PingOne - AWS IAM Identity Center
PrasyaratPertimbangan tambahanLangkah 1: Aktifkan penyediaan di Pusat Identitas IAMLangkah 2: Konfigurasikan penyediaan di PingOne(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingOne untuk kontrol akses di Pusat IAM Identitas(Opsional) Melewati atribut untuk kontrol akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

PingOne

IAMIdentity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dari PingOne produk oleh Ping Identity (akhirat)Ping”) ke Pusat IAM Identitas. Penyediaan ini menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Anda mengonfigurasi koneksi ini di PingOne menggunakan SCIM titik akhir Pusat IAM Identitas dan token akses Anda. Saat Anda mengonfigurasi SCIM sinkronisasi, Anda membuat pemetaan atribut pengguna di PingOne ke atribut bernama di Pusat IAM Identitas. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan PingOne.

Panduan ini didasarkan pada PingOne per Oktober 2020. Langkah-langkah untuk versi yang lebih baru dapat bervariasi. Kontak Ping untuk informasi selengkapnya tentang cara mengonfigurasi penyediaan ke Pusat IAM Identitas untuk versi lain PingOne. Panduan ini juga berisi beberapa catatan mengenai konfigurasi otentikasi pengguna melaluiSAML.

Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dari PingOne ke Pusat IAM Identitas menggunakan SCIM protokol.

catatan

Sebelum Anda mulai menerapkanSCIM, kami sarankan Anda terlebih dahulu meninjau. Pertimbangan untuk menggunakan penyediaan otomatis Kemudian lanjutkan meninjau pertimbangan tambahan di bagian selanjutnya.

Prasyarat

Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:

  • A PingOne berlangganan atau uji coba gratis, dengan kemampuan otentikasi dan penyediaan federasi. Untuk informasi lebih lanjut tentang cara mendapatkan uji coba gratis, lihat Ping Identitysitus web.

  • Akun berkemampuan Pusat IAM Identitas (gratis). Untuk informasi selengkapnya, lihat Mengaktifkan Pusat IAM Identitas.

  • Bagian PingOne IAMAplikasi Pusat Identitas ditambahkan ke PingOne portal admin. Anda bisa mendapatkan PingOne IAMAplikasi Pusat Identitas dari PingOne Katalog Aplikasi. Untuk informasi umum, lihat Menambahkan aplikasi dari Katalog Aplikasi di Ping Identity situs web.

  • SAMLKoneksi dari Anda PingOne contoh ke Pusat IAM Identitas. Setelah PingOne IAMAplikasi Identity Center telah ditambahkan ke PingOne portal admin, Anda harus menggunakannya untuk mengkonfigurasi SAML koneksi dari PingOne contoh ke Pusat IAM Identitas. Gunakan fitur metadata “unduh” dan “impor” di kedua ujungnya untuk bertukar SAML metadata antara PingOne dan pusat IAM identitas. Untuk petunjuk tentang cara mengkonfigurasi koneksi ini, lihat PingOne dokumentasi.

Pertimbangan tambahan

Berikut ini adalah pertimbangan penting tentang PingOne yang dapat memengaruhi cara Anda menerapkan penyediaan dengan IAM Identity Center.

  • Pada Oktober 2020, PingOne tidak mendukung penyediaan kelompok melalui. SCIM Kontak Ping untuk informasi terbaru tentang dukungan grup di SCIM untuk PingOne.

  • Pengguna dapat terus disediakan dari PingOne setelah menonaktifkan penyediaan di PingOne portal admin. Jika Anda perlu segera menghentikan penyediaan, hapus token SCIM pembawa yang relevan, dan/atau nonaktifkan Menyediakan penyedia identitas eksternal ke Pusat IAM Identitas menggunakan SCIM di Pusat Identitas. IAM

  • Jika atribut untuk pengguna dihapus dari penyimpanan data yang dikonfigurasi PingOne, atribut itu tidak akan dihapus dari pengguna yang sesuai di Pusat IAM Identitas. Ini adalah batasan yang diketahui dalam PingOne’s implementasi penyedia. Jika atribut diubah, perubahan akan disinkronkan ke Pusat IAM Identitas.

  • Berikut ini adalah catatan penting mengenai SAML konfigurasi Anda di PingOne:

    • IAMIdentity Center hanya mendukung emailaddress sebagai NameId format. Ini berarti Anda harus memilih atribut pengguna yang unik dalam direktori Anda di PingOne, non-null, dan diformat sebagai email/ UPN (misalnya, user@domain.com) untuk pemetaan _ Anda di SAML SUBJECT PingOne. Email (Work) adalah nilai yang wajar untuk digunakan untuk konfigurasi pengujian dengan PingOne direktori bawaan.

    • Pengguna di PingOne dengan alamat email yang berisi karakter + mungkin tidak dapat masuk ke Pusat IAM Identitas, dengan kesalahan seperti 'SAML_215' atau'Invalid input'. Untuk memperbaikinya, di PingOne, pilih opsi Lanjutan untuk SUBJECT pemetaan SAML_ di Pemetaan Atribut. Kemudian atur Format ID Nama untuk dikirim ke SP: ke urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressdi menu drop-down.

Langkah 1: Aktifkan penyediaan di Pusat Identitas IAM

Pada langkah pertama ini, Anda menggunakan konsol Pusat IAM Identitas untuk mengaktifkan penyediaan otomatis.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas. IAM

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di Pusat IAM Identitas dan menampilkan SCIM titik akhir yang diperlukan dan informasi token akses.

  4. Dalam kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. SCIMtitik akhir - Misalnya, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Access token - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh SCIM titik akhir dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengonfigurasi penyediaan otomatis Okta kemudian dalam tutorial ini.

  5. Pilih Tutup.

Sekarang setelah Anda menyiapkan penyediaan di konsol Pusat IAM Identitas, Anda harus menyelesaikan tugas yang tersisa menggunakan PingOne IAMAplikasi Pusat Identitas. Langkah-langkah ini dijelaskan dalam prosedur berikut.

Langkah 2: Konfigurasikan penyediaan di PingOne

Gunakan prosedur berikut di PingOne IAMAplikasi Pusat Identitas untuk mengaktifkan penyediaan dengan Pusat IAM Identitas. Prosedur ini mengasumsikan bahwa Anda telah menambahkan PingOne IAMAplikasi Pusat Identitas untuk Anda PingOne portal admin. Jika Anda belum melakukannya, lihatPrasyarat, dan kemudian selesaikan prosedur ini untuk mengonfigurasi SCIM penyediaan.

Untuk mengonfigurasi penyediaan di PingOne

  1. Buka PingOne IAMAplikasi Pusat Identitas yang Anda instal sebagai bagian dari konfigurasi SAML PingOne (Aplikasi > Aplikasi Saya). Lihat Prasyarat.

  2. Gulir ke bagian bawah halaman. Di bawah Penyediaan Pengguna, pilih tautan lengkap untuk menavigasi ke konfigurasi penyediaan pengguna koneksi Anda.

  3. Pada halaman Petunjuk Penyediaan, pilih Lanjutkan ke Langkah Berikutnya.

  4. Pada prosedur sebelumnya, Anda menyalin nilai SCIMendpoint di IAM Identity Center. Tempelkan nilai itu ke SCIMURLbidang di PingOne IAMAplikasi Pusat Identitas. Juga, dalam prosedur sebelumnya Anda menyalin nilai token Access di IAM Identity Center. Tempelkan nilai itu ke TOKEN bidang ACCESS_ di PingOne IAMAplikasi Pusat Identitas.

  5. Untuk REMOVE_ ACTION, pilih Dinonaktifkan atau Dihapus (lihat teks deskripsi di halaman untuk detail selengkapnya).

  6. Pada halaman Pemetaan Atribut, pilih nilai yang akan digunakan untuk pernyataan SAML_ SUBJECT (NameId), mengikuti panduan dari Pertimbangan tambahan sebelumnya di halaman ini. Kemudian pilih Lanjutkan ke Langkah Berikutnya.

  7. Pada PingOne Kustomisasi Aplikasi - Halaman Pusat IAM Identitas, buat perubahan penyesuaian yang diinginkan (opsional), dan klik Lanjutkan ke Langkah Berikutnya.

  8. Pada halaman Akses Grup, pilih grup yang berisi pengguna yang ingin Anda aktifkan untuk penyediaan dan masuk tunggal ke Pusat Identitas. IAM Pilih Lanjutkan ke Langkah Berikutnya.

  9. Gulir ke bagian bawah halaman, dan pilih Selesai untuk memulai penyediaan.

  10. Untuk memverifikasi bahwa pengguna telah berhasil disinkronkan ke Pusat IAM Identitas, kembali ke konsol Pusat IAM Identitas dan pilih Pengguna. Pengguna yang disinkronkan dari PingOne akan muncul di halaman Pengguna. Pengguna ini sekarang dapat ditugaskan ke akun dan aplikasi dalam Pusat IAM Identitas.

    Ingat itu PingOne tidak mendukung penyediaan kelompok atau keanggotaan kelompok melalui. SCIM Kontak Ping untuk informasi lebih lanjut.

(Opsional) Langkah 3: Konfigurasikan atribut pengguna di PingOne untuk kontrol akses di Pusat IAM Identitas

Ini adalah prosedur opsional untuk PingOne jika Anda memilih untuk mengonfigurasi atribut untuk Pusat IAM Identitas untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda definisikan di PingOne diteruskan dalam SAML pernyataan ke Pusat IAM Identitas. Anda kemudian membuat set izin di Pusat IAM Identitas untuk mengelola akses berdasarkan atribut yang Anda berikan PingOne.

Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan Atribut untuk kontrol akses fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat Aktifkan dan konfigurasikan atribut untuk kontrol akses.

Untuk mengkonfigurasi atribut pengguna di PingOne untuk kontrol akses di Pusat IAM Identitas

  1. Buka PingOne IAMAplikasi Pusat Identitas yang Anda instal sebagai bagian dari konfigurasi SAML PingOne (Aplikasi > Aplikasi Saya).

  2. Pilih Edit, lalu pilih Lanjutkan ke Langkah Berikutnya hingga Anda masuk ke halaman Pemetaan Atribut.

  3. Pada halaman Pemetaan Atribut, pilih Tambahkan atribut baru, lalu lakukan hal berikut. Anda harus melakukan langkah-langkah ini untuk setiap atribut yang akan Anda tambahkan untuk digunakan di Pusat IAM Identitas untuk kontrol akses.

    1. Di bidang Atribut Aplikasi, masukkanhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Ganti AttributeName dengan nama atribut yang Anda harapkan di Pusat IAM Identitas. Misalnya, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. Di bidang Identity Bridge Attribute atau Literal Value, pilih atribut pengguna dari PingOne direktori. Misalnya, Email (Kerja).

  4. Pilih Berikutnya beberapa kali, lalu pilih Selesai.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di Pusat IAM Identitas untuk meneruskan Attribute elemen dengan Name atribut yang disetel kehttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tag sesi dalam SAML pernyataan. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan IAM Pengguna.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.