Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial sulle fonti di identità di IAM Identity Center
Puoi connettere la tua fonte di identità esistente nel tuo account di AWS Organizations gestione a [un'istanza organizzativa di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html). Se non disponi di un provider di identità esistente, puoi creare e gestire gli utenti direttamente nella directory predefinita di IAM Identity Center. Puoi avere una fonte di identità per organizzazione.
I tutorial di questa sezione descrivono come configurare un'istanza organizzativa di IAM Identity Center con una fonte di identità di uso comune, creare un utente amministrativo e, se si utilizza IAM Identity Center, per gestire l'accesso Account AWS, creare e configurare i set di autorizzazioni. Se utilizzi IAM Identity Center solo per l'accesso alle applicazioni, non è necessario utilizzare i set di autorizzazioni.
Questi tutorial non descrivono come configurare le istanze di account di IAM Identity Center. È possibile utilizzare le istanze di account per assegnare utenti e gruppi alle applicazioni, ma non è possibile utilizzare questo tipo di istanza per gestire l'accesso degli utenti a. Account AWS Per ulteriori informazioni, consulta [Istanze account del Centro identità IAM](account-instances-identity-center.md).
**Nota**
Prima di iniziare uno di questi tutorial, abilita IAM Identity Center. Per ulteriori informazioni, consulta [Abilita IAM Identity Center](enable-identity-center.md).
**Topics**
+ [Utilizzo di Active Directory come origine di identità](gs-ad.md)
+ [Setting up SCIM provisioning between CyberArk and IAM Identity Center](cyberark-idp.md)
+ [Configura SAML e SCIM con Google Workspace IAM Identity Center](gs-gwp.md)
+ [Utilizzo di IAM Identity Center per connettersi alla tua piattaforma di JumpCloud directory](jumpcloud-idp.md)
+ [Configura SAML e SCIM con Microsoft Entra ID IAM Identity Center](idp-microsoft-entra.md)
+ [Configura SAML e SCIM con Okta IAM Identity Center](gs-okta.md)
+ [Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center](onelogin-idp.md)
+ [Utilizzo di Ping Identity prodotti con IAM Identity Center](pingidentity.md)
+ [Configura l'accesso degli utenti con la directory IAM Identity Center predefinita](quick-start-default-idc.md)
+ [Tutorial video](#w2aac15c31)
# Utilizzo di Active Directory come origine di identità
Se gestisci gli utenti nella tua AWS Managed Microsoft AD directory utilizzando Directory Service o la directory gestita autonomamente in Active Directory (AD), puoi modificare la fonte di identità di IAM Identity Center per lavorare con tali utenti. Ti consigliamo di prendere in considerazione la possibilità di collegare questa fonte di identità quando abiliti IAM Identity Center e scegli la tua fonte di identità. Questa operazione prima di creare utenti e gruppi nella directory predefinita di Identity Center ti aiuterà a evitare la configurazione aggiuntiva richiesta se modifichi la fonte di identità in un secondo momento.
Per utilizzare Active Directory come origine dell'identità, la configurazione deve soddisfare i seguenti prerequisiti:
+ Se lo utilizzi AWS Managed Microsoft AD, devi abilitare IAM Identity Center nello stesso Regione AWS punto in cui è configurata la tua AWS Managed Microsoft AD directory. IAM Identity Center archivia i dati di assegnazione nella stessa regione della directory. Per amministrare IAM Identity Center, potrebbe essere necessario passare alla regione in cui è configurato IAM Identity Center. Inoltre, tieni presente che il portale di AWS accesso utilizza lo stesso URL di accesso della tua directory.
+ Usa un Active Directory che risiede nell'account di gestione:
Devi avere un AD Connector o una AWS Managed Microsoft AD directory esistente configurata in AWS Directory Service e deve risiedere nel tuo account di AWS Organizations gestione. È possibile connettere solo una directory AD Connector o una directory AWS Managed Microsoft AD alla volta. Se devi supportare più domini o foreste, usa AWS Managed Microsoft AD. Per ulteriori informazioni, consulta:
+ [Connect una directory AWS Managed Microsoft AD a IAM Identity Center](connectawsad.md)
+ [Connect una directory autogestita in Active Directory a IAM Identity Center](connectonpremad.md)
+ Utilizza un Active Directory che risiede nell'account amministratore delegato:
Se prevedi di abilitare un amministratore delegato di IAM Identity Center e utilizzare Active Directory come fonte di identità IAM Identity Center, puoi utilizzare un AD Connector o una AWS Managed Microsoft AD directory esistente configurata in AWS Directory che risiede nell'account amministratore delegato.
Se decidi di modificare l'origine dell'identità di IAM Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere (essere di proprietà di) l'account membro amministratore delegato di IAM Identity Center, se esistente; in caso contrario, deve essere nell'account di gestione.
Questo tutorial ti guida attraverso la configurazione di base per l'utilizzo di Active Directory come fonte di identità IAM Identity Center.
# Passaggio 1: Connect Active Directory e specifica un utente
Se utilizzi già Active Directory, i seguenti argomenti ti aiuteranno a prepararti a connettere la tua directory a IAM Identity Center.
**Nota**
Se prevedi di connettere una AWS Managed Microsoft AD directory o una directory autogestita in Active Directory e non utilizzi RADIUS MFA AWS Directory Service con, abilita l'MFA in IAM Identity Center.
**AWS Managed Microsoft AD**
1. Consulta le linee guida contenute in. [Microsoft ADelenco](manage-your-identity-source-ad.md)
1. Segui la procedura riportata in [Connect una directory AWS Managed Microsoft AD a IAM Identity Center](connectawsad.md).
1. Configura Active Directory per sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center. Per ulteriori informazioni, consulta [Sincronizza un utente amministrativo in IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
**Directory gestita automaticamente in Active Directory**
1. Consulta le linee guida contenute in[Microsoft ADelenco](manage-your-identity-source-ad.md).
1. Segui la procedura riportata in [Connect una directory autogestita in Active Directory a IAM Identity Center](connectonpremad.md).
1. Configura Active Directory per sincronizzare l'utente a cui desideri concedere le autorizzazioni amministrative in IAM Identity Center. Per ulteriori informazioni, consulta [Sincronizza un utente amministrativo in IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
## Fase 2: sincronizzazione di un utente amministrativo in IAM Identity Center
Dopo aver collegato la tua directory a IAM Identity Center, puoi specificare un utente a cui vuoi concedere le autorizzazioni amministrative e quindi sincronizzare quell'utente dalla tua directory in IAM Identity Center.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Seleziona **Impostazioni**.
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, scegli **Azioni**, quindi scegli **Gestisci** sincronizzazione.
1. Nella pagina **Gestisci sincronizzazione**, scegli la scheda **Utenti**, quindi scegli **Aggiungi utenti e gruppi**.
1. Nella scheda **Utenti**, in **Utente**, inserisci il nome utente esatto e scegli **Aggiungi**.
1. In **Utenti e gruppi aggiunti**, procedi come segue:
1. Conferma che l'utente a cui desideri concedere le autorizzazioni amministrative sia specificato.
1. Seleziona la casella di controllo a sinistra del nome utente.
1. Seleziona **Invia**.
1. Nella pagina **Gestisci sincronizzazione**, l'utente specificato viene visualizzato nell'elenco degli ambiti **Utenti sincronizzati**.
1. Nel pannello di navigazione, seleziona **Utenti**.
1. Nella pagina **Utenti**, potrebbe essere necessario del tempo prima che l'utente specificato compaia nell'elenco. Scegli l'icona di aggiornamento per aggiornare l'elenco degli utenti.
A questo punto, l'utente non ha accesso all'account di gestione. Configurerai l'accesso amministrativo a questo account creando un set di autorizzazioni amministrative e assegnando l'utente a tale set di autorizzazioni. Per ulteriori informazioni, consulta [Creare un set di autorizzazioni](howtocreatepermissionset.md).
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni utente da CyberArk Directory Platform IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
**Nota**
CyberArkattualmente non supporta il servizio ACS (Multiple Assertion Consumer Service) SAML nell'applicazione. URLs AWS IAM Identity Center Questa funzionalità SAML è necessaria per sfruttare appieno il [supporto multiregionale](multi-region-iam-identity-center.md) in IAM Identity Center. Se prevedi di replicare IAM Identity Center in altre regioni, tieni presente che l'utilizzo di un singolo URL ACS può influire sull'esperienza utente in tali regioni aggiuntive. La tua regione principale continuerà a funzionare normalmente. Ti consigliamo di collaborare con il tuo fornitore IdP per abilitare questa funzionalità. Per ulteriori informazioni sull'esperienza utente in altre regioni con un singolo URL ACS, consulta e. [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) [Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations) Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.
**Topics**
+ [Prerequisiti](#cyberark-prereqs)
+ [Considerazioni SCIM](#cyberark-considerations)
+ [Fase 1: abilitare il provisioning in IAM Identity Center](#cyberark-step1)
+ [Fase 2: Configurare il provisioning in CyberArk](#cyberark-step2)
+ [(Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center](#cyberark-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#cyberark-passing-abac)
## Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
+ CyberArkabbonamento o prova gratuita. Per iscriverti a una prova gratuita, visita [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una connessione SAML dal tuo CyberArk account a IAM Identity Center, come descritto nella [CyberArkdocumentazione per IAM Identity Center](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Associa il connettore IAM Identity Center ai ruoli, agli utenti e alle organizzazioni a cui desideri consentire l'accesso Account AWS.
## Considerazioni SCIM
Di seguito sono riportate le considerazioni relative all'utilizzo CyberArk della federazione per IAM Identity Center:
+ Solo i ruoli mappati nella sezione Provisioning dell'applicazione verranno sincronizzati con IAM Identity Center.
+ Lo script di provisioning è supportato solo nel suo stato predefinito, una volta modificato il provisioning SCIM potrebbe fallire.
+ È possibile sincronizzare un solo attributo del numero di telefono e l'impostazione predefinita è «telefono di lavoro».
+ Se la mappatura dei ruoli nell'applicazione CyberArk IAM Identity Center viene modificata, è previsto il seguente comportamento:
+ Se i nomi dei ruoli vengono modificati, nessuna modifica ai nomi dei gruppi in IAM Identity Center.
+ Se i nomi dei gruppi vengono modificati, verranno creati nuovi gruppi in IAM Identity Center, i vecchi gruppi rimarranno ma non avranno membri.
+ La sincronizzazione degli utenti e il comportamento di de-provisioning possono essere configurati dall'applicazione CyberArk IAM Identity Center, assicurati di impostare il comportamento giusto per la tua organizzazione. Queste sono le opzioni a tua disposizione:
+ Sovrascrivi (o meno) gli utenti nella directory di Identity Center con lo stesso nome principale.
+ Rimuovi il provisioning degli utenti da IAM Identity Center quando l'utente viene rimosso dal CyberArk ruolo.
+ Annullare il provisioning del comportamento dell'utente: disabilitazione o eliminazione.
## Fase 1: abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando l'applicazione CyberArk IAM Identity Center. Questi passaggi sono descritti nella procedura seguente.
## Fase 2: Configurare il provisioning in CyberArk
Utilizza la seguente procedura nell'applicazione CyberArk IAM Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che tu abbia già aggiunto l'applicazione CyberArk IAM Identity Center alla tua console di CyberArk amministrazione in **Web** Apps. Se non l'hai ancora fatto, consulta e completa questa procedura per configurare il [Prerequisiti](#cyberark-prereqs) provisioning SCIM.
**Per configurare il provisioning in CyberArk**
1. Apri l'applicazione CyberArk IAM Identity Center che hai aggiunto come parte della configurazione di SAML per CyberArk (**App > Web App**). Per informazioni, consulta [Prerequisiti](#cyberark-prereqs).
1. Scegli l'applicazione **IAM Identity Center** e vai alla sezione **Provisioning**.
1. Seleziona la casella **Abilita il provisioning per questa applicazione** e scegli la modalità **Live**.
1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** da IAM Identity Center. **Incolla quel valore nel campo **SCIM Service URL**, nell'applicazione CyberArk IAM Identity Center imposta il **Tipo di autorizzazione** su Authorization Header.**
1. **Imposta il **tipo di intestazione** su Bearer Token.**
1. Dalla procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **Bearer Token** dell'applicazione CyberArk IAM Identity Center.
1. Fai clic su **Verifica** per testare e applicare la configurazione.
1. In **Opzioni di sincronizzazione**, scegliete il comportamento giusto per il quale desiderate che il provisioning in uscita funzioniCyberArk. Puoi scegliere di sovrascrivere (o meno) gli utenti esistenti di IAM Identity Center con un nome principale simile e il comportamento di de-provisioning.
