : configurer le provisionnement dans PingOne(Facultatif) Étape 3 : configurer les attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center(Facultatif) Transmission d'attributs pour le contrôle d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

PingOne

IAMIdentity Center prend en charge le provisionnement automatique (synchronisation) des informations utilisateur depuis le PingOne produit Ping Identity (ci-après « Ping ») vers IAM Identity Center. Ce provisionnement utilise le protocole System for Cross-domain Identity Management (SCIM) v2.0. Vous configurez cette connexion à PingOne l'aide de votre point de SCIM terminaison et de votre jeton d'accès IAM Identity Center. Lorsque vous configurez SCIM la synchronisation, vous créez un mappage de vos attributs utilisateur avec PingOne les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etPingOne.

Ce guide est basé sur PingOne la version d'octobre 2020. Les étapes à suivre pour les nouvelles versions peuvent varier. Contactez-nous Ping pour plus d'informations sur la configuration du provisionnement vers IAM Identity Center pour les autres versions dePingOne. Ce guide contient également quelques remarques concernant la configuration de l'authentification utilisateur viaSAML.

Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs depuis IAM Identity Center PingOne à l'aide du SCIM protocole.

Note

Avant de commencer le déploiementSCIM, nous vous recommandons de consulter d'abord leConsidérations relatives à l'utilisation du provisionnement automatique. Passez ensuite en revue les autres considérations dans la section suivante.

Prérequis

Vous aurez besoin des éléments suivants avant de pouvoir commencer :

  • Un PingOne abonnement ou un essai gratuit, avec des fonctionnalités d'authentification fédérée et de provisionnement. Pour plus d'informations sur la façon d'obtenir un essai gratuit, consultez le Ping Identitysite Web.

  • Un compte compatible avec IAM Identity Center (gratuit). Pour plus d'informations, consultez la section Activer IAM Identity Center.

  • L'application PingOne IAM Identity Center a été ajoutée à votre portail PingOne d'administration. Vous pouvez obtenir l'application PingOne IAM Identity Center à partir du catalogue PingOne d'applications. Pour des informations générales, voir Ajouter une application depuis le catalogue d'applications sur le Ping Identity site Web.

  • Une SAML connexion entre votre PingOne instance et IAM Identity Center. Une fois que l'application PingOne IAM Identity Center a été ajoutée à votre portail PingOne d'administration, vous devez l'utiliser pour configurer une SAML connexion entre votre PingOne instance et IAM Identity Center. Utilisez les fonctionnalités de « téléchargement » et d' « importation » des métadonnées situées aux deux extrémités pour échanger SAML des métadonnées entre Identity Center PingOne et IAM Identity Center. Pour obtenir des instructions sur la configuration de cette connexion, consultez la PingOne documentation.

Considérations supplémentaires

Les considérations suivantes sont importantes et peuvent avoir une incidence sur PingOne la manière dont vous implémentez le provisionnement avec IAM Identity Center.

  • À compter d'octobre 2020, PingOne le provisionnement des groupes par le biais SCIM de. Contactez-nous Ping pour obtenir les dernières informations sur le soutien aux groupes dans SCIM forPingOne.

  • Les utilisateurs peuvent continuer à être approvisionnés PingOne après avoir désactivé le provisionnement dans le PingOne portail d'administration. Si vous devez mettre fin au provisionnement immédiatement, supprimez le jeton SCIM porteur correspondant et/ou désactivez-le Approvisionnement d'un fournisseur d'identité externe dans IAM Identity Center à l'aide de SCIM dans IAM Identity Center.

  • Si un attribut d'un utilisateur est supprimé du magasin de données configuré dansPingOne, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dans la mise en PingOne’s œuvre du fournisseur. Si un attribut est modifié, le changement sera synchronisé avec IAM Identity Center.

  • Voici quelques remarques importantes concernant votre SAML configuration dans PingOne :

    • IAMIdentity Center ne prend en charge emailaddress que le NameId format. Cela signifie que vous devez choisir un attribut utilisateur unique dans votre répertoirePingOne, non nul et formaté sous la forme d'un email/ UPN (par exemple, user@domain.com) pour votre SAML_ SUBJECT mappé dans. PingOne Email (Work) est une valeur raisonnable à utiliser pour tester les configurations avec le répertoire PingOne intégré.

    • Les utilisateurs qui se connectent PingOne avec une adresse e-mail contenant un caractère + peuvent ne pas être en mesure de se connecter à IAM Identity Center, en raison d'erreurs telles que 'SAML_215' ou'Invalid input'. Pour résoudre ce problème, dansPingOne, choisissez l'option avancée pour le SUBJECT mappage SAML_ dans les mappages d'attributs. Définissez ensuite le format Name ID à envoyer à SP : to urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressdans le menu déroulant.

Étape 1 : activer le provisionnement dans IAM Identity Center

Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.

Pour activer le provisionnement automatique dans IAM Identity Center

  1. Une fois que vous avez rempli les conditions requises, ouvrez la console IAM Identity Center.

  2. Choisissez Paramètres dans le volet de navigation de gauche.

  3. Sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de SCIM terminaison et le jeton d'accès.

  4. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.

