Penyediaan otomatis - AWS IAM Identity Center
Pertimbangan untuk menggunakan penyediaan otomatisCara memantau kedaluwarsa token aksesCara mengaktifkan penyediaan otomatisCara menonaktifkan penyediaan otomatisCara menghasilkan token akses baruCara menghapus token aksesCara memutar token akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyediaan otomatis

IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari penyedia identitas Anda (IDP) ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna penyedia identitas (iDP) Anda ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center dan IDP Anda. Anda mengonfigurasi koneksi ini di IDP Anda menggunakan endpoint SCIM Anda untuk IAM Identity Center dan token pembawa yang Anda buat di IAM Identity Center.

Pertimbangan untuk menggunakan penyediaan otomatis

Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau pertimbangan penting berikut tentang cara kerjanya dengan IAM Identity Center. Untuk pertimbangan penyediaan tambahan, lihat yang Memulai tutorial berlaku untuk IDP Anda.

  • Jika Anda menyediakan alamat email utama, nilai atribut ini harus unik untuk setiap pengguna. Dalam beberapa IdPs, alamat email utama mungkin bukan alamat email asli. Misalnya, itu mungkin Universal Principal Name (UPN) yang hanya terlihat seperti email. Ini IdPs mungkin memiliki alamat email sekunder atau “lain” yang berisi alamat email asli pengguna. Anda harus mengonfigurasi SCIM di IDP Anda untuk memetakan alamat email unik non-Null ke atribut alamat email utama IAM Identity Center. Dan Anda harus memetakan pengenal masuk unik non-Null pengguna ke atribut nama pengguna IAM Identity Center. Periksa untuk melihat apakah IDP Anda memiliki nilai tunggal yang merupakan pengenal masuk dan nama email pengguna. Jika demikian, Anda dapat memetakan bidang IDP tersebut ke email utama IAM Identity Center dan nama pengguna IAM Identity Center.

  • Agar sinkronisasi SCIM berfungsi, setiap pengguna harus memiliki nilai Nama Depan, Nama belakang, Nama Pengguna, dan Nama tampilan yang ditentukan. Jika salah satu dari nilai-nilai ini hilang dari pengguna, pengguna tersebut tidak akan disediakan.

  • Jika Anda perlu menggunakan aplikasi pihak ketiga, Anda harus terlebih dahulu memetakan atribut subjek SAMP keluar ke atribut nama pengguna. Jika aplikasi pihak ketiga memerlukan alamat email yang dapat dirutekan, Anda harus memberikan atribut email ke IDP Anda.

  • Penyediaan SCIM dan interval pembaruan dikendalikan oleh penyedia identitas Anda. Perubahan pada pengguna dan grup di penyedia identitas Anda hanya tercermin di Pusat Identitas IAM setelah penyedia identitas Anda mengirimkan perubahan tersebut ke Pusat Identitas IAM. Periksa dengan penyedia identitas Anda untuk detail tentang frekuensi pembaruan pengguna dan grup.

  • Saat ini, atribut multivalue (seperti beberapa email atau nomor telepon untuk pengguna tertentu) tidak disediakan dengan SCIM. Upaya untuk menyinkronkan atribut multivalue ke IAM Identity Center dengan SCIM akan gagal. Untuk menghindari kegagalan, pastikan bahwa hanya satu nilai yang dilewatkan untuk setiap atribut. Jika Anda memiliki pengguna dengan atribut multivalue, hapus atau modifikasi pemetaan atribut duplikat di SCIM di idP Anda untuk koneksi ke IAM Identity Center.

  • Verifikasi bahwa pemetaan externalId SCIM di IDP Anda sesuai dengan nilai yang unik, selalu ada, dan paling tidak mungkin berubah untuk pengguna Anda. Misalnya, IDP Anda mungkin memberikan jaminan objectId atau pengenal lain yang tidak terpengaruh oleh perubahan atribut pengguna seperti nama dan email. Jika demikian, Anda dapat memetakan nilai itu ke externalId bidang SCIM. Ini memastikan bahwa pengguna Anda tidak akan kehilangan AWS hak, penetapan, atau izin jika Anda perlu mengubah nama atau email mereka.

  • Pengguna yang belum ditugaskan ke aplikasi atau Akun AWS tidak dapat disediakan ke Pusat Identitas IAM. Untuk menyinkronkan pengguna dan grup, pastikan bahwa mereka ditetapkan ke aplikasi atau pengaturan lain yang mewakili koneksi IDP Anda ke IAM Identity Center.

  • Perilaku deprovisioning pengguna dikelola oleh penyedia identitas dan dapat bervariasi menurut implementasinya. Periksa dengan penyedia identitas Anda untuk detail tentang deprovisioning pengguna.

Untuk informasi selengkapnya tentang implementasi SCIM IAM Identity Center, lihat Panduan Pengembang Implementasi IAM Identity Center SCIM.

Cara memantau kedaluwarsa token akses

Token akses SCIM dihasilkan dengan validitas satu tahun. Ketika token akses SCIM Anda diatur untuk kedaluwarsa dalam 90 hari atau kurang, AWS mengirimkan pengingat di konsol Pusat Identitas IAM dan melalui AWS Health Dasbor untuk membantu Anda memutar token. Dengan memutar token akses SCIM sebelum kedaluwarsa, Anda terus mengamankan penyediaan otomatis informasi pengguna dan grup. Jika token akses SCIM kedaluwarsa, sinkronisasi informasi pengguna dan grup dari penyedia identitas Anda ke Pusat Identitas IAM berhenti, sehingga penyediaan otomatis tidak dapat lagi melakukan pembaruan atau membuat dan menghapus informasi. Gangguan terhadap penyediaan otomatis dapat menimbulkan peningkatan risiko keamanan dan berdampak pada akses ke layanan Anda.