1. **In **Role Mapping**, configura la mappatura dai CyberArk ruoli, nel campo **Nome**, al gruppo IAM Identity Center, nel gruppo di destinazione.**
1. Una volta terminato, fai clic su **Salva** in basso.
1. Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli **Utenti**. Gli utenti sincronizzati da CyberArk verranno visualizzati nella pagina **Utenti**. Questi utenti possono ora essere assegnati agli account e possono connettersi all'interno di IAM Identity Center.
## (Facoltativo) Fase 3: Configurazione degli attributi utente in ABAC (CyberArkfor access control) in IAM Identity Center
Questa è una procedura facoltativa da CyberArk utilizzare se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci CyberArk vengono passati in un'asserzione SAML a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. CyberArk
Prima di iniziare questa procedura, è necessario abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
**Per configurare gli attributi utente CyberArk per il controllo degli accessi in IAM Identity Center**
1. Apri l'applicazione CyberArk IAM Identity Center che hai installato come parte della configurazione di SAML per CyberArk (**App > App Web**).
1. Vai all'opzione **SAML Response**.
1. In **Attributi**, aggiungi gli attributi pertinenti alla tabella seguendo la logica seguente:
1. **Il nome dell'attributo** è il nome dell'attributo originale diCyberArk.
1. Il **valore dell'attributo** è il nome dell'attributo inviato nell'asserzione SAML a IAM Identity Center.
1. Scegli **Save** (Salva).
## (Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
# Configura SAML e SCIM con Google Workspace IAM Identity Center
Se la tua organizzazione lo utilizza, Google Workspace puoi integrare i tuoi utenti da Google Workspace IAM Identity Center per consentire loro di accedere alle AWS risorse. È possibile ottenere questa integrazione modificando la fonte di identità IAM Identity Center dalla fonte di identità IAM Identity Center predefinita aGoogle Workspace.
**Nota**
Google Workspaceattualmente non supporta il servizio ACS (Multiple Assertion Consumer Service) SAML URLs nell'applicazione. AWS IAM Identity Center Questa funzionalità SAML è necessaria per sfruttare appieno il [supporto multiregionale](multi-region-iam-identity-center.md) in IAM Identity Center. Se prevedi di replicare IAM Identity Center in altre regioni, tieni presente che l'utilizzo di un singolo URL ACS può influire sull'esperienza utente in tali regioni aggiuntive. La tua regione principale continuerà a funzionare normalmente. Ti consigliamo di collaborare con il tuo fornitore IdP per abilitare questa funzionalità. Per ulteriori informazioni sull'esperienza utente in altre regioni con un singolo URL ACS, consulta e. [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) [Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Le informazioni utente di Google Workspace vengono sincronizzate in IAM Identity Center utilizzando il protocollo [System for Cross-domain Identity Management (SCIM](scim-profile-saml.md#scim-profile)) 2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
Questa connessione viene configurata Google Workspace utilizzando l'endpoint SCIM per IAM Identity Center e un token bearer IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM Google Workspace Identity Center. Questa mappatura corrisponde agli attributi utente previsti tra IAM Identity Center e. Google Workspace Per fare ciò, devi configurarti Google Workspace come provider di identità e connetterti al tuo IAM Identity Center.
**Obiettivo**
I passaggi di questo tutorial ti aiutano a stabilire la connessione SAML tra Google Workspace e AWS. Successivamente, sincronizzerai gli utenti dall'Google Workspaceutilizzo di SCIM. Per verificare che tutto sia configurato correttamente, dopo aver completato i passaggi di configurazione, accederai come Google Workspace utente e verificherai l'accesso alle risorse. AWS Nota che questo tutorial si basa su un piccolo ambiente di test di Google Workspace directory. Le strutture di directory come i gruppi e le unità organizzative non sono incluse in questo tutorial. Dopo aver completato questo tutorial, i tuoi utenti potranno accedere al portale di accesso con Google Workspace le tue credenziali. AWS
**Nota**
Per iscriverti a una prova gratuita, Google Workspace visita il [https://workspace.google.com/](https://workspace.google.com/)sito Google's web.
Se non hai ancora abilitato IAM Identity Center, consulta[Abilita IAM Identity Center](enable-identity-center.md).
## Considerazioni
+ Prima di configurare il provisioning SCIM tra IAM Identity Center Google Workspace e IAM Identity Center, ti consigliamo di effettuare una prima revisione. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations)
+ La sincronizzazione automatica di SCIM Google Workspace è attualmente limitata al provisioning degli utenti. Il provisioning automatico di gruppo non è attualmente supportato. I gruppi possono essere creati manualmente con il comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) di AWS CLI Identity Store o l'API AWS Identity and Access Management (IAM). [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html) In alternativa, puoi utilizzare [ssosync](https://github.com/awslabs/ssosync) per sincronizzare Google Workspace utenti e gruppi in IAM Identity Center.
+ Ogni Google Workspace utente deve avere un valore specificato per **nome**, **cognome, nome** **utente e nome** **visualizzato**.
+ Ogni Google Workspace utente ha un solo valore per attributo di dati, ad esempio indirizzo e-mail o numero di telefono. Tutti gli utenti con più valori non riusciranno a sincronizzarsi. Se alcuni utenti hanno più valori nei propri attributi, rimuovi gli attributi duplicati prima di tentare di eseguire il provisioning dell'utente in IAM Identity Center. Ad esempio, è possibile sincronizzare solo un attributo del numero di telefono, poiché l'attributo del numero di telefono predefinito è «telefono aziendale», utilizza l'attributo «telefono aziendale» per memorizzare il numero di telefono dell'utente, anche se il numero di telefono dell'utente è un telefono di casa o un telefono cellulare.
+ Gli attributi sono ancora sincronizzati se l'utente è disabilitato in IAM Identity Center, ma è ancora attivo in. Google Workspace
+ Se esiste un utente esistente nella directory di Identity Center con lo stesso nome utente e lo stesso indirizzo e-mail, l'utente verrà sovrascritto e sincronizzato utilizzando SCIM from. Google Workspace
+ Quando si modifica l'origine dell'identità, sono necessarie ulteriori considerazioni. Per ulteriori informazioni, consulta [Passaggio da IAM Identity Center a un IdP esterno](manage-your-identity-source-considerations.md#changing-from-idc-and-idp).
## Passaggio 1Google Workspace: configurare l'applicazione SAML
1. Accedi alla tua **console di Google amministrazione** utilizzando un account con privilegi di super amministratore.
1. Nel pannello di navigazione a sinistra della **console di Google amministrazione**, scegli **App**, quindi scegli **App Web e per dispositivi mobili**.
1. Nell'elenco a discesa **Aggiungi app**, seleziona **Cerca app**.
1. Nella casella di ricerca inserisci **Amazon Web Services**, quindi seleziona l'app **Amazon Web Services (SAML)** dall'elenco.
1. Nella pagina **Dettagli dell'GoogleIdentity Provider - Amazon Web Services**, puoi effettuare una delle seguenti operazioni:
1. Scarica i metadati IdP.
1. Copia l'URL SSO, l'URL dell'Entity ID e le informazioni sul certificato.
Avrai bisogno del file XML o delle informazioni sull'URL nel passaggio 2.
1. Prima di passare alla fase successiva della console di Google amministrazione, lascia aperta questa pagina e passa alla console IAM Identity Center.
## Fase 2: IAM Identity Center eGoogle Workspace: Modifica dell'origine dell'identità IAM Identity Center e configurazione Google Workspace come provider di identità SAML
1. Accedi alla [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) utilizzando un ruolo con autorizzazioni amministrative.
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli **Azioni**, quindi scegli **Cambia origine dell'identità**.
+ Se non hai abilitato IAM Identity Center, consulta [Abilita IAM Identity Center](enable-identity-center.md) per ulteriori informazioni. Dopo aver abilitato e effettuato l'accesso a IAM Identity Center per la prima volta, arriverai alla **Dashboard** dove potrai selezionare **Scegli la tua fonte di identità**.
1. Nella pagina **Scegli l'origine dell'identità**, seleziona **Provider di identità esterno**, quindi scegli **Avanti**.
1. Viene visualizzata la pagina **Configura provider di identità esterno**. Per completare questa pagina e la Google Workspace pagina del passaggio 1, è necessario completare quanto segue:
1. Nella sezione **dei metadati di Identity Provider** nella console **IAM Identity Center**, dovrai eseguire una delle seguenti operazioni:
1. Carica i metadati **GoogleSAML come metadati** **IdP SAML nella console IAM Identity** Center.
1. ****Copia e incolla l'URL **GoogleSSO nel campo URL** di **accesso IdPGoogle, l'****URL dell'emittente nel campo URL** dell'**emittente IdP e carica il certificato** come certificato IdP. Google****
1. **Dopo aver fornito i Google metadati nella sezione dei metadati **Identity Provider** della console IAM Identity **Center, copia l'URL IAM Identity** **Assertion Consumer Service (ACS) e l'URL dell'emittente di IAM Identity** Center.** Dovrai fornirli URLs nella Console di Google amministrazione nel passaggio successivo.
1. Lascia la pagina aperta con la console IAM Identity Center e torna alla Console di Google amministrazione. Dovresti trovarti nella pagina dei **dettagli di Amazon Web Services - Service Provider**. Seleziona **Continua**.
1. Nella pagina dei **dettagli del fornitore** di servizi, inserisci i valori **ACS URL** e **Entity ID**. Hai copiato questi valori nel passaggio precedente e sono disponibili nella console IAM Identity Center.
+ **Incolla l'URL **IAM Identity Center Assertion Consumer Service (ACS) nel campo URL** ACS**
+ **Incolla l'**URL dell'emittente di IAM Identity Center nel campo Entity** ID.**
1. Nella pagina dei **dettagli del fornitore** di servizi, completa i campi sotto **Name ID** come segue:
+ Per **il formato Name ID**, seleziona **EMAIL**
+ Per **Name ID**, seleziona **Informazioni di base > Email principale**
1. Scegli **Continua**.
1. Nella pagina **Mappatura degli** **attributi, in Attributi**, scegli **AGGIUNGI MAPPATURA**, quindi configura questi campi in Attributo di **Googledirectory**:
+ **Per l'**attributo `https://aws.amazon.com/SAML/Attributes/RoleSessionName` dell'app**, seleziona il campo **Informazioni di base, Email principale** dagli Google Directory attributi.**
+ Per l'**attributo `https://aws.amazon.com/SAML/Attributes/Role` dell'app**, seleziona qualsiasi **Google Directoryattributo**. Un attributo Google Directory potrebbe essere **Department**.
1. Scegli **Finish**
1. Torna alla console **IAM Identity Center** e scegli **Avanti**. Nella pagina **Rivedi e conferma**, esamina le informazioni, quindi inserisci **ACCEPT** nell'apposito spazio. Scegli **Cambia fonte di identità.**
Ora sei pronto per abilitare l'app Amazon Web Services in Google Workspace modo che i tuoi utenti possano essere inseriti in IAM Identity Center.
## Passaggio 3Google Workspace: abilitare le app
1. Torna alla **Console di Google amministrazione** e alla tua AWS IAM Identity Center applicazione, che puoi trovare in **App e app** **Web e mobili**.
1. Nel pannello **Accesso utente** accanto a **Accesso utente**, scegli la freccia rivolta verso il basso per espandere **l'accesso utente** e visualizzare il pannello **di stato del servizio**.
1. Nel pannello **Stato del servizio**, scegli **ON per tutti**, quindi scegli **SALVA**.
**Nota**
Per contribuire a mantenere il principio del privilegio minimo, dopo aver completato questo tutorial, ti consigliamo di modificare **lo stato del servizio** **su OFF per tutti**. Solo gli utenti che devono accedere a AWS devono avere il servizio abilitato. Puoi utilizzare Google Workspace gruppi o unità organizzative per concedere l'accesso utente a un particolare sottoinsieme dei tuoi utenti.
## Fase 4: IAM Identity Center: configurazione del provisioning automatico di IAM Identity Center
1. Torna alla console IAM Identity Center.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sul **provisioning automatico**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia ciascuno dei valori per le seguenti opzioni. Nel passaggio 5 di questo tutorial, inserirete questi valori per configurare il provisioning automatico. Google Workspace
1. **ENDPOINT SCIM - Ad esempio**,
+ IPv4`https://scim.Region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Dual-stack `https://scim.Region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token di accesso**: scegli **Mostra token** per copiare il valore.
