Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
PrasyaratPertimbangan SCIMLangkah 1: Aktifkan penyediaan di IAM Identity CenterLangkah 2: Konfigurasikan penyediaan di CyberArk(Opsional) Langkah 3: Konfigurasikan atribut pengguna di CyberArk untuk kontrol akses (ABAC) di IAM Identity Center (Opsional) Melewati atribut untuk kontrol akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari CyberArk Directory Platform ke Pusat Identitas IAM. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal.

Anda mengonfigurasi koneksi ini di CyberArk menggunakan titik akhir dan token akses Pusat Identitas IAM SCIM Anda. Saat Anda mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Anda di CyberArk ke atribut bernama di IAM Identity Center. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan CyberArk.

Panduan ini didasarkan pada CyberArk per Agustus 2021. Langkah-langkah untuk versi yang lebih baru dapat bervariasi. Panduan ini berisi beberapa catatan mengenai konfigurasi otentikasi pengguna melalui SAMP.

catatan

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.

Prasyarat

Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:

  • CyberArk berlangganan atau uji coba gratis. Untuk mendaftar untuk kunjungan uji coba gratis CyberArk.

  • Akun yang diaktifkan Pusat Identitas IAM (gratis). Untuk informasi selengkapnya, lihat Mengaktifkan Pusat Identitas IAM.

  • Koneksi SALL dari Anda CyberArk akun ke Pusat Identitas IAM, seperti yang dijelaskan dalam CyberArk dokumentasi untuk Pusat Identitas IAM.

  • Kaitkan konektor Pusat Identitas IAM dengan peran, pengguna, dan organisasi yang ingin Anda izinkan aksesnya. Akun AWS

Pertimbangan SCIM

Berikut ini adalah pertimbangan saat menggunakan CyberArk federasi untuk Pusat Identitas IAM:

  • Hanya peran yang dipetakan di bagian Penyediaan aplikasi yang akan disinkronkan ke Pusat Identitas IAM.

  • Skrip penyediaan hanya didukung dalam status defaultnya, setelah diubah, penyediaan SCIM mungkin gagal.

    • Hanya satu atribut nomor telepon yang dapat disinkronkan dan defaultnya adalah “telepon kerja”.

  • Jika pemetaan peran di CyberArk Aplikasi IAM Identity Center diubah, perilaku di bawah ini diharapkan:

    • Jika nama peran diubah - tidak ada perubahan pada nama grup di Pusat Identitas IAM.

    • Jika nama grup diubah - grup baru akan dibuat di IAM Identity Center, grup lama akan tetap ada tetapi tidak akan memiliki anggota.

  • Sinkronisasi pengguna dan perilaku de-provisioning dapat diatur dari CyberArk Aplikasi IAM Identity Center, pastikan Anda mengatur perilaku yang tepat untuk organisasi Anda. Ini adalah opsi yang Anda miliki:

    • Menimpa (atau tidak) pengguna di direktori Pusat Identitas dengan nama utama yang sama.

    • De-penyediaan pengguna dari IAM Identity Center saat pengguna dihapus dari CyberArk peran.

    • Perilaku pengguna de-penyediaan - nonaktifkan atau hapus.

Langkah 1: Aktifkan penyediaan di IAM Identity Center

Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Di kotak dialog penyediaan otomatis masuk, salin titik akhir SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM - Misalnya, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token akses - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.

  5. Pilih Tutup.

Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan CyberArk Aplikasi Pusat Identitas IAM. Langkah-langkah ini dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di CyberArk

Gunakan prosedur berikut di CyberArk Aplikasi IAM Identity Center untuk mengaktifkan penyediaan dengan IAM Identity Center. Prosedur ini mengasumsikan bahwa Anda telah menambahkan CyberArk Aplikasi IAM Identity Center untuk Anda CyberArk konsol admin di bawah Aplikasi Web. Jika Anda belum melakukannya, lihatPrasyarat, dan kemudian selesaikan prosedur ini untuk mengkonfigurasi penyediaan SCIM.

Untuk mengonfigurasi penyediaan di CyberArk

  1. Buka CyberArk Aplikasi IAM Identity Center yang Anda tambahkan sebagai bagian dari konfigurasi SAMP untuk CyberArk (Aplikasi> Aplikasi Web). Lihat Prasyarat.

  2. Pilih aplikasi Pusat Identitas IAM dan buka bagian Penyediaan.

  3. Centang kotak untuk Aktifkan penyediaan untuk aplikasi ini dan pilih Mode Langsung.

  4. Pada prosedur sebelumnya, Anda menyalin nilai endpoint SCIM dari IAM Identity Center. Tempelkan nilai itu ke bidang URL Layanan SCIM, di CyberArk Aplikasi IAM Identity Center mengatur Jenis Otorisasi menjadi Header Otorisasi.

  5. Atur Jenis Header ke Token Pembawa.

  6. Dari prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke bidang Token Pembawa di CyberArk Aplikasi Pusat Identitas IAM.

  7. Klik Verifikasi untuk menguji dan menerapkan konfigurasi.

  8. Di bawah Opsi Sinkronisasi, pilih perilaku yang tepat yang Anda inginkan dari penyediaan keluar CyberArk untuk bekerja. Anda dapat memilih untuk menimpa (atau tidak) pengguna IAM Identity Center yang ada dengan nama utama yang sama, dan perilaku de-provisioning.

  9. Di bawah Pemetaan Peran, atur pemetaan dari CyberArk peran, di bawah bidang Nama ke grup Pusat Identitas IAM, di bawah Grup Tujuan.

  10. Klik Simpan di bagian bawah setelah Anda selesai.

  11. Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna. Pengguna yang disinkronkan dari CyberArk akan muncul di halaman Pengguna. Pengguna ini sekarang dapat ditugaskan ke akun dan dapat terhubung dalam Pusat Identitas IAM.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna di CyberArk untuk kontrol akses (ABAC) di IAM Identity Center

Ini adalah prosedur opsional untuk CyberArk jika Anda memilih untuk mengonfigurasi atribut untuk Pusat Identitas IAM untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda definisikan di CyberArk diteruskan dalam pernyataan SAFL ke IAM Identity Center. Anda kemudian membuat set izin di Pusat Identitas IAM untuk mengelola akses berdasarkan atribut yang Anda berikan CyberArk.

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengkonfigurasi atribut pengguna di CyberArk untuk kontrol akses di IAM Identity Center

  1. Buka CyberArk Aplikasi IAM Identity Center yang Anda instal sebagai bagian dari konfigurasi SAMP untuk CyberArk (Aplikasi> Aplikasi Web).

  2. Buka opsi Saml Response.

  3. Di bawah Atribut, tambahkan atribut yang relevan ke tabel berikut logika di bawah ini:

    1. Nama Atribut adalah nama atribut asli dari CyberArk.

    2. Nilai Atribut adalah nama atribut yang dikirim dalam pernyataan SAMP ke IAM Identity Center.

  4. Pilih Simpan.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di IAM Identity Center untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.