Pengingat konsol Pusat Identitas tetap ada hingga Anda memutar token akses SCIM dan menghapus token akses yang tidak digunakan atau kedaluwarsa. Acara AWS Health Dasbor diperbarui setiap minggu antara 90 hingga 60 hari, dua kali per minggu dari 60 hingga 30 hari, tiga kali per minggu dari 30 hingga 15 hari, dan setiap hari dari 15 hari hingga token akses SCIM kedaluwarsa.

Cara mengaktifkan penyediaan otomatis

Gunakan prosedur berikut untuk mengaktifkan penyediaan otomatis pengguna dan grup dari IDP Anda ke Pusat Identitas IAM menggunakan protokol SCIM.

catatan

Sebelum Anda memulai prosedur ini, kami sarankan Anda terlebih dahulu meninjau pertimbangan penyediaan yang berlaku untuk IDP Anda. Untuk informasi selengkapnya, lihat Memulai tutorial untuk IDP Anda.

Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM

  1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas IAM.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

  4. Dalam kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.

    1. Titik akhir SCIM

    2. Token akses

  5. Pilih Tutup.

Setelah Anda menyelesaikan prosedur ini, Anda harus mengonfigurasi penyediaan otomatis di IDP Anda. Untuk informasi selengkapnya, lihat Memulai tutorial untuk IDP Anda.

Cara menonaktifkan penyediaan otomatis

Gunakan prosedur berikut untuk menonaktifkan penyediaan otomatis di konsol Pusat Identitas IAM.

penting

Anda harus menghapus token akses sebelum memulai prosedur ini. Untuk informasi selengkapnya, lihat Cara menghapus token akses.

Untuk menonaktifkan penyediaan otomatis di konsol Pusat Identitas IAM

  1. Di konsol Pusat Identitas IAM, pilih Pengaturan di panel navigasi kiri.

  2. Pada halaman Pengaturan, pilih tab Sumber identitas, lalu pilih Tindakan > Kelola penyediaan.

  3. Pada halaman Penyediaan otomatis, pilih Nonaktifkan.

  4. Di kotak dialog Nonaktifkan penyediaan otomatis, tinjau informasi, ketik DISABLE, lalu pilih Nonaktifkan penyediaan otomatis.

Cara menghasilkan token akses baru

Gunakan prosedur berikut untuk menghasilkan token akses baru di konsol Pusat Identitas IAM.

catatan

Prosedur ini mengharuskan Anda sebelumnya mengaktifkan penyediaan otomatis. Untuk informasi selengkapnya, lihat Cara mengaktifkan penyediaan otomatis.

Untuk menghasilkan token akses baru

  1. Di konsol Pusat Identitas IAM, pilih Pengaturan di panel navigasi kiri.

  2. Pada halaman Pengaturan, pilih tab Sumber identitas, lalu pilih Tindakan > Kelola penyediaan.

  3. Pada halaman Penyediaan otomatis, di bawah Token akses, pilih Hasilkan token.

  4. Di kotak dialog Generate new access token, salin token akses baru dan simpan di tempat yang aman.

  5. Pilih Tutup.

Cara menghapus token akses

Gunakan prosedur berikut untuk menghapus token akses yang ada di konsol Pusat Identitas IAM.

Untuk menghapus token akses yang ada

  1. Di konsol Pusat Identitas IAM, pilih Pengaturan di panel navigasi kiri.

  2. Pada halaman Pengaturan, pilih tab Sumber identitas, lalu pilih Tindakan > Kelola penyediaan.

  3. Pada halaman Penyediaan otomatis, di bawah Token akses, pilih token akses yang ingin Anda hapus, lalu pilih Hapus.

  4. Di kotak dialog Hapus akses token, tinjau informasi, ketik DELETE, lalu pilih Hapus token akses.

Cara memutar token akses

Direktori IAM Identity Center mendukung hingga dua token akses sekaligus. Untuk menghasilkan token akses tambahan sebelum rotasi apa pun, hapus token akses yang kedaluwarsa atau tidak terpakai.

Jika token akses SCIM Anda hampir kedaluwarsa, Anda dapat menggunakan prosedur berikut untuk memutar token akses yang ada di konsol Pusat Identitas IAM.

Untuk memutar token akses

  1. Di konsol Pusat Identitas IAM, pilih Pengaturan di panel navigasi kiri.

  2. Pada halaman Pengaturan, pilih tab Sumber identitas, lalu pilih Tindakan > Kelola penyediaan.

  3. Pada halaman Penyediaan otomatis, di bawah Token akses, catat ID token token yang ingin Anda putar.

  4. Ikuti langkah-langkah Cara menghasilkan token akses baru untuk membuat token baru. Jika Anda telah membuat jumlah maksimum token akses SCIM, Anda harus terlebih dahulu menghapus salah satu token yang ada.

  5. Buka situs web penyedia identitas Anda dan konfigurasikan token akses baru untuk penyediaan SCIM, lalu uji konektivitas ke Pusat Identitas IAM menggunakan token akses SCIM baru. Setelah Anda mengonfirmasi bahwa penyediaan berhasil menggunakan token baru, lanjutkan ke langkah berikutnya dalam prosedur ini.

  6. Ikuti langkah-langkah Cara menghapus token akses untuk menghapus token akses lama yang Anda catat sebelumnya. Anda juga dapat menggunakan tanggal pembuatan token sebagai petunjuk untuk token mana yang akan dihapus.