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti.
1. Scegli **Chiudi**.
Ora che hai configurato il provisioning nella console IAM Identity Center, nel passaggio successivo configurerai il provisioning automatico in. Google Workspace
## Fase 5Google Workspace: Configurazione del provisioning automatico
1. Torna alla Console di Google amministrazione e alla tua AWS IAM Identity Center applicazione, che puoi trovare in **App e app** **Web e mobili**. Nella sezione **Provisioning automatico**, scegli **Configura il provisioning automatico**.
1. Nella procedura precedente, hai copiato il valore del **token di accesso** nella console IAM Identity Center. Incolla quel valore nel campo del **token di accesso** e scegli **Continua**. Inoltre, nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** nella console IAM Identity Center. **Incolla quel valore nel campo **Endpoint URL** e scegli Continua.**
1. Verifica che tutti gli attributi obbligatori di IAM Identity Center (quelli contrassegnati con \$1) siano mappati agli Google Cloud Directory attributi. In caso contrario, scegli la freccia rivolta verso il basso e associa l'attributo appropriato. Scegli **Continua**.
1. Nella sezione **Provisioning scope**, puoi scegliere un gruppo con la tua Google Workspace directory per fornire l'accesso all'app Amazon Web Services. **Salta questo passaggio e seleziona Continua.**
1. Nella sezione **Deprovisioning**, puoi scegliere come rispondere a diversi eventi che rimuovono l'accesso a un utente. Per ogni situazione è possibile specificare il periodo di tempo prima che inizi il deprovisioning per:
+ entro 24 ore
+ dopo un giorno
+ dopo sette giorni
+ dopo 30 giorni
In ogni situazione è previsto un orario in cui sospendere l'accesso di un account e quando eliminare l'account.
**Suggerimento**
Imposta sempre più tempo prima di eliminare l'account di un utente piuttosto che sospendere l'account di un utente.
1. Scegli **Fine**. Verrai reindirizzato alla pagina dell'app Amazon Web Services.
1. ****Nella sezione **Provisioning automatico**, attiva l'interruttore a levetta per modificarlo da Inattivo a Attivo.****
**Nota**
Il cursore di attivazione è disabilitato se IAM Identity Center non è attivato per gli utenti. Scegli **Accesso utente** e attiva l'app per abilitare lo slider.
1. Nella finestra di dialogo di conferma, scegli **Attiva**.
1. Per verificare che gli utenti siano sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli **Utenti**. La pagina **Utenti** elenca gli utenti della tua Google Workspace directory che sono stati creati da SCIM. Se gli utenti non sono ancora elencati, è possibile che il provisioning sia ancora in corso. Il provisioning può richiedere fino a 24 ore, anche se nella maggior parte dei casi viene completato in pochi minuti. Assicurati di aggiornare la finestra del browser ogni pochi minuti.
Seleziona un utente e visualizzane i dettagli. Le informazioni devono corrispondere a quelle contenute nella Google Workspace directory.
**Complimenti\$1**
Hai configurato correttamente una connessione SAML tra Google Workspace e AWS e hai verificato che il provisioning automatico funzioni. Ora puoi assegnare questi utenti ad account e applicazioni in **IAM Identity** Center. Per questo tutorial, nel passaggio successivo designiamo uno degli utenti come amministratore di IAM Identity Center concedendo loro le autorizzazioni amministrative per l'account di gestione.
## *Passaggio di attributi per il controllo degli accessi - Facoltativo*
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
## Assegna l'accesso a Account AWS
I seguenti passaggi sono necessari solo per concedere l'accesso a Account AWS . Questi passaggi non sono necessari per concedere l'accesso alle AWS applicazioni.
**Nota**
Per completare questo passaggio, avrai bisogno di un'istanza organizzativa di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
### Fase 1: IAM Identity Center: concedere Google Workspace agli utenti l'accesso agli account
1. Torna alla console **IAM Identity Center**. Nel riquadro di navigazione di IAM Identity Center, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina, la **struttura organizzativa** mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona **Assegna** utenti o gruppi.
1. Viene visualizzato il **flusso di lavoro Assegna utenti e gruppi**. Consiste in tre fasi:
1. Per il **passaggio 1: Seleziona utenti e gruppi** scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli **Successivo**.
1. Per il **Passaggio 2: Seleziona i set di autorizzazioni****, scegli Crea set** di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.
1. Per la **Fase 1: Seleziona il tipo di set di autorizzazioni**, completa quanto segue:
+ In **Tipo di set di autorizzazioni**, scegli **Set di autorizzazioni predefinito**.
+ In **Politica per il set di autorizzazioni predefinito, scegli**. **AdministratorAccess**
Scegli **Next (Successivo)**.
1. Per la **Fase 2: Specificate i dettagli del set di autorizzazioni**, mantenete le impostazioni predefinite e scegliete **Avanti**.
Le impostazioni predefinite creano un set di autorizzazioni denominato *AdministratorAccess* con la durata della sessione impostata su un'ora.
1. Per il **passaggio 3: revisione e creazione**, verifica che il **tipo di set di autorizzazioni** utilizzi la politica AWS gestita **AdministratorAccess**. Scegli **Create** (Crea). Nella pagina **Set di autorizzazioni** viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.
1. Nella scheda **Assegna utenti e gruppi** del browser, sei ancora al **Passaggio 2: Seleziona i set di autorizzazioni** da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.
1. Nell'area dei **set di autorizzazioni**, scegli il pulsante **Aggiorna**. Il set di *AdministratorAccess* autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo relativa al set di autorizzazioni, quindi scegli **Avanti**.
1. Per il **passaggio 3: revisione e invio**, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli **Invia**.
La pagina si aggiorna con un messaggio che indica che la tua pagina Account AWS è in fase di configurazione. Attendi il completamento del processo.
Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Una volta effettuato l'accesso, l'utente avrà la possibilità di scegliere il ruolo. *AdministratorAccess*
**Nota**
La sincronizzazione automatica di SCIM supporta Google Workspace solo gli utenti di provisioning. Il provisioning automatico di gruppo non è attualmente supportato. Non è possibile creare gruppi per gli Google Workspace utenti utilizzando. Console di gestione AWS Dopo aver assegnato il provisioning agli utenti, puoi creare gruppi utilizzando il comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) di AWS CLI Identity Store o l'API IAM. [CreateGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateGroup.html)
### Passaggio 2Google Workspace: conferma dell'accesso Google Workspace degli utenti alle risorse AWS
1. Accedi Google utilizzando un account utente di prova. Per informazioni su come aggiungere utenti aGoogle Workspace, consulta [Google Workspacela documentazione](https://knowledge.workspace.google.com/kb/how-to-create-a-new-user-000007668).
1. Seleziona l'icona di Google apps avvio (waffle).
1. Scorri fino alla fine dell'elenco delle app in cui si trovano le Google Workspace app personalizzate. Viene visualizzata l'app **Amazon Web Services**.
1. Seleziona l'app **Amazon Web Services**. Hai effettuato l' AWS accesso al portale di accesso e puoi vedere l' Account AWS icona. Espandi l'icona per visualizzare l'elenco a Account AWS cui l'utente può accedere. In questo tutorial hai utilizzato solo un account, quindi espandendo l'icona viene visualizzato solo un account.
1. Seleziona l'account per visualizzare i set di autorizzazioni disponibili per l'utente. In questo tutorial hai creato il set di **AdministratorAccess**autorizzazioni.
1. Accanto al set di autorizzazioni ci sono i link relativi al tipo di accesso disponibile per quel set di autorizzazioni. Quando è stato creato il set di autorizzazioni, è stato specificato che sia la console di gestione che l'accesso programmatico fossero abilitati, quindi queste due opzioni sono presenti. Seleziona **Console di gestione** per aprire. Console di gestione AWS
1. L'utente ha effettuato l'accesso alla console.
## Fasi successive
Ora che hai configurato Google Workspace come provider di identità e hai effettuato il provisioning degli utenti in IAM Identity Center, puoi:
+ Utilizza il comando [create-group](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/identitystore/create-group.html) di AWS CLI Identity Store o l'API IAM [CreateGroup](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_CreateGroup.html)per creare gruppi per i tuoi utenti.
I gruppi sono utili per assegnare l'accesso a Account AWS applicazioni e applicazioni. Anziché assegnare ogni utente singolarmente, concedi le autorizzazioni a un gruppo. Successivamente, quando aggiungi o rimuovi utenti da un gruppo, l'utente ottiene o perde dinamicamente l'accesso agli account e alle applicazioni che hai assegnato al gruppo.
+ Configura le autorizzazioni in base alle funzioni lavorative, vedi [Creare un set di autorizzazioni](howtocreatepermissionset.md).
I set di autorizzazioni definiscono il livello di accesso di utenti e gruppi a un Account AWS. I set di autorizzazioni sono archiviati in IAM Identity Center e possono essere assegnati a uno o più Account AWS. Puoi assegnare più set di autorizzazioni a un utente.
**Nota**
In qualità di amministratore di IAM Identity Center, a volte dovrai sostituire i vecchi certificati IdP con quelli più recenti. Ad esempio, potrebbe essere necessario sostituire un certificato IdP quando si avvicina la data di scadenza del certificato. Il processo di sostituzione di un certificato precedente con uno più recente viene definito rotazione dei certificati. Assicurati di leggere come [gestire i certificati SAML](managesamlcerts.md) per. Google Workspace
## Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conGoogle Workspace, consulta le seguenti sezioni:
+ [Alcuni utenti non riescono a sincronizzarsi in IAM Identity Center da un provider SCIM esterno](troubleshooting.md#issue2)
+ [Problemi relativi al contenuto delle asserzioni SAML create da IAM Identity Center](troubleshooting.md#issue1)
+ [Errore duplicato di utenti o gruppi durante il provisioning di utenti o gruppi con un provider di identità esterno](troubleshooting.md#duplicate-user-group-idp)
+ [Per la Google Workspace risoluzione dei problemi, consulta la documentazioneGoogle Workspace.](https://support.google.com/a/topic/7579248?sjid=11091727091254312767-NA)
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
+ [AWS re:Post](https://repost.aws/)- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ [Supporto AWS](https://aws.amazon.com/premiumsupport/)- Richiedere supporto tecnico
# Utilizzo di IAM Identity Center per connettersi alla tua piattaforma di JumpCloud directory
IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni degli utenti da JumpCloud Directory Platform a IAM Identity Center. Questo provisioning utilizza il protocollo [Security Assertion Markup Language (](scim-profile-saml.md)SAML) 2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
Questa connessione viene configurata JumpCloud utilizzando l'endpoint e il token di accesso SCIM IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in JumpCloud IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. JumpCloud
Questa guida è basata su JumpCloud giugno 2021. I passaggi per le versioni più recenti possono variare. Questa guida contiene alcune note sulla configurazione dell'autenticazione utente tramite SAML.
I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi da JumpCloud IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations) Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.
**Topics**
+ [Prerequisiti](#jumpcloud-prereqs)
+ [Considerazioni SCIM](#jumpcloud-scim)
+ [Fase 1: Abilitare il provisioning in IAM Identity Center](#jumpcloud-step1)
+ [Fase 2: Configurare il provisioning in JumpCloud](#jumpcloud-step2)
+ [(Facoltativo) Fase 3: Configurazione degli attributi utente JumpCloud per il controllo degli accessi in IAM Identity Center](#jumpcloud-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#jumpcloud-passing-abac)
## Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
+ JumpCloudabbonamento o prova gratuita. Per iscriverti a una prova gratuita, visita [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup).
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una connessione SAML dal tuo JumpCloud account a IAM Identity Center, come descritto nella [JumpClouddocumentazione per IAM Identity Center](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO).
+ Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS da tali regioni. Per ulteriori dettagli, consultare [Fase 3: Aggiornare la configurazione dell'IdP esterno](replicate-to-additional-region.md#update-external-idp-setup). Consulta la JumpCloud documentazione per ulteriori dettagli.
+ Associa il connettore IAM Identity Center ai gruppi a cui desideri consentire l'accesso agli AWS account.
## Considerazioni SCIM
Di seguito sono riportate alcune considerazioni sull'utilizzo JumpCloud della federazione per IAM Identity Center.
+ Solo i gruppi associati al connettore AWS Single Sign-On JumpCloud verranno sincronizzati con SCIM.
+ È possibile sincronizzare un solo attributo del numero di telefono e l'impostazione predefinita è «telefono aziendale».
+ Gli utenti nella JumpCloud directory devono avere nome e cognome configurati per la sincronizzazione con IAM Identity Center con SCIM.
+ Gli attributi sono ancora sincronizzati se l'utente è disabilitato in IAM Identity Center ma continua ad attivarsi in. JumpCloud
+ Puoi scegliere di abilitare la sincronizzazione SCIM solo per le informazioni sugli utenti deselezionando «Abilita la gestione dei gruppi di utenti e l'appartenenza ai gruppi» nel connettore.
## Fase 1: Abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando il connettore JumpCloud IAM Identity Center. Questi passaggi sono descritti nella procedura seguente.
## Fase 2: Configurare il provisioning in JumpCloud
Utilizza la seguente procedura nel connettore JumpCloud IAM Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che tu abbia già aggiunto il connettore JumpCloud IAM Identity Center al portale e ai JumpCloud gruppi di amministrazione. Se non l'hai ancora fatto, consulta e completa questa procedura per [Prerequisiti](#jumpcloud-prereqs) configurare il provisioning SCIM.
**Per configurare il provisioning in JumpCloud**
1. Apri il connettore JumpCloud IAM Identity Center che hai installato come parte della configurazione di SAML per JumpCloud (**Autenticazione utente** > **IAM Identity** Center). Per informazioni, consulta [Prerequisiti](#jumpcloud-prereqs).
1. Scegli il connettore **IAM Identity Center**, quindi scegli la terza scheda **Identity** Management.
1. Seleziona la casella **Abilita la gestione dei gruppi di utenti e l'appartenenza ai gruppi in questa applicazione** se desideri sincronizzare i gruppi con SCIM.
1. Fai clic su **Configura**.
1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** in IAM Identity Center. Incolla quel valore nel campo **Base URL del** connettore JumpCloud IAM Identity Center.
1. Dalla procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **Token Key** del connettore JumpCloud IAM Identity Center.
1. Fai clic su **Attiva** per applicare la configurazione.
1. Assicurati di avere un indicatore verde accanto a **Single Sign-On attivato**.
1. Passa alla quarta scheda **Gruppi di utenti** e seleziona i gruppi a cui desideri assegnare SCIM.
1. Una volta terminato, fai clic su **Salva** in basso.
1. Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli **Utenti**. Gli utenti sincronizzati JumpCloud vengono visualizzati nella pagina **Utenti**. Questi utenti possono ora essere assegnati agli account all'interno di IAM Identity Center.
## (Facoltativo) Fase 3: Configurazione degli attributi utente JumpCloud per il controllo degli accessi in IAM Identity Center
Questa è una procedura facoltativa da JumpCloud utilizzare se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci JumpCloud vengono passati in un'asserzione SAML a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. JumpCloud
Prima di iniziare questa procedura, è necessario abilitare la funzione [Attributi per il controllo degli accessi](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html). Per ulteriori informazioni su come eseguire questa operazione, consulta [Abilitare e configurare gli attributi per il controllo degli accessi](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
****Per configurare gli attributi utente JumpCloud per il controllo degli accessi in IAM Identity Center****
1. Apri il connettore JumpCloud IAM Identity Center che hai installato come parte della configurazione di SAML per JumpCloud (**Autenticazione utente** > **IAM Identity Center**).
1. Scegli il connettore **IAM Identity Center**. Quindi, scegli la seconda scheda **IAM Identity Center**.
1. Nella parte inferiore di questa scheda trovi **User Attribute Mapping**, scegli **Aggiungi nuovo attributo**, quindi procedi come segue: Devi eseguire questi passaggi per ogni attributo che aggiungerai per utilizzarlo in IAM Identity Center per il controllo degli accessi.
1. Nel campo **Service Provide Attribute Name**, inserisci `https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.` Replace ` AttributeName ` con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `.
1. Nel campo **JumpCloudAttribute Name**, scegli gli attributi utente dalla tua JumpCloud directory. Ad esempio, **Email (Work)**.
1. Scegli **Save** (Salva).
## (Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
# Configura SAML e SCIM con Microsoft Entra ID IAM Identity Center
AWS IAM Identity Center supporta l'integrazione con [Security Assertion Markup Language (SAML) 2.0](scim-profile-saml.md) e il [provisioning automatico](provision-automatically.md) (sincronizzazione) di informazioni su utenti e gruppi da Microsoft Entra ID (precedentemente noto come Azure Active Directory or) in IAM Identity Center utilizzando il protocollo [System](scim-profile-saml.md#scim-profile) for Cross-domain Identity Management (SCIMAzure AD) 2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
**Obiettivo**
In questo tutorial, configurerai un laboratorio di test e configurerai una connessione SAML e il provisioning SCIM tra Microsoft Entra ID e IAM Identity Center. Durante le fasi iniziali di preparazione, creerai un utente di prova (Nikki Wolf) sia Microsoft Entra ID in IAM Identity Center che utilizzerai per testare la connessione SAML in entrambe le direzioni. Successivamente, come parte dei passaggi SCIM, creerai un utente di test diverso (Richard Roe) per verificare che i nuovi attributi Microsoft Entra ID si sincronizzino con IAM Identity Center come previsto.
## Prerequisiti
Prima di iniziare con questo tutorial, devi prima configurare quanto segue:
+ Un Microsoft Entra ID inquilino. Per ulteriori informazioni, consulta [Avvio rapido: configurazione di un tenant](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant) nella documentazione. Microsoft
+ Un account AWS IAM Identity Center abilitato. Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html) nella *Guida per l'AWS IAM Identity Center utente*.
## Considerazioni
Di seguito sono riportate importanti considerazioni in merito Microsoft Entra ID che possono influire sul modo in cui si prevede di implementare il [provisioning automatico](provision-automatically.md) con IAM Identity Center nell'ambiente di produzione utilizzando il protocollo SCIM v2.
**Provisioning automatico**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminarlo. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations)
**Attributi per il controllo degli accessi**
Gli attributi per il controllo degli accessi vengono utilizzati nelle politiche di autorizzazione che determinano chi nell'identità dell'utente può accedere alle AWS risorse. Se un attributo viene rimosso da un utente inMicrosoft Entra ID, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Questa è una limitazione nota inMicrosoft Entra ID. Se un attributo viene modificato in un valore diverso (non vuoto) su un utente, tale modifica verrà sincronizzata con IAM Identity Center.
**Gruppi annidati**
Il servizio di provisioning Microsoft Entra ID degli utenti non è in grado di leggere o effettuare il provisioning degli utenti in gruppi nidificati. Solo gli utenti che sono membri immediati di un gruppo assegnato in modo esplicito possono essere letti e assegnati. Microsoft Entra IDnon decomprime in modo ricorsivo le appartenenze ai gruppi di utenti o gruppi assegnati indirettamente (utenti o gruppi membri di un gruppo assegnato direttamente). Per ulteriori informazioni, consulta l'ambito basato sulle [assegnazioni](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping) nella documentazione. Microsoft In alternativa, puoi utilizzare la [sincronizzazione AD configurabile di IAM Identity Center](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/) per integrare i Active Directory gruppi con IAM Identity Center.
**Gruppi dinamici**
Il servizio di provisioning Microsoft Entra ID degli utenti può leggere ed effettuare il provisioning degli utenti in [gruppi dinamici](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule). Di seguito è riportato un esempio che mostra la struttura di utenti e gruppi durante l'utilizzo di gruppi dinamici e come vengono visualizzati in IAM Identity Center. Il provisioning di questi utenti e gruppi è stato effettuato da Microsoft Entra ID IAM Identity Center tramite SCIM
Ad esempio, se Microsoft Entra ID la struttura per i gruppi dinamici è la seguente:
1. Gruppo A con membri ua1, ua2
1. Gruppo B con membri ub1
1. Gruppo C con membri uc1
1. Gruppo K con una regola per includere i membri del Gruppo A, B, C
1. Gruppo L con una regola per includere i membri dei gruppi B e C
Dopo aver fornito le informazioni su utenti e Microsoft Entra ID gruppi da IAM Identity Center tramite SCIM, la struttura sarà la seguente:
1. Gruppo A con membri ua1, ua2
1. Gruppo B con membri ub1
1. Gruppo C con membri uc1
1. Gruppo K con membri ua1, ua2, ub1, uc1
1. Gruppo L con membri ub1, uc1
Quando configuri il provisioning automatico utilizzando gruppi dinamici, tieni presenti le seguenti considerazioni.
+ Un gruppo dinamico può includere un gruppo annidato. Tuttavia, il servizio di Microsoft Entra ID provisioning non appiattisce il gruppo nidificato. Ad esempio, se si dispone della seguente Microsoft Entra ID struttura per i gruppi dinamici:
+ Il gruppo A è un genitore del gruppo B.
+ Il gruppo A ha ua1 come membro.
+ Il gruppo B ha ub1 come membro.
Il gruppo dinamico che include il gruppo A includerà solo i membri diretti del gruppo A (ovvero ua1). Non includerà ricorsivamente i membri del gruppo B.
+ I gruppi dinamici non possono contenere altri gruppi dinamici. Per ulteriori informazioni, consulta [Limitazioni dell'anteprima](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations) nella Microsoft documentazione.
## Fase 1: Preparare il tenant Microsoft
In questo passaggio, spiegherai come installare e configurare l'applicazione AWS IAM Identity Center aziendale e assegnare l'accesso a un utente di Microsoft Entra ID prova appena creato.
------
#### [ Step 1.1 > ]
**Passaggio 1.1: Configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID**
In questa procedura, si installa l'applicazione AWS IAM Identity Center aziendale inMicrosoft Entra ID. Questa applicazione ti servirà in seguito per configurare la tua connessione SAML con AWS.
1. Accedi all'interfaccia di [amministrazione di Microsoft Entra](https://entra.microsoft.com/) come almeno amministratore di applicazioni cloud.
1. Passa a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **Nuova applicazione**.
1. Nella pagina **Browse Microsoft Entra Gallery**, inserisci ****AWS IAM Identity Center****nella casella di ricerca.
1. Seleziona **AWS IAM Identity Center**tra i risultati.
1. Scegli **Create** (Crea).
------
#### [ Step 1.2 > ]
**Passaggio 1.2: Creare un utente di prova in Microsoft Entra ID**
Nikki Wolf è il nome del tuo utente di Microsoft Entra ID test che creerai in questa procedura.
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), vai a **Identità > Utenti > Tutti gli utenti**.
1. Seleziona **Nuovo utente**, quindi scegli **Crea nuovo utente** nella parte superiore dello schermo.
1. In **Nome principale utente**, inserisci ****NikkiWolf****, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, *NikkiWolf*@*example.org*.
1. In **Nome visualizzato**, immettere ****NikkiWolf****.
1. In **Password**, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.
1. Scegli **Proprietà**, in **Nome**, inserisci ****Nikki****. In **Cognome**, immettete ****Wolf****.
1. Scegliete **Review \$1 create**, quindi scegliete **Crea**.
------
#### [ Step 1.3 ]
**Passaggio 1.3: Metti alla prova l'esperienza di Nikki prima di assegnarle le autorizzazioni a AWS IAM Identity Center**
In questa procedura, verificherai a cosa Nikki può accedere correttamente al suo [portale Microsoft My Account](https://myaccount.microsoft.com/).
1. Nello stesso browser, apri una nuova scheda, vai alla pagina di accesso al [portale My Account](https://myaccount.microsoft.com/) e inserisci l'indirizzo email completo di Nikki. Ad esempio, *NikkiWolf*@. *example.org*
1. Quando richiesto, inserisci la password di Nikki, quindi scegli **Accedi**. Se si tratta di una password generata automaticamente, ti verrà richiesto di cambiarla.
1. Nella pagina **Azione richiesta**, scegli **Chiedi più tardi** per ignorare la richiesta di metodi di sicurezza aggiuntivi.
1. Nella pagina Il **mio account**, nel riquadro di navigazione a sinistra, scegli Le **mie** app. Tieni presente che, oltre ai **componenti aggiuntivi**, al momento non viene visualizzata alcuna app. Aggiungerai un'**AWS IAM Identity Center**app che verrà visualizzata qui in un passaggio successivo.
------
#### [ Step 1.4 ]
**Passaggio 1.4: Assegna le autorizzazioni a Nikki in Microsoft Entra ID**
Ora che hai verificato che Nikki può accedere correttamente al **portale Il mio account**, usa questa procedura per assegnare il suo utente all'app. **AWS IAM Identity Center**
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**dall'elenco.
1. A sinistra, scegli **Utenti e gruppi**.
1. Scegli **Add user/group** (Aggiungi utente/gruppo). Puoi ignorare il messaggio che indica che i gruppi non sono disponibili per l'assegnazione. Questo tutorial non utilizza i gruppi per le assegnazioni.
1. Nella pagina **Aggiungi assegnazione**, in **Utenti**, scegli **Nessuno** selezionato.
1. Seleziona **NikkiWolf**, quindi scegli **Seleziona**.
1. Nella pagina **Aggiungi assegnazione**, scegli **Assegna**. NikkiWolf ora appare nell'elenco degli utenti assegnati all'**AWS IAM Identity Center**app.
------
## Passaggio 2: prepara il tuo AWS account
In questo passaggio, spiegherai come configurare le autorizzazioni di accesso (tramite set di autorizzazioni), creare manualmente un utente Nikki Wolf corrispondente e assegnargli le autorizzazioni necessarie per amministrare le risorse. **IAM Identity Center** AWS
------
#### [ Step 2.1 > ]
**Passaggio 2.1: Creare un set di autorizzazioni in RegionalAdmin IAM Identity Center**
Questo set di autorizzazioni verrà utilizzato per concedere a Nikki le autorizzazioni AWS dell'account necessarie per gestire le regioni dalla pagina **Account** all'interno di. Console di gestione AWS Tutte le altre autorizzazioni per visualizzare o gestire qualsiasi altra informazione relativa all'account di Nikki sono negate per impostazione predefinita.
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. **In Autorizzazioni per **più account, scegli Set di autorizzazioni**.**
1. Scegli **Create permission set (Crea set di autorizzazioni)**.
1. **Nella pagina **Seleziona il tipo di set di autorizzazioni**, seleziona **Set di autorizzazioni personalizzato**, quindi scegli Avanti.**
1. Seleziona **Criterio in linea** per espanderlo, quindi crea un criterio per il set di autorizzazioni utilizzando i seguenti passaggi:
1. Scegli **Aggiungi nuova dichiarazione** per creare una dichiarazione politica.
1. In **Modifica rendiconto**, seleziona **Account** dall'elenco, quindi scegli le seguenti caselle di controllo.
+ **`ListRegions`**
+ **`GetRegionOptStatus`**
+ **`DisableRegion`**
+ **`EnableRegion`**
1. Vicino a **Aggiungi una risorsa**, scegli **Aggiungi**.
1. Nella pagina **Aggiungi risorsa**, in **Tipo di risorsa**, seleziona **Tutte le risorse**, quindi scegli **Aggiungi risorsa**. Verifica che la tua politica sia simile alla seguente:
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"account:ListRegions",
"account:DisableRegion",
"account:EnableRegion",
"account:GetRegionOptStatus"
],
"Resource": [
"*"
]
}
]
}
```
1. Scegli **Next (Successivo)**.
1. Nella pagina **Specificare i dettagli del set** di **autorizzazioni, in Nome del set** di autorizzazioni ****RegionalAdmin****, immettere e quindi scegliere **Avanti**.
1. Nella pagina **Rivedi e crea**, scegli **Crea**. Dovresti essere **RegionalAdmin**visualizzato nell'elenco dei set di autorizzazioni.
------
#### [ Step 2.2 > ]
**Passaggio 2.2: Creare un NikkiWolf utente corrispondente in IAM Identity Center**
Poiché il protocollo SAML non fornisce un meccanismo per interrogare l'IdP Microsoft Entra ID () e creare automaticamente gli utenti qui in IAM Identity Center, utilizza la seguente procedura per creare manualmente un utente in IAM Identity Center che rispecchi gli attributi principali dell'utente Nikki Wolfs in. Microsoft Entra ID
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Scegli **Utenti**, scegli **Aggiungi utente**, quindi fornisci le seguenti informazioni:
1. Sia per il **nome utente** che per l'**indirizzo e-mail**: inserisci la stessa ****NikkiWolf**@ *yourcompanydomain.extension*** che hai usato durante la creazione Microsoft Entra ID dell'utente. Ad esempio, *NikkiWolf*@*example.org*.
1. **Conferma indirizzo e-mail**: inserisci nuovamente l'indirizzo e-mail del passaggio precedente
1. **Nome: immettere ****Nikki******
1. **Cognome**: immettere ****Wolf****
1. **Nome visualizzato**: immettere ****Nikki Wolf****
1. Scegli **Avanti** due volte, quindi scegli **Aggiungi utente**.
1. Seleziona **Close (Chiudi)**.
------
#### [ Step 2.3 ]
**Passaggio 2.3: Assegna Nikki all' RegionalAdmin autorizzazione impostata in IAM Identity Center**
Qui si individuano le regioni Account AWS in cui Nikki amministrerà le regioni e quindi si assegnano le autorizzazioni necessarie per accedere correttamente al portale di accesso. AWS
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. In Autorizzazioni per **più** account, scegli. **Account AWS**
1. Seleziona la casella di controllo accanto al nome dell'account (ad esempio*Sandbox*) a cui desideri concedere a Nikki l'accesso alla gestione delle regioni, quindi scegli **Assegna** utenti e gruppi.
1. **Nella pagina **Assegna utenti e gruppi**, scegli la scheda **Utenti**, trova e seleziona la casella accanto a Nikki, quindi scegli Avanti.**
1.
**Example**
1. Nella pagina **Rivedi e invia**, esamina le selezioni effettuate, quindi scegli **Invia**.
------
## Passaggio 3: configura e verifica la connessione SAML
In questo passaggio, configuri la connessione SAML utilizzando l'applicazione AWS IAM Identity Center aziendale Microsoft Entra ID insieme alle impostazioni IdP esterne in IAM Identity Center.
------
#### [ Step 3.1 > ]
**Fase 3.1: Raccolta dei metadati richiesti del fornitore di servizi da IAM Identity Center**
In questo passaggio, avvierai la procedura guidata **Change identity source** dalla console IAM Identity Center e recupererai il file di metadati e l'URL di accesso AWS specifico che dovrai inserire durante la configurazione della connessione nel passaggio successivo. Microsoft Entra ID
1. **Nella console [IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli Impostazioni.**
1. Nella pagina **Impostazioni**, scegli la scheda **Origine dell'identità**, quindi scegli **Azioni > Modifica l'origine dell'identità**.
1. Nella pagina **Scegli l'origine dell'identità**, seleziona **Provider di identità esterno**, quindi scegli **Avanti**.
1. Nella pagina **Configura provider di identità esterno**, in **Metadati del fornitore di servizi**, scegli **Default IPv4** o **Dual-stack**. Puoi scaricare il file di metadati del fornitore di servizi dopo aver completato la modifica dell'origine dell'identità.
1. Nella stessa sezione, individua il valore dell'**URL di AWS accesso al portale di accesso** e copialo. Dovrai inserire questo valore quando richiesto nel passaggio successivo.
1. Lasciate aperta questa pagina e passate al passaggio successivo (**`Step 3.2`**) per configurare l'applicazione AWS IAM Identity Center aziendale inMicrosoft Entra ID. Successivamente, tornerai a questa pagina per completare il processo.
------
#### [ Step 3.2 > ]
**Passaggio 3.2: Configurare l'applicazione AWS IAM Identity Center aziendale in Microsoft Entra ID**
Questa procedura stabilisce metà della connessione SAML sul lato Microsoft utilizzando i valori del file di metadati e dell'URL di accesso ottenuti nell'ultimo passaggio.
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. A sinistra, scegli **2. Configura Single Sign-on**.
1. **Nella pagina **Configura Single Sign-On con SAML, scegli SAML.**** **Quindi scegli **Carica file di metadati**, scegli l'icona della cartella, seleziona il file di metadati del fornitore di servizi che hai scaricato nel passaggio precedente, quindi scegli Aggiungi.**
1. Nella pagina di **configurazione SAML di base**, verifica che entrambi i valori **Identifier** e **Reply URL (Assertion Consumer Service URL)** puntino ora agli endpoint in. AWS
+ **Identificatore**: si tratta dell'URL dell'**emittente di IAM Identity Center.** Lo stesso valore si applica indipendentemente dal fatto che si utilizzino endpoint IPv4 -only o dual-stack.
+ **URL di risposta (Assertion Consumer Service URL)** - I valori qui includono sia gli endpoint IPv4 -only che quelli dual-stack provenienti da tutte le regioni abilitate del tuo IAM Identity Center. Puoi utilizzare l'URL ACS della regione principale come URL predefinito in modo che gli utenti vengano reindirizzati alla regione principale quando avviano l'applicazione Amazon Web Services da. Microsoft Entra ID Per ulteriori informazioni su ACS URLs, consulta. [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
+ (Facoltativo) Se hai replicato IAM Identity Center in altre regioni, puoi anche creare un'app Microsoft Entra ID per aggiungere segnalibri al portale di AWS accesso in ogni regione aggiuntiva. Ciò consente agli utenti di accedere al portale di AWS accesso in altre regioni da. Microsoft Entra ID Assicurati di concedere ai tuoi utenti le autorizzazioni per accedere alle app per i segnalibri in. Microsoft Entra ID Consulta [Microsoft Entra IDla documentazione](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) per maggiori dettagli. Se prevedi di replicare IAM Identity Center in altre regioni in un secondo momento, consulta [Microsoft Entra IDconfigurazione per l'accesso a regioni aggiuntive](#gs-microsoft-entra-multi-region) la pagina dedicata alle indicazioni su come abilitare l'accesso alle regioni aggiuntive dopo questa configurazione iniziale.
1. **In URL di accesso (opzionale)**, incolla il valore dell'**URL di AWS accesso al portale** di accesso che hai copiato nel passaggio precedente (**`Step 3.1`**), scegli **Salva**, quindi scegli **X** per chiudere la finestra.
1. Se ti viene richiesto di testare il Single Sign-On con AWS IAM Identity Center, scegli **No**, proverò più tardi. Effettuerai questa verifica in un passaggio successivo.
1. Nella pagina **Configura Single Sign-On con SAML**, nella sezione **Certificati SAML**, accanto a **Federation Metadata XML**, scegli **Scarica** per salvare il file di metadati sul tuo sistema. Dovrai caricare questo file quando richiesto nel passaggio successivo.
------
#### [ Step 3.3 > ]
**Passaggio 3.3: Configurazione dell'IdP Microsoft Entra ID esterno in AWS IAM Identity Center**
Qui tornerai alla procedura guidata **Change identity source** nella console IAM Identity Center per completare la seconda metà della connessione SAML. AWS
1. Torna alla sessione del browser da cui hai lasciato aperta **`Step 3.1`**nella console IAM Identity Center.
1. **Nella pagina **Configura provider di identità esterno**, nella sezione **Metadati del provider di identità**, in Metadati **SAML IdP**, scegli **il pulsante Scegli** file e seleziona il file di metadati del provider di identità Microsoft Entra ID da cui hai scaricato nel passaggio precedente, quindi scegli Apri.**
1. Scegli **Next (Successivo)**.
1. Dopo aver letto la dichiarazione di non responsabilità e aver iniziato a procedere, inserisci. ****ACCEPT****
1. Scegli **Cambia origine identità** per applicare le modifiche.
------
#### [ Step 3.4 > ]
**Passaggio 3.4: Verifica che Nikki venga reindirizzata al portale di accesso AWS **
In questa procedura, testerai la connessione SAML accedendo al **portale My Account** di Microsoft con le credenziali di Nikki. Una volta autenticata, selezionerai l' AWS IAM Identity Center applicazione che reindirizzerà Nikki al portale di accesso. AWS
1. Vai alla pagina di accesso [al portale Il mio account](https://myaccount.microsoft.com/) e inserisci l'indirizzo email completo di Nikki. Ad esempio, ***NikkiWolf**@**example.org*.
1. Quando richiesto, inserisci la password di Nikki, quindi scegli **Accedi**.
1. Nella pagina Il **mio account**, nel riquadro di navigazione a sinistra, scegli Le **mie** app.
1. Nella pagina Le **mie app**, seleziona l'app denominata **AWS IAM Identity Center**. Questo dovrebbe richiedere un'autenticazione aggiuntiva.
1. Nella pagina di accesso di Microsoft, scegli NikkiWolf le tue credenziali. Se ti viene richiesta una seconda volta l'autenticazione, scegli nuovamente NikkiWolf le tue credenziali. Questo dovrebbe reindirizzarti automaticamente al portale di accesso. AWS
**Suggerimento**
Se non vieni reindirizzato correttamente, verifica che il valore dell'**URL di AWS accesso al portale di accesso** che hai inserito **`Step 3.2`**corrisponda al valore da cui hai copiato. **`Step 3.1`**
1. Verifica che il display sia visualizzato. Account AWS
**Suggerimento**
Se la pagina è vuota e non viene Account AWS visualizzata, conferma che Nikki è stata assegnata correttamente al set di **RegionalAdmin**autorizzazioni (vedi **`Step 2.3`**).
------
#### [ Step 3.5 ]
**Passaggio 3.5: Verifica il livello di accesso di Nikki per gestirla Account AWS**
In questo passaggio, controllerai il livello di accesso di Nikki per gestire le impostazioni della regione per lei. Account AWS**Nikki dovrebbe avere solo i privilegi di amministratore sufficienti per gestire le regioni dalla pagina Account.**
1. Nel portale di AWS accesso, scegli la scheda **Account** per visualizzare l'elenco degli account. Vengono visualizzati i nomi degli account IDs, gli account e gli indirizzi e-mail associati a tutti gli account in cui sono stati definiti i set di autorizzazioni.
1. Scegli il nome dell'account (ad esempio,*Sandbox*) a cui hai applicato il set di autorizzazioni (vedi **`Step 2.3`**). Ciò amplierà l'elenco dei set di autorizzazioni tra cui Nikki può scegliere per gestire il suo account.
1. Quindi **RegionalAdmin**scegli **Console di gestione** per assumere il ruolo definito nel set di **RegionalAdmin**autorizzazioni. Questo ti reindirizzerà alla Console di gestione AWS home page.
1. **Nell'angolo in alto a destra della console, scegli il nome del tuo account, quindi scegli Account.** **Verrai reindirizzato alla pagina Account.** Nota che in tutte le altre sezioni di questa pagina viene visualizzato un messaggio che indica che non disponi delle autorizzazioni necessarie per visualizzare o modificare tali impostazioni.
1. Nella pagina **Account**, scorri verso il basso fino alla sezione **AWS Regioni**. Seleziona una casella di controllo per ogni regione disponibile nella tabella. Nota che Nikki dispone delle autorizzazioni necessarie per **abilitare** o **disabilitare** l'elenco delle regioni per il suo account, come previsto.
**Ben fatto\$1**
I passaggi da 1 a 3 ti hanno aiutato a implementare e testare con successo la tua connessione SAML. Ora, per completare il tutorial, ti invitiamo a passare alla Fase 4 per implementare il provisioning automatico.
------
## Fase 4: Configurare e testare la sincronizzazione SCIM
In questo passaggio, configurerai il [provisioning automatico](provision-automatically.md) (sincronizzazione) delle informazioni utente da Microsoft Entra ID IAM Identity Center utilizzando il protocollo SCIM v2.0. Questa connessione viene configurata Microsoft Entra ID utilizzando l'endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center.
Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM Microsoft Entra ID Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. Microsoft Entra ID
I seguenti passaggi illustrano come abilitare il provisioning automatico degli utenti che risiedono principalmente in Microsoft Entra ID IAM Identity Center utilizzando l'app IAM Identity Center in. Microsoft Entra ID
------
#### [ Step 4.1 > ]
**Passaggio 4.1: Creare un secondo utente di prova in Microsoft Entra ID**
A scopo di test, creerai un nuovo utente (Richard Roe) inMicrosoft Entra ID. Successivamente, dopo aver impostato la sincronizzazione SCIM, verificherai che questo utente e tutti gli attributi pertinenti siano stati sincronizzati correttamente con IAM Identity Center.
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), vai a **Identità > Utenti > Tutti gli utenti**.
1. Seleziona **Nuovo utente**, quindi scegli **Crea nuovo utente** nella parte superiore dello schermo.
1. In **Nome principale utente**, inserisci ****RichRoe****, quindi seleziona il dominio e l'estensione preferiti. Ad esempio, *RichRoe*@*example.org*.
1. In **Nome visualizzato**, immettere ****RichRoe****.
1. In **Password**, inserisci una password sicura o seleziona l'icona a forma di occhio per mostrare la password generata automaticamente e copia o annota il valore visualizzato.
1. Scegliete **Proprietà**, quindi fornite i seguenti valori:
+ **Nome** - Invio ****Richard****
+ **Cognome** - Invio ****Roe****
+ **Job title** - Enter ****Marketing Lead****
+ **Dipartimento** - Entra ****Sales****
+ **ID dipendente**: inserisci ****12345****
1. Scegli **Review \$1 create**, quindi scegli **Crea**.
------
#### [ Step 4.2 > ]
**Fase 4.2: Abilita il provisioning automatico in IAM Identity Center**
In questa procedura, utilizzerai la console IAM Identity Center per abilitare il provisioning automatico di utenti e gruppi provenienti da Microsoft Entra ID IAM Identity Center.
1. Apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) e scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, nella scheda **Identity source**, nota che il **metodo di provisioning** è impostato su **Manuale**.
1. **Individua la casella Informazioni sul **provisioning automatico**, quindi scegli Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia ciascuno dei valori per le seguenti opzioni. Sarà necessario incollarli nel passaggio successivo quando si configura il provisioning in. Microsoft Entra ID
1. **Endpoint SCIM**: ad esempio,
+ IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
+ Doppio stack: `https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`
1. **Token di accesso**: scegli **Mostra token** per copiare il valore.
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti.
1. Scegli **Chiudi**.
1. Nella scheda **Identity source**, notate che il **metodo Provisioning** è ora impostato su **SCIM**.
------
#### [ Step 4.3 > ]
**Passaggio 4.3: Configurare il provisioning automatico in Microsoft Entra ID**
Ora che hai installato l'utente di RichRoe prova e hai abilitato SCIM in IAM Identity Center, puoi procedere con la configurazione delle impostazioni di sincronizzazione SCIM in. Microsoft Entra ID
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. Scegli **Provisioning**, in **Gestisci**, scegli nuovamente **Provisioning**.
1. **In **Provisioning Mode**, seleziona Automatico.**
1. In **Admin Credentials**, in **Tenant URL incolla il valore dell'URL** dell'**endpoint SCIM** che hai copiato in precedenza. **`Step 4.2`** **In **Secret Token**, incolla il valore del token di accesso.**
1. Scegli **Test Connection** (Connessione di prova). Dovresti visualizzare un messaggio che indica che le credenziali testate sono state autorizzate correttamente per abilitare il provisioning.
1. Scegli **Save** (Salva).
1. In **Gestisci**, scegli **Utenti e gruppi**, quindi scegli **Aggiungi** utente/gruppo.
1. **Nella pagina **Aggiungi assegnazione**, in **Utenti**, scegli Nessuno selezionato.**
1. Seleziona **RichRoe**, quindi scegli **Seleziona**.
1. Nella pagina **Add Assignment** (Aggiungi assegnazione), scegli **Assign** (Assegna).
1. Scegli **Panoramica**, quindi scegli **Avvia provisioning**.
------
#### [ Step 4.4 ]
**Passaggio 4.4: Verifica che la sincronizzazione sia avvenuta**
In questa sezione, verificherai che il provisioning dell'utente di Richard sia stato eseguito correttamente e che tutti gli attributi siano visualizzati in IAM Identity Center.
1. Nella [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), scegli **Utenti**.
1. Nella pagina **Utenti**, dovresti vedere il tuo **RichRoe**utente visualizzato. Notate che nella colonna **Creato da** il valore è impostato su **SCIM.**
1. Scegliete **RichRoe**, in **Profilo**, verificate che i seguenti attributi siano stati copiati da. Microsoft Entra ID
+ **Nome** - ****Richard****
+ **Cognome** - ****Roe****
+ **Dipartimento** - ****Sales****
+ **Titolo** - ****Marketing Lead****
+ **Numero del dipendente** - ****12345****
Ora che l'utente di Richard è stato creato in IAM Identity Center, puoi assegnarlo a qualsiasi set di autorizzazioni in modo da controllare il livello di accesso che ha alle tue AWS risorse. Ad esempio, puoi **RichRoe**assegnare al set di **RegionalAdmin** autorizzazioni che hai usato in precedenza per concedere a Nikki le autorizzazioni per gestire le regioni (vedi **`Step 2.3`**) e poi testare il suo livello di accesso utilizzando. **`Step 3.5`**
**Complimenti\$1**
Hai configurato correttamente una connessione SAML tra Microsoft e AWS e hai verificato che il provisioning automatico funzioni per mantenere tutto sincronizzato. Ora puoi applicare ciò che hai imparato per configurare più agevolmente il tuo ambiente di produzione.
------
## *Fase 5: Configurazione di ABAC - Opzionale*
Ora che hai configurato correttamente SAML e SCIM, puoi scegliere facoltativamente di configurare il controllo degli accessi basato sugli attributi (ABAC). ABAC è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi.
ConMicrosoft Entra ID, puoi utilizzare uno dei due metodi seguenti per configurare ABAC da utilizzare con IAM Identity Center.
------
#### [ Configure user attributes in ID Microsoft Entra for access control in IAM Identity Center ]
**Configura gli attributi utente Microsoft Entra ID per il controllo degli accessi in IAM Identity Center**
Nella procedura seguente, determinerai quali attributi Microsoft Entra ID devono essere utilizzati da IAM Identity Center per gestire l'accesso alle tue AWS risorse. Una volta definiti, Microsoft Entra ID invia questi attributi a IAM Identity Center tramite asserzioni SAML. Dovrai quindi accedere [Creare un set di autorizzazioni](howtocreatepermissionset.md) a IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. Microsoft Entra ID
Prima di iniziare questa procedura, devi prima abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. Scegli **Single Sign-On**.
1. Nella sezione **Attributi e reclami**, scegli **Modifica**.
1. Nella pagina **Attributi e rivendicazioni**, procedi come segue:
1. Scegli **Aggiungi nuovo reclamo**
1. In **Nome**, inserisci `AccessControl:AttributeName`. Sostituiscilo *AttributeName* con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, `AccessControl:Department`.
1. Per **Namespace** (Spazio dei nomi), immettere ****https://aws.amazon.com/SAML/Attributes****.
1. In **Source (Origine)**, scegliere **Attribute (Attributo)**.
1. Per l'**attributo Source**, utilizza l'elenco a discesa per scegliere gli Microsoft Entra ID attributi utente. Ad esempio, `user.department`.
1. Ripeti il passaggio precedente per ogni attributo da inviare a IAM Identity Center nell'asserzione SAML.
1. Scegli **Save** (Salva).
------
#### [ Configure ABAC using IAM Identity Center ]
**Configura ABAC utilizzando IAM Identity Center**
Con questo metodo, utilizzi la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Puoi utilizzare questo elemento per passare gli attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`Department=billing`, usa il seguente attributo:
```
billing
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
------
## Assegna l'accesso a Account AWS
I seguenti passaggi sono necessari solo per concedere l'accesso a Account AWS . Questi passaggi non sono necessari per concedere l'accesso alle AWS applicazioni.
**Nota**
Per completare questo passaggio, avrai bisogno di un'istanza organizzativa di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
### Fase 1: IAM Identity Center: concedere Microsoft Entra ID agli utenti l'accesso agli account
1. Torna alla console **IAM Identity Center**. Nel riquadro di navigazione di IAM Identity Center, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina, la **struttura organizzativa** mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona **Assegna** utenti o gruppi.
1. Viene visualizzato il **flusso di lavoro Assegna utenti e gruppi**. Consiste in tre fasi:
1. Per il **passaggio 1: Seleziona utenti e gruppi** scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli **Successivo**.
1. Per il **Passaggio 2: Seleziona i set di autorizzazioni****, scegli Crea set** di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.
1. Per la **Fase 1: Seleziona il tipo di set di autorizzazioni**, completa quanto segue:
+ In **Tipo di set di autorizzazioni**, scegli **Set di autorizzazioni predefinito**.
+ In **Politica per il set di autorizzazioni predefinito, scegli**. **AdministratorAccess**
Scegli **Next (Successivo)**.
1. Per la **Fase 2: Specificate i dettagli del set di autorizzazioni**, mantenete le impostazioni predefinite e scegliete **Avanti**.
Le impostazioni predefinite creano un set di autorizzazioni denominato *AdministratorAccess* con la durata della sessione impostata su un'ora.
1. Per il **passaggio 3: revisione e creazione**, verifica che il **tipo di set di autorizzazioni** utilizzi la politica AWS gestita **AdministratorAccess**. Scegli **Create** (Crea). Nella pagina **Set di autorizzazioni** viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.
1. Nella scheda **Assegna utenti e gruppi** del browser, sei ancora al **Passaggio 2: Seleziona i set di autorizzazioni** da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.
1. Nell'area dei **set di autorizzazioni**, scegli il pulsante **Aggiorna**. Il set di *AdministratorAccess* autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo relativa al set di autorizzazioni, quindi scegli **Avanti**.
1. Per il **passaggio 3: revisione e invio**, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli **Invia**.
La pagina si aggiorna con un messaggio che indica Account AWS che stai configurando. Attendi il completamento del processo.
Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Una volta effettuato l'accesso, l'utente avrà la possibilità di scegliere il ruolo. *AdministratorAccess*
### Fase 2Microsoft Entra ID: Conferma l'accesso Microsoft Entra ID degli utenti alle AWS risorse
1. Torna alla **Microsoft Entra ID**console e accedi all'applicazione Sign-on basata su SAML di IAM Identity Center.
1. Seleziona **Utenti e gruppi e** seleziona **Aggiungi** utenti o gruppi. Aggiungerai all'Microsoft Entra IDapplicazione l'utente creato in questo tutorial nel passaggio 4. Aggiungendo l'utente, gli consentirai di accedere a AWS. Cerca l'utente che hai creato allo Step 4. Se seguissi questo passaggio, lo sarebbe**RichardRoe**.
1. Per una demo, consulta [Federare l'istanza esistente di IAM Identity Center](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad) con Microsoft Entra ID
## Microsoft Entra IDconfigurazione per l'accesso a regioni aggiuntive di IAM Identity Center - Opzionale
Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS tramite le regioni aggiuntive. I passaggi seguenti ti guidano attraverso la procedura. Per ulteriori dettagli su questo argomento, inclusi i prerequisiti, vedere[Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
1. Recupera ACS URLs per le regioni aggiuntive dalla console IAM Identity Center come descritto in. [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
1. Nella console dell'interfaccia di [amministrazione Microsoft Entra](https://entra.microsoft.com/), accedi a **Identità > Applicazioni > Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**.
1. A sinistra, scegli **2. Configura Single Sign-on**.
1. Nella pagina **Configurazione SAML di base**, nella sezione **URL di risposta (Assertion Consumer Service URL)**, scegli **Aggiungi URL di risposta per l'URL ACS** di ogni regione aggiuntiva. Puoi mantenere gli URL ACS della regione principale come quelli predefiniti in modo che gli utenti continuino a essere reindirizzati alla regione principale quando avviano l'applicazione. AWS IAM Identity Center Microsoft Entra ID
1. Al termine dell'aggiunta dell'ACS URLs, salvate l'applicazione. **AWS IAM Identity Center**
1. Puoi creare un'app di segnalibri Microsoft Entra ID per il portale di AWS accesso in ogni regione aggiuntiva. Ciò consente agli utenti di accedere al portale di AWS accesso in altre regioni daMicrosoft Entra ID. Assicurati di concedere ai tuoi utenti le autorizzazioni per accedere alle app per i segnalibri in. Microsoft Entra ID Consulta [Microsoft Entra IDla documentazione](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on) per maggiori dettagli.
1. Verifica di poter accedere al portale di AWS accesso in ogni regione aggiuntiva. Vai al [portale di AWS accesso URLs](multi-region-workforce-access.md#portal-endpoints) o avvia le app per aggiungere segnalibri daMicrosoft Entra ID.
## Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conMicrosoft Entra ID, consulta le seguenti sezioni:
+ [Problemi di sincronizzazione con IAM Identity Microsoft Entra ID Center](#entra-scim-troubleshooting)
+ [Alcuni utenti non riescono a sincronizzarsi in IAM Identity Center da un provider SCIM esterno](troubleshooting.md#issue2)
+ [Problemi relativi al contenuto delle asserzioni SAML create da IAM Identity Center](troubleshooting.md#issue1)
+ [Errore duplicato di utenti o gruppi durante il provisioning di utenti o gruppi con un provider di identità esterno](troubleshooting.md#duplicate-user-group-idp)
+ [Risorse aggiuntive](#entra-scim-troubleshooting-resources)
### Problemi di sincronizzazione con IAM Identity Microsoft Entra ID Center
Se riscontri problemi con Microsoft Entra ID gli utenti che non si sincronizzano con IAM Identity Center, ciò potrebbe essere dovuto a un problema di sintassi che IAM Identity Center ha segnalato quando viene aggiunto un nuovo utente a IAM Identity Center. Puoi confermarlo controllando i registri di Microsoft Entra ID controllo per verificare la presenza di eventi non riusciti, ad esempio un. `'Export'` Il **motivo dello stato** di questo evento indicherà:
```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```
Puoi anche verificare la presenza AWS CloudTrail di un evento non riuscito. Questo può essere fatto effettuando una ricerca nella console **Event History** o CloudTrail utilizzando il seguente filtro:
```
"eventName":"CreateUser"
```
L'errore nell' CloudTrail evento indicherà quanto segue:
```
"errorCode": "ValidationException",
"errorMessage": "Currently list attributes only allow single item“
```
In definitiva, questa eccezione significa che uno dei valori trasmessi Microsoft Entra ID conteneva più valori del previsto. La soluzione consiste nel rivedere gli attributi dell'utente inMicrosoft Entra ID, assicurandosi che nessuno contenga valori duplicati. **Un esempio comune di valori duplicati è la presenza di più valori per numeri di contatto come **cellulare**, **ufficio** e fax.** Sebbene siano valori separati, vengono tutti passati a IAM Identity Center con l'unico attributo principale **phoneNumbers**.
[Per suggerimenti generali sulla risoluzione dei problemi SCIM, consulta Risoluzione dei problemi.](troubleshooting.md#issue2)
### Microsoft Entra IDSincronizzazione dell'account ospite
Se desideri sincronizzare i tuoi utenti Microsoft Entra ID ospiti con IAM Identity Center, consulta la seguente procedura.
Microsoft Entra IDl'email degli utenti ospiti è diversa da quella Microsoft Entra ID degli utenti. Questa differenza causa problemi durante il tentativo di sincronizzare gli utenti Microsoft Entra ID guest con IAM Identity Center. Ad esempio, consulta il seguente indirizzo email per un utente ospite:
`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`
IAM Identity Center non prevede che l'indirizzo e-mail contenga il *\$1EXT\$1@domain* formato.
1. Accedi all'interfaccia di [amministrazione di Microsoft Entra](https://entra.microsoft.com/) e vai a **Identità** > **Applicazioni** > **Applicazioni aziendali**, quindi scegli **AWS IAM Identity Center**
1. Vai alla scheda **Single Sign On** nel riquadro a sinistra.
1. Seleziona **Modifica** che appare accanto a **Attributi utente e reclami**.
1. Seleziona **Identificatore utente univoco (ID nome)** dopo i **reclami obbligatori**.
1. Creerai due condizioni di reclamo per i tuoi Microsoft Entra ID utenti e gli utenti ospiti:
1. Per Microsoft Entra ID gli utenti, crea un tipo di utente per i membri con l'attributo source impostato su` user.userprincipalname`.
1. Per gli utenti Microsoft Entra ID ospiti, crea un tipo di utente per ospiti esterni con l'attributo source impostato su`user.mail`.
1. Seleziona **Salva** e riprova ad accedere come utente Microsoft Entra ID ospite.
### Risorse aggiuntive
+ Per suggerimenti generali sulla risoluzione dei problemi SCIM, consulta. [Risoluzione dei problemi relativi a IAM Identity Center](troubleshooting.md)
+ Per la Microsoft Entra ID risoluzione dei problemi, consultate la [Microsoftdocumentazione](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips).
+ Per ulteriori informazioni sulla federazione tra più utenti Account AWS, consulta [Proteggere Account AWS con Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/).
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
+ [AWS re:Post](https://repost.aws/)- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ [Supporto AWS](https://aws.amazon.com/premiumsupport/)- Richiedi supporto tecnico
# Configura SAML e SCIM con Okta IAM Identity Center
Puoi fornire o sincronizzare automaticamente le informazioni su utenti e gruppi da Okta IAM Identity Center utilizzando il protocollo [System for Cross-domain Identity Management (SCIM](scim-profile-saml.md#scim-profile)) 2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
Per configurare questa connessioneOkta, si utilizza l'endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM Okta Identity Center. Questa mappatura corrisponde agli attributi utente previsti tra IAM Identity Center e il tuo account. Okta
Oktasupporta le seguenti funzionalità di provisioning quando è connesso a IAM Identity Center tramite SCIM:
+ Crea utenti: gli utenti assegnati all'applicazione IAM Identity Center in Okta vengono forniti in IAM Identity Center.
+ Aggiorna gli attributi utente: le modifiche agli attributi per gli utenti assegnati all'applicazione IAM Identity Center Okta vengono aggiornate in IAM Identity Center.
+ Disattiva utenti: gli utenti non assegnati dall'applicazione IAM Identity Center Okta sono disabilitati in IAM Identity Center.
+ Push di gruppo: i gruppi (e i relativi membri) Okta vengono sincronizzati con IAM Identity Center.
**Nota**
Per ridurre al minimo il sovraccarico amministrativo Okta sia per IAM Identity Center che per IAM, consigliamo di assegnare e *inviare* gruppi anziché singoli utenti.
+ Importa utenti: gli utenti possono essere importati da IAM Identity Center a. Okta
**Obiettivo**
In questo tutorial, illustrerai come configurare una connessione SAML con Okta IAM Identity Center. Successivamente, sincronizzerai gli utenti daOkta, utilizzando SCIM. In questo scenario, gestisci tutti gli utenti e i gruppi in. Okta Gli utenti accedono tramite il Okta portale. Per verificare che tutto sia configurato correttamente, dopo aver completato i passaggi di configurazione, accederai come Okta utente e verificherai l'accesso alle AWS risorse.
Le seguenti funzionalità sono supportate durante la connessione Okta a IAM Identity Center tramite SAML:
+ Accesso SAML avviato da IdP: gli utenti accedono tramite il Okta portale e ottengono l'accesso a IAM Identity Center.
+ Accesso SAML avviato da SP: gli utenti accedono al portale di accesso, che li reindirizza all' AWS accesso tramite il portale. Okta
**Nota**
[Puoi registrare un Okta account ([prova gratuita](https://www.okta.com/free-trial/)) su cui è installata l'applicazione IAM Identity Center. Okta's](https://www.okta.com/integrations/aws-single-sign-on/) Per Okta i prodotti a pagamento, potrebbe essere necessario confermare che la Okta licenza supporti la *gestione del ciclo* di vita o funzionalità simili che abilitano il provisioning in uscita. Queste funzionalità potrebbero essere necessarie per configurare SCIM da Okta IAM Identity Center.
Se non hai ancora abilitato IAM Identity Center, consulta[Abilita IAM Identity Center](enable-identity-center.md).
## Considerazioni
+ Prima di configurare il provisioning SCIM tra Okta e IAM Identity Center, ti consigliamo di effettuare una prima revisione. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations)
+ Per ogni Okta utente deve essere specificato il valore **Nome**, **Cognome, Nome** **utente** e **Nome visualizzato**.
+ Ogni Okta utente ha un solo valore per attributo di dati, ad esempio indirizzo e-mail o numero di telefono. Tutti gli utenti con più valori non riusciranno a sincronizzarsi. Se alcuni utenti hanno più valori nei propri attributi, rimuovi gli attributi duplicati prima di tentare di eseguire il provisioning dell'utente in IAM Identity Center. Ad esempio, è possibile sincronizzare solo un attributo del numero di telefono, poiché l'attributo del numero di telefono predefinito è «telefono aziendale», utilizza l'attributo «telefono aziendale» per memorizzare il numero di telefono dell'utente, anche se il numero di telefono dell'utente è un telefono di casa o un telefono cellulare.
+ Quando viene utilizzato Okta con IAM Identity Center, IAM Identity Center è generalmente configurato come applicazione inOkta. Ciò consente di configurare più istanze di IAM Identity Center come più applicazioni, supportando l'accesso a più AWS Organizations, all'interno di una singola istanza di. Okta
+ Le autorizzazioni e gli attributi dei ruoli non sono supportati e non possono essere sincronizzati con IAM Identity Center.
+ L'utilizzo dello stesso Okta gruppo sia per le assegnazioni che per i push di gruppo non è attualmente supportato. Per mantenere coerenti le appartenenze ai gruppi tra IAM Identity Center Okta e IAM, crea un gruppo separato e configuralo per inviare i gruppi a IAM Identity Center.
+ Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS tramite regioni aggiuntive. Per ulteriori dettagli, inclusi i prerequisiti, consulta. [Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md) I passaggi specifici di Okta sono descritti in [Oktaconfigurazione per l'accesso a regioni aggiuntive](#gs-okta-multi-region)
## Passaggio 1Okta: ottieni i metadati SAML dal tuo account Okta
1. **Accedi aOkta admin dashboard, espandi **Applicazioni, quindi seleziona Applicazioni**.**
1. Nella pagina **Applications** (Applicazioni), scegli **Browse App Catalog** (Sfoglia catalogo app).
1. Nella casella di ricerca ** AWS IAM Identity Center**, digita e seleziona l'app per aggiungere l'app IAM Identity Center.
1. Seleziona la **scheda Accedi**.
1. In **Certificati di firma SAML**, seleziona **Azioni**, quindi seleziona **Visualizza metadati IdP**. Si apre una nuova scheda del browser che mostra l'albero dei documenti di un file XML. Seleziona tutto il codice XML da `` a `` e copialo in un file di testo.
1. Salva il file di testo come`metadata.xml`.
Lascia Okta admin dashboard aperto, continuerai a utilizzare questa console nei passaggi successivi.
## Fase 2: IAM Identity Center: configura Okta come fonte di identità per IAM Identity Center
1. Apri la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon) come utente con privilegi amministrativi.
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, scegli **Azioni**, quindi scegli **Cambia origine dell'identità**.
1. In **Scegli l'origine dell'identità**, seleziona **Provider di identità esterno**, quindi scegli **Avanti**.
1. In **Configura provider di identità esterno**, procedi come segue:
1. In **Metadati del fornitore** di servizi, copia i seguenti elementi in un file di testo per accedervi facilmente:
+ **URL IAM Identity Center Assertion Consumer Service (ACS)**: puoi scegliere tra ACS IPv4 -only e dual-stack. URLs Inoltre, se l'istanza IAM Identity Center è abilitata in più regioni, ogni regione aggiuntiva ha il proprio ACS dual-stack e unico. IPv4 URLs Per ulteriori informazioni su ACS, consulta. URLs [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
+ **URL dell'emittente di IAM Identity Center**
Questi valori ti serviranno più avanti in questo tutorial.
1. In **Metadati del provider di identità**, in Metadati **SAML IdP**, **seleziona Scegli** file, quindi seleziona `metadata.xml` il file creato nel passaggio precedente.
1. Scegli **Next (Successivo)**.
1. **Dopo aver letto il disclaimer e aver iniziato a procedere, inserisci ACCEPT.**
1. Scegli **Cambia fonte di identità**.
Lascia la AWS console aperta, continuerai a utilizzarla nel passaggio successivo.
1. Torna alla scheda **Accedi dell'** AWS IAM Identity Center app Okta admin dashboard e seleziona **Modifica**.
1. In **Impostazioni di accesso avanzate inserisci quanto** segue:
+ Per **l'URL ACS**, inserisci i valori che hai copiato per l'URL di **IAM Identity Center Assertion Consumer Service** (ACS). Puoi utilizzare l'URL ACS della regione principale come URL predefinito in modo che gli utenti vengano reindirizzati alla regione principale quando avviano l'applicazione Amazon Web Services da. Okta
+ (Facoltativo) Se hai replicato IAM Identity Center in altre regioni, puoi anche creare un'app Okta per aggiungere segnalibri al portale di AWS accesso in ogni regione aggiuntiva. Ciò consente agli utenti di accedere al portale di AWS accesso in altre regioni da. Okta Assicurati di concedere ai tuoi utenti le autorizzazioni per accedere alle app per i segnalibri in. Okta Consulta [Oktala documentazione](https://support.okta.com/help/s/article/create-a-bookmark-app) per maggiori dettagli. Se prevedi di replicare IAM Identity Center in altre regioni in un secondo momento, consulta [Oktaconfigurazione per l'accesso a regioni aggiuntive](#gs-okta-multi-region) la pagina dedicata alle indicazioni su come abilitare l'accesso alle regioni aggiuntive dopo questa configurazione iniziale.
+ Per **l'URL dell'emittente**, inserisci il valore che hai copiato per l'URL emittente di **IAM Identity** Center
+ Per il **formato del nome utente dell'applicazione**, seleziona una delle opzioni dal menu.
Assicurati che il valore scelto sia unico per ogni utente. Per questo tutorial, seleziona il nome **utente Okta**
1. Scegli **Save** (Salva).
Ora sei pronto per effettuare il provisioning degli utenti Okta da IAM Identity Center. Lascia Okta admin dashboard aperto e torna alla console IAM Identity Center per il passaggio successivo.
## Fase 3: IAM Identity Center eOkta: Esegui il provisioning Okta degli utenti
1. Nella console IAM Identity Center, nella pagina **Impostazioni**, individua la casella Informazioni sul **provisioning automatico**, quindi scegli **Abilita.** Ciò consente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia ciascuno dei valori per le seguenti opzioni:
1. Endpoint **SCIM - Il formato dell'endpoint** dipende dalla configurazione in uso:
+ IPv4: https://scim. *us-east-2*.amazonaws.com/ *11111111111-2222-3333-4444-555555555555* /scim/v2
+ Doppio stack: https://scim. *us-east-2*.api.aws/ *11111111111-2222-3333-4444-555555555555* /scim/v2
1. **Token di **accesso**: scegli Mostra token per copiare il valore.**
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico Okta più avanti in questo tutorial.
1. Scegli **Chiudi**.
1. Torna all'app IAM Identity Center Okta admin dashboard e accedi all'app IAM Identity Center.
1. Nella pagina dell'**app IAM Identity Center**, scegli la scheda **Provisioning**, quindi nella barra di navigazione a sinistra in **Impostazioni**, scegli **Integrazione**.
1. Scegli **Modifica**, quindi seleziona la casella di controllo accanto a **Abilita l'integrazione delle API per abilitare** il provisioning automatico.
1. Configura Okta con i valori di provisioning SCIM copiati in precedenza in AWS IAM Identity Center questo passaggio:
1. Nel campo **URL di base**, inserisci il valore dell'endpoint **SCIM**.
1. Nel campo **Token API**, inserisci il valore del **token di accesso**.
1. Scegli **Test API Credentials per verificare che le** credenziali inserite siano valide.
Il messaggio **AWS IAM Identity Center è stato verificato** con successo\$1 visualizza.
1. Scegli **Save** (Salva). Verrai spostato nella sezione **Impostazioni**, con **l'opzione Integrazione** selezionata.
1. In **Impostazioni**, scegli **All'app**, quindi seleziona la casella di controllo **Abilita** per ciascuna delle funzionalità di **Provisioning to App** che desideri abilitare. Per questo tutorial, seleziona tutte le opzioni.
1. Scegli **Save** (Salva).
Ora sei pronto per sincronizzare i tuoi utenti Okta con IAM Identity Center.
## Fase 4Okta: Sincronizzazione degli utenti Okta con IAM Identity Center
Per impostazione predefinita, nessun gruppo o utente viene assegnato all'app Okta IAM Identity Center. I gruppi di provisioning forniscono il provisioning agli utenti che sono membri del gruppo. Completa i seguenti passaggi per sincronizzare gruppi e utenti con. AWS IAM Identity Center
1. Nella pagina dell'**app Okta IAM Identity Center**, scegli la scheda **Assegnazioni.** Puoi assegnare sia persone che gruppi all'app IAM Identity Center.
1. Per assegnare persone:
+ Nella pagina **Assegnazioni**, scegli **Assegna**, quindi scegli **Assegna** a persone.
+ Scegli gli Okta utenti a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli **Assegna**, scegli **Salva e torna indietro**, quindi scegli **Fine**.
Questo avvia il processo di provisioning degli utenti in IAM Identity Center.
1. Per assegnare gruppi:
+ Nella pagina **Assegnazioni**, scegli **Assegna**, quindi scegli **Assegna** ai gruppi.
+ Scegli i Okta gruppi a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli **Assegna**, scegli **Salva e torna indietro**, quindi scegli **Fine**.
Questo avvia il processo di provisioning degli utenti del gruppo in IAM Identity Center.
**Nota**
Potrebbe esserti richiesto di specificare attributi aggiuntivi per il gruppo se non sono presenti in tutti i record degli utenti. Gli attributi specificati per il gruppo sovrascriveranno i valori dei singoli attributi.
1. Scegliete la scheda **Push Groups**. Scegli il Okta gruppo che desideri sincronizzare con IAM Identity Center. Scegli **Save** (Salva).
Lo stato del gruppo cambia in **Attivo** dopo che il gruppo e i suoi membri sono stati trasferiti a IAM Identity Center.
1. Torna alla scheda **Assegnazioni.**
1. Per aggiungere singoli Okta utenti a IAM Identity Center, utilizza i seguenti passaggi:
1. Nella pagina **Assegnazioni**, scegli **Assegna**, quindi scegli **Assegna** a persone.
1. Scegli gli Okta utenti a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli **Assegna**, scegli **Salva e torna indietro**, quindi scegli **Fine**.
Questo avvia il processo di provisioning dei singoli utenti in IAM Identity Center.
**Nota**
Puoi anche assegnare utenti e gruppi all' AWS IAM Identity Center app, dalla pagina **Applicazioni** di. Okta admin dashboard Per fare ciò, seleziona l'icona **Impostazioni**, quindi scegli **Assegna a utenti** o **Assegna a gruppi**, quindi specifica l'utente o il gruppo.
1. Torna alla console IAM Identity Center. Nella barra di navigazione a sinistra, seleziona **Utenti**, dovresti vedere l'elenco degli utenti popolato dai tuoi Okta utenti.
**Complimenti\$1**
Hai configurato correttamente una connessione SAML tra Okta e AWS e hai verificato che il provisioning automatico funzioni. Ora puoi assegnare questi utenti ad account e applicazioni in **IAM Identity** Center. Per questo tutorial, nel passaggio successivo designiamo uno degli utenti come amministratore di IAM Identity Center concedendo loro le autorizzazioni amministrative per l'account di gestione.
## *Passaggio di attributi per il controllo degli accessi - Facoltativo*
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
## Assegna l'accesso a Account AWS
I seguenti passaggi sono necessari solo per concedere l'accesso a Account AWS . Questi passaggi non sono necessari per concedere l'accesso alle AWS applicazioni.
**Nota**
Per completare questo passaggio, avrai bisogno di un'istanza organizzativa di IAM Identity Center. Per ulteriori informazioni, consulta [Istanze di organizzazione e account di IAM Identity Center](identity-center-instances.md).
### Fase 1: IAM Identity Center: concedere Okta agli utenti l'accesso agli account
1. Nel pannello di navigazione di IAM Identity Center, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina, la **struttura organizzativa** mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona **Assegna** utenti o gruppi.
1. Viene visualizzato il **flusso di lavoro Assegna utenti e gruppi**. Consiste in tre fasi:
1. Per il **passaggio 1: Seleziona utenti e gruppi**, scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli **Successivo**.
1. Per il **Passaggio 2: Seleziona i set di autorizzazioni**, scegli **Crea set di autorizzazioni** per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.
1. Per la **Fase 1: Seleziona il tipo di set di autorizzazioni**, completa quanto segue:
+ In **Tipo di set di autorizzazioni**, scegli **Set di autorizzazioni predefinito**.
+ In **Politica per il set di autorizzazioni predefinito, scegli**. **AdministratorAccess**
Scegli **Next (Successivo)**.
1. Per la **Fase 2: Specificate i dettagli del set di autorizzazioni**, mantenete le impostazioni predefinite e scegliete **Avanti**.
Le impostazioni predefinite creano un set di autorizzazioni denominato *AdministratorAccess* con la durata della sessione impostata su un'ora.
1. Per il **passaggio 3: revisione e creazione**, verifica che il **tipo di set di autorizzazioni** utilizzi la politica AWS gestita **AdministratorAccess**. Scegli **Create** (Crea). Nella pagina **Set di autorizzazioni**, viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.
Nella scheda **Assegna utenti e gruppi** del browser, sei ancora al **Passaggio 2: Seleziona i set di autorizzazioni** da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.
Nell'area dei **set di autorizzazioni**, scegli il pulsante **Aggiorna**. Il set di *AdministratorAccess* autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo per quel set di autorizzazioni, quindi scegli **Avanti**.
1. Per il **passaggio 3: Rivedi e invia**, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli **Invia**.
La pagina viene aggiornata con un messaggio che indica che la tua pagina Account AWS è in fase di configurazione. Attendi il completamento del processo.
Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Quando l'utente accede, avrà la possibilità di scegliere il ruolo. *AdministratorAccess*
### Fase 2Okta: Conferma dell'accesso Okta degli utenti alle risorse AWS