Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
PingOne
IAMIdentity Center supporta il provisioning automatico (sincronizzazione) delle informazioni degli utenti da PingOne prodotto da Ping Identity (di seguito»Ping») in IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Questa connessione viene configurata in PingOne utilizzando l'SCIMendpoint e il token di accesso di IAM Identity Center. Quando configuri SCIM la sincronizzazione, crei una mappatura degli attributi utente in PingOne agli attributi denominati in IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e PingOne.
Questa guida è basata su PingOne a partire da ottobre 2020. I passaggi per le versioni più recenti possono variare. Contatti Ping per ulteriori informazioni su come configurare il provisioning a IAM Identity Center per altre versioni di PingOne. Questa guida contiene anche alcune note sulla configurazione dell'autenticazione utente tramiteSAML.
I passaggi seguenti illustrano come abilitare il provisioning automatico degli utenti da PingOne a IAM Identity Center utilizzando il SCIM protocollo.
Nota
Prima di iniziare la distribuzioneSCIM, si consiglia di esaminare innanzitutto ilConsiderazioni sull'utilizzo del provisioning automatico. Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.
Argomenti
- Prerequisiti
- Ulteriori considerazioni
- Passaggio 1: abilitare il provisioning in Identity Center IAM
- Fase 2: Configurare il provisioning in PingOne
- (Facoltativo) Fase 3: Configurare gli attributi utente in PingOne per il controllo degli accessi in IAM Identity Center
- (Facoltativo) Passaggio di attributi per il controllo degli accessi
Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
-
A PingOne abbonamento o prova gratuita, con funzionalità di autenticazione e provisioning federate. Per ulteriori informazioni su come ottenere una prova gratuita, consulta il Ping Identity
sito web. -
Un account abilitato per IAM Identity Center (gratuito).
Per ulteriori informazioni, consulta Enable IAM Identity Center. -
Il PingOne IAMApplicazione Identity Center aggiunta al tuo PingOne portale di amministrazione. È possibile ottenere il PingOne IAMApplicazione Identity Center da PingOne Catalogo delle applicazioni. Per informazioni generali, consulta Aggiungere un'applicazione dal catalogo
delle applicazioni sul Ping Identity sito Web. -
Una SAML connessione dal tuo PingOne istanza a IAM Identity Center. Dopo il PingOne IAML'applicazione Identity Center è stata aggiunta al tuo PingOne portale di amministrazione, è necessario utilizzarlo per configurare una SAML connessione dal PingOne istanza a IAM Identity Center. Utilizza la funzionalità di «download» e «importazione» di metadati su entrambe le estremità per scambiare SAML metadati tra PingOne e IAM Identity Center. Per istruzioni su come configurare questa connessione, consulta la PingOne documentazione.
Ulteriori considerazioni
Di seguito sono riportate importanti considerazioni su PingOne ciò può influire sul modo in cui si implementa il provisioning con IAM Identity Center.
-
A partire da ottobre 2020, PingOne non supporta la fornitura di gruppi tramiteSCIM. Contatti Ping per le ultime informazioni sul supporto di gruppo in SCIM for PingOne.
-
Gli utenti possono continuare a ricevere rifornimenti da PingOne dopo aver disabilitato il provisioning nel PingOne portale di amministrazione. Se devi interrompere immediatamente il provisioning, elimina il token SCIM bearer pertinente e/o disabilitalo Fornitura di un provider di identità esterno in IAM Identity Center utilizzando SCIM in IAM Identity Center.
-
Se un attributo per un utente viene rimosso dal data store configurato in PingOne, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Si tratta di una limitazione nota in PingOne’s implementazione del provider. Se un attributo viene modificato, la modifica verrà sincronizzata con IAM Identity Center.
-
Di seguito sono riportate note importanti relative alla SAML configurazione in PingOne:
-
IAMIdentity Center supporta solo
emailaddresscomeNameIdformato. Ciò significa che devi scegliere un attributo utente univoco all'interno della tua directory in PingOne, non nullo e formattato come email/ UPN (ad esempio, user@domain.com) per la mappatura di _ SAML SUBJECT PingOne. Email (Work) è un valore ragionevole da utilizzare per le configurazioni di test con PingOne cartella integrata. -
Utenti in PingOne con un indirizzo e-mail contenente un carattere + potrebbe non essere in grado di accedere a IAM Identity Center, con errori come
'SAML_215'o'Invalid input'. Per risolvere questo problema, in PingOne, scegli l'opzione Avanzata per la mappatura SAML_ in SUBJECT Mappature degli attributi. Quindi imposta Name ID Format da inviare a SP: a urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressnel menu a discesa.
-
Passaggio 1: abilitare il provisioning in Identity Center IAM
In questo primo passaggio, si utilizza la console IAM Identity Center per abilitare il provisioning automatico.
Per abilitare il provisioning automatico in Identity Center IAM
-
Dopo aver completato i prerequisiti, apri la console di IAMIdentity Center
. -
Scegli Impostazioni nel riquadro di navigazione a sinistra.
-
Nella pagina Impostazioni, individua la casella Informazioni sulla fornitura automatica, quindi scegli Abilita. Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'SCIMendpoint e sul token di accesso.