    1. SCIMpoint de terminaison : par exemple, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

    Avertissement

    C'est le seul moment où vous pouvez obtenir le SCIM point de terminaison et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique Okta plus loin dans ce didacticiel.

  5. Choisissez Close (Fermer).

Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide de l'application PingOne IAM Identity Center. Ces étapes sont décrites dans la procédure suivante.

Étape 2 : configurer le provisionnement dans PingOne

Utilisez la procédure suivante dans l'application PingOne IAM Identity Center pour activer le provisionnement avec IAM Identity Center. Cette procédure suppose que vous avez déjà ajouté l'application PingOne IAM Identity Center à votre portail PingOne d'administration. Si vous ne l'avez pas encore fait, reportez-vous à cette procédurePrérequis, puis exécutez-la pour configurer le SCIM provisionnement.

Pour configurer le provisionnement dans PingOne

  1. Ouvrez l'application PingOne IAM Identity Center que vous avez installée dans le cadre de la configuration SAML pour PingOne (Applications > Mes applications). Consultez Prérequis.

  2. Faites défiler la page vers le bas. Sous Configuration utilisateur, choisissez le lien complet pour accéder à la configuration de configuration de configuration utilisateur de votre connexion.

  3. Sur la page Instructions de provisionnement, choisissez Passer à l'étape suivante.

  4. Dans la procédure précédente, vous avez copié la valeur du SCIMpoint de terminaison dans IAM Identity Center. Collez cette valeur dans le SCIMURLchamp de l'application PingOne IAM Identity Center. Dans la procédure précédente, vous avez également copié la valeur du jeton d'accès dans IAM Identity Center. Collez cette valeur dans le TOKEN champ ACCESS_ de l'application PingOne IAM Identity Center.

  5. Pour REMOVE_ ACTION, choisissez Désactivé ou Supprimé (voir le texte de description sur la page pour plus de détails).

  6. Sur la page Mappage des attributs, choisissez une valeur à utiliser pour l'assertion SAML_ SUBJECT (NameId), en suivant les instructions données Considérations supplémentaires plus haut sur cette page. Choisissez ensuite Passer à l'étape suivante.

  7. Sur la page Personnalisation de PingOne l'application - IAM Identity Center, apportez les modifications de personnalisation souhaitées (facultatif), puis cliquez sur Passer à l'étape suivante.

  8. Sur la page Accès aux groupes, choisissez les groupes contenant les utilisateurs que vous souhaitez activer pour le provisionnement et l'authentification unique à IAM Identity Center. Choisissez Passer à l'étape suivante.

  9. Faites défiler la page vers le bas et choisissez Terminer pour commencer le provisionnement.

  10. Pour vérifier que les utilisateurs ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs. Les utilisateurs synchronisés depuis PingOne apparaîtront sur la page Utilisateurs. Ces utilisateurs peuvent désormais être affectés à des comptes et à des applications dans IAM Identity Center.

    N'oubliez pas que PingOne cela ne prend pas en charge le provisionnement de groupes ou d'adhésions à des groupes via. SCIM Contactez-nous Ping pour plus d'informations.

(Facultatif) Étape 3 : configurer les attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center

Il s'agit d'une procédure facultative PingOne si vous choisissez de configurer des attributs pour IAM Identity Center afin de gérer l'accès à vos AWS ressources. Les attributs que vous définissez PingOne sont transmis dans une SAML assertion à IAM Identity Center. Vous créez ensuite un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisPingOne.

Avant de commencer cette procédure, vous devez d'abord activer la Attributs pour le contrôle d’accès fonctionnalité. Pour plus d'informations sur cette étape, consultez Activer et configurer les attributs pour le contrôle d'accès.

Pour configurer les attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center

  1. Ouvrez l'application PingOne IAM Identity Center que vous avez installée dans le cadre de la configuration SAML pour PingOne (Applications > Mes applications).

  2. Choisissez Modifier, puis passez à l'étape suivante jusqu'à ce que vous arriviez à la page Mappages d'attributs.

  3. Sur la page Mappages d'attributs, choisissez Ajouter un nouvel attribut, puis procédez comme suit. Vous devez effectuer ces étapes pour chaque attribut que vous ajouterez pour être utilisé dans IAM Identity Center à des fins de contrôle d'accès.

    1. Dans le champ Attribut de l'application, entrezhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Remplacez AttributeName avec le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. Dans le champ Attribut ou valeur littérale d'Identity Bridge, sélectionnez les attributs utilisateur PingOne dans votre annuaire. Par exemple, Email (Work).

  4. Cliquez sur Suivant à quelques reprises, puis sur Terminer.

(Facultatif) Transmission d'attributs pour le contrôle d'accès

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAMIdentity Center pour transmettre un Attribute élément dont l'Nameattribut est défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Cet élément vous permet de transmettre des attributs sous forme de balises de session dans l'SAMLassertion. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de IAM l'utilisateur.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.