PingFederate - AWS IAM Identity Center
PrasyaratPertimbanganLangkah 1: Aktifkan penyediaan di IAM Identity CenterLangkah 2: Konfigurasikan penyediaan di PingFederate(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingFederate untuk kontrol akses di IAM Identity Center(Opsional) Melewati atribut untuk kontrol aksesPemecahan Masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

PingFederate

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari PingFederate produk oleh Ping Identity (akhirat)Ping”) ke Pusat Identitas IAM. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal.

Anda mengonfigurasi koneksi ini di PingFederate menggunakan titik akhir dan token akses Pusat Identitas IAM SCIM Anda. Saat Anda mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna di PingFederate ke atribut bernama di IAM Identity Center. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan PingFederate.

Panduan ini didasarkan pada PingFederate versi 10.2. Langkah-langkah untuk versi lain dapat bervariasi. Kontak Ping untuk informasi selengkapnya tentang cara mengonfigurasi penyediaan ke IAM Identity Center untuk versi lain PingFederate.

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup PingFederate ke IAM Identity Center menggunakan protokol SCIM.

catatan

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.

Prasyarat

Anda memerlukan yang berikut ini sebelum Anda dapat memulai:

  • Sebuah kerja PingFederate server. Jika Anda tidak memiliki yang ada PingFederate server, Anda mungkin bisa mendapatkan uji coba gratis atau akun pengembang dari situs web Ping Identity. Uji coba mencakup lisensi dan unduhan perangkat lunak dan dokumentasi terkait.

  • Salinan dari PingFederate Perangkat lunak IAM Identity Center Connector diinstal pada Anda PingFederate server. Untuk informasi lebih lanjut tentang cara mendapatkan perangkat lunak ini, lihat Konektor Pusat Identitas IAM di Ping Identity situs web.

  • Akun berkemampuan Pusat Identitas IAM (gratis). Untuk informasi selengkapnya, lihat Mengaktifkan Pusat Identitas IAM.

  • Koneksi SALL dari Anda PingFederate misalnya ke Pusat Identitas IAM. Untuk petunjuk tentang cara mengkonfigurasi koneksi ini, lihat PingFederate dokumentasi. Singkatnya, jalur yang disarankan adalah menggunakan Konektor Pusat Identitas IAM untuk mengonfigurasi “Browser SSO” di PingFederate, menggunakan fitur metadata “unduh” dan “impor” di kedua ujungnya untuk bertukar metadata SAMP antara PingFederate dan Pusat Identitas IAM.

Pertimbangan

Berikut ini adalah pertimbangan penting tentang PingFederate yang dapat memengaruhi cara Anda menerapkan penyediaan dengan IAM Identity Center.

  • Jika atribut (seperti nomor telepon) dihapus dari pengguna di penyimpanan data yang dikonfigurasi PingFederate, atribut itu tidak akan dihapus dari pengguna yang sesuai di IAM Identity Center. Ini adalah batasan yang diketahui dalam PingFederate’s implementasi penyedia. Jika atribut diubah ke nilai yang berbeda (tidak kosong) pada pengguna, perubahan itu akan disinkronkan ke Pusat Identitas IAM.

Langkah 1: Aktifkan penyediaan di IAM Identity Center

Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Di kotak dialog Inbound automatic provisioning, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM - Misalnya, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Access token - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.

  5. Pilih Tutup.

Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat Identitas IAM, Anda harus menyelesaikan tugas yang tersisa menggunakan PingFederate konsol administratif., Langkah-langkah dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di PingFederate

Gunakan prosedur berikut di PingFederate konsol administratif untuk mengaktifkan integrasi antara IAM Identity Center dan IAM Identity Center Connector. Prosedur ini mengasumsikan bahwa Anda telah menginstal perangkat lunak IAM Identity Center Connector. Jika Anda belum melakukannya, lihatPrasyarat, dan kemudian selesaikan prosedur ini untuk mengonfigurasi penyediaan SCIM.

penting

Jika PingFederate server sebelumnya belum dikonfigurasi untuk penyediaan SCIM keluar, Anda mungkin perlu membuat perubahan file konfigurasi untuk mengaktifkan penyediaan. Untuk informasi selengkapnya, silakan lihat Ping dokumentasi. Singkatnya, Anda harus mengubah pf.provisioner.mode pengaturan di pingfederate-<version>/pingfederate/bin/run.propertiesfile ke nilai selain OFF (yang merupakan default), dan restart server jika sedang berjalan. Misalnya, Anda dapat memilih untuk menggunakan STANDALONE jika saat ini Anda tidak memiliki konfigurasi ketersediaan tinggi dengan PingFederate.

Untuk mengonfigurasi penyediaan di PingFederate

  1. Masuk ke PingFederate konsol administratif.

  2. Pilih Aplikasi dari bagian atas halaman, lalu klik SP Connections.

  3. Temukan aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAFL Anda dengan IAM Identity Center, dan klik pada nama koneksi.

  4. Pilih Jenis Koneksi dari judul navigasi gelap di dekat bagian atas halaman. Anda akan melihat Browser SSO sudah dipilih dari konfigurasi SAMP Anda sebelumnya. Jika tidak, Anda harus menyelesaikan langkah-langkah itu terlebih dahulu sebelum Anda dapat melanjutkan.

  5. Pilih kotak centang Outbound Provisioning, pilih IAM Identity Center Cloud Connector sebagai jenisnya, dan klik Simpan. Jika IAM Identity Center Cloud Connector tidak muncul sebagai opsi, pastikan Anda telah menginstal Konektor Pusat Identitas IAM dan telah memulai ulang PingFederate server.

  6. Klik Berikutnya berulang kali sampai Anda tiba di halaman Outbound Provisioning, lalu klik tombol Configure Provisioning.

  7. Pada prosedur sebelumnya, Anda menyalin nilai endpoint SCIM di IAM Identity Center. Tempelkan nilai itu ke bidang URL SCIM di PingFederate konsol. Juga, dalam prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke bidang Token Akses di PingFederate konsol. Klik Simpan.

  8. Pada halaman Konfigurasi Saluran (Konfigurasi Saluran), klik Buat.

  9. Masukkan Nama Saluran untuk saluran penyediaan baru ini (sepertiAWSIAMIdentityCenterchannel), dan klik Berikutnya.

  10. Pada halaman Sumber, pilih Active Data Store yang ingin Anda gunakan untuk koneksi ke IAM Identity Center, dan klik Berikutnya.

    catatan

    Jika Anda belum mengonfigurasi sumber data, Anda harus melakukannya sekarang. Lihat Ping dokumentasi produk untuk informasi tentang cara memilih dan mengkonfigurasi sumber data di PingFederate.

  11. Pada halaman Pengaturan Sumber, konfirmasikan semua nilai sudah benar untuk instalasi Anda, lalu klik Berikutnya.

  12. Pada halaman Lokasi Sumber, masukkan pengaturan yang sesuai dengan sumber data Anda, lalu klik Berikutnya. Misalnya, jika menggunakan Active Directory sebagai direktori LDAP:

    1. Masukkan Base DN hutan AD Anda (sepertiDC=myforest,DC=mydomain,DC=com).

    2. Di Users > Group DN, tentukan satu grup yang berisi semua pengguna yang ingin Anda berikan ke IAM Identity Center. Jika tidak ada grup tunggal seperti itu, buat grup itu di AD, kembali ke pengaturan ini, lalu masukkan DN yang sesuai.

    3. Tentukan apakah akan mencari subgrup (Pencarian Bersarang), dan Filter LDAP yang diperlukan.

    4. Di Grup > Grup DN, tentukan satu grup yang berisi semua grup yang ingin Anda berikan ke Pusat Identitas IAM. Dalam banyak kasus, ini mungkin DN yang sama seperti yang Anda tentukan di bagian Pengguna. Masukkan nilai Pencarian Bersarang dan Filter sesuai kebutuhan.

  13. Pada halaman Pemetaan Atribut, pastikan yang berikut ini, lalu klik Berikutnya:

    1. Bidang UserName harus dipetakan ke Atribut yang diformat sebagai email (user@domain.com). Itu juga harus sesuai dengan nilai yang akan digunakan pengguna untuk masuk ke Ping. Nilai ini pada gilirannya diisi dalam nameId klaim SAFL selama otentikasi federasi dan digunakan untuk pencocokan dengan pengguna di Pusat Identitas IAM. Misalnya, saat menggunakan Active Directory, Anda dapat memilih untuk menentukan UserPrincipalName sebagai UserName.

    2. Bidang lain yang diakhiran dengan* harus dipetakan ke atribut yang bukan null untuk pengguna Anda.

  14. Pada halaman Aktivasi & Ringkasan, atur Status Saluran ke Aktif untuk menyebabkan sinkronisasi dimulai segera setelah konfigurasi disimpan.

  15. Konfirmasikan bahwa semua nilai konfigurasi pada halaman sudah benar, dan klik Selesai.

  16. Pada halaman Kelola Saluran, klik Simpan.

  17. Pada titik ini, penyediaan dimulai. Untuk mengonfirmasi aktivitas, Anda dapat melihat file provisioner.log, yang terletak secara default di pingfederate-<version>/pingfederate/logdirektori pada Anda PingFederate server.

  18. Untuk memverifikasi bahwa pengguna dan grup telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke Konsol Pusat Identitas IAM dan pilih Pengguna. Pengguna yang disinkronkan dari PingFederate muncul di halaman Pengguna. Anda juga dapat melihat grup yang disinkronkan di halaman Grup.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingFederate untuk kontrol akses di IAM Identity Center

Ini adalah prosedur opsional untuk PingFederate jika Anda memilih untuk mengonfigurasi atribut yang akan Anda gunakan di Pusat Identitas IAM untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda definisikan di PingFederate diteruskan dalam pernyataan SAFL ke IAM Identity Center. Anda kemudian akan membuat set izin di IAM Identity Center untuk mengelola akses berdasarkan atribut yang Anda lewati PingFederate.

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengkonfigurasi atribut pengguna di PingFederate untuk kontrol akses di IAM Identity Center

  1. Masuk ke PingFederate konsol administratif.

  2. Pilih Aplikasi dari bagian atas halaman, lalu klik SP Connections.

  3. Temukan aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAFL Anda dengan IAM Identity Center, dan klik pada nama koneksi.

  4. Pilih Browser SSO dari judul navigasi gelap di dekat bagian atas halaman. Kemudian klik Konfigurasi Browser SSO.

  5. Pada halaman Configure Browser SSO, pilih Assertion Creation, dan kemudian klik Configure Assertion Creation.

  6. Pada halaman Configure Assertion Creation, pilih Attribute Contract.

  7. Pada halaman Kontrak Atribut, di bawah bagian Perpanjang Kontrak, tambahkan atribut baru dengan melakukan langkah-langkah berikut:

    1. Di kotak teks, masukkanhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, ganti AttributeName dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    2. Untuk Format Nama Atribut, pilih urn:oasis:names:tc:SAML:2.0:attrname-format:uri.

    3. Pilih Tambah, lalu pilih Berikutnya.

  8. Pada halaman Pemetaan Sumber Otentikasi, pilih Instans Adaptor yang dikonfigurasi dengan aplikasi Anda.

  9. Pada halaman Pemenuhan Kontrak Atribut, pilih Sumber (penyimpanan data) dan Nilai (atribut penyimpanan data) untuk Kontrak https://aws.amazon.com/SAML/Attributes/AccessControl:Department Atribut.

    catatan

    Jika Anda belum mengonfigurasi sumber data, Anda harus melakukannya sekarang. Lihat Ping dokumentasi produk untuk informasi tentang cara memilih dan mengkonfigurasi sumber data di PingFederate.

  10. Klik Berikutnya berulang kali sampai Anda tiba di halaman Aktivasi & Ringkasan, lalu klik Simpan.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di IAM Identity Center untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Pemecahan Masalah

Untuk pemecahan masalah SCIM dan SAMP umum dengan PingFederate, lihat bagian berikut:

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS

  • AWS re:Post- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.

  • AWS Dukungan- Dapatkan dukungan teknis