-
Nella finestra di dialogo di provisioning automatico in entrata, copiate ciascuno dei valori per le seguenti opzioni. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
-
SCIMendpoint: ad esempio, https://scim.
us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 -
Token di accesso: scegli Mostra token per copiare il valore.
avvertimento
Questa è l'unica volta in cui puoi ottenere l'SCIMendpoint e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico in Okta più avanti in questo tutorial.
-
-
Scegli Chiudi.
Dopo aver configurato il provisioning nella console di IAM Identity Center, è necessario completare le attività rimanenti utilizzando il PingOne IAMApplicazione Identity Center. Questi passaggi sono descritti nella procedura seguente.
Fase 2: Configurare il provisioning in PingOne
Utilizzare la procedura seguente in PingOne IAMApplicazione Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che l'utente abbia già aggiunto il PingOne IAMApplicazione Identity Center al PingOne portale di amministrazione. Se non l'hai ancora fatto, consulta e quindi completa questa procedura per configurare il SCIM provisioning. Prerequisiti
Per configurare il provisioning in PingOne
-
Aprire il PingOne IAMApplicazione Identity Center installata come parte della configurazione per SAML PingOne (Applicazioni > Le mie applicazioni). Per informazioni, consulta Prerequisiti.
-
Scorri fino alla fine della pagina. In User Provisioning, scegli il link completo per accedere alla configurazione di provisioning degli utenti della tua connessione.
-
Nella pagina Istruzioni per il provisioning, scegli Continua con il passaggio successivo.
-
Nella procedura precedente, è stato copiato il valore dell'SCIMendpoint in IAM Identity Center. Incolla quel valore nel SCIMURLcampo del PingOne IAMApplicazione Identity Center. Inoltre, nella procedura precedente è stato copiato il valore del token di accesso in IAM Identity Center. Incolla quel valore nel TOKEN campo ACCESS_ del PingOne IAMApplicazione Identity Center.
-
Per REMOVE_ ACTION, scegli Disabilitato o Eliminato (per maggiori dettagli, consulta il testo della descrizione nella pagina).
-
Nella pagina Mappatura degli attributi, scegliete un valore da utilizzare per l'asserzione SAML_ SUBJECT (
NameId), seguendo le indicazioni fornite in Ulteriori considerazioni precedenza in questa pagina. Quindi scegliete Continua al passaggio successivo. -
Sul PingOne Personalizzazione dell'app: pagina IAM Identity Center, apporta le modifiche di personalizzazione desiderate (opzionale) e fai clic su Continua con il passaggio successivo.
-
Nella pagina Accesso al gruppo, scegli i gruppi contenenti gli utenti che desideri abilitare per il provisioning e il Single Sign-On per Identity Center. IAM Scegli Continua al passaggio successivo.
-
Scorri fino alla fine della pagina e scegli Fine per iniziare il provisioning.
-
Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console di IAM Identity Center e scegli Utenti. Utenti sincronizzati da PingOne verrà visualizzato nella pagina Utenti. Questi utenti possono ora essere assegnati ad account e applicazioni all'interno di IAM Identity Center.
Ricordate che PingOne non supporta la fornitura di gruppi o l'iscrizione a gruppi tramite. SCIM Contatti Ping per ulteriori informazioni.
(Facoltativo) Fase 3: Configurare gli attributi utente in PingOne per il controllo degli accessi in IAM Identity Center
Si tratta di una procedura opzionale per PingOne se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci in PingOne viene passato in un'SAMLasserzione a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi trasmessi PingOne.
Prima di iniziare questa procedura, è necessario abilitare la Attributi per il controllo degli accessi funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta Abilita e configura gli attributi per il controllo degli accessi.
Per configurare gli attributi utente in PingOne per il controllo degli accessi in IAM Identity Center
-
Aprire il PingOne IAMApplicazione Identity Center installata come parte della configurazione per SAML PingOne (Applicazioni > Le mie applicazioni).
-
Scegli Modifica, quindi scegli Continua con il passaggio successivo fino ad arrivare alla pagina Mappature degli attributi.
-
Nella pagina Mappature degli attributi, scegli Aggiungi nuovo attributo, quindi procedi come segue. È necessario eseguire questi passaggi per ogni attributo che verrà aggiunto per l'utilizzo in IAM Identity Center per il controllo degli accessi.
-
Nel campo Attributo dell'applicazione, immettere
https://aws.amazon.com/SAML/Attributes/AccessControl:. Replace (Sostituisci)AttributeNameAttributeNamecon il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempiohttps://aws.amazon.com/SAML/Attributes/AccessControl:Email. -
Nel campo Identity Bridge Attribute o Literal Value, scegli gli attributi utente tra i PingOne rubrica. Ad esempio, Email (Work).
-
-
Scegli Avanti alcune volte, quindi scegli Fine.
(Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, è possibile utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl: impostato su. Questo elemento consente di passare gli attributi come tag di sessione nell'SAMLasserzione. Per ulteriori informazioni sui tag di sessione, vedete Passare i tag di sessione AWS STS nella Guida per l'IAMutente.{TagKey}
Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, utilizzate il seguente attributo.
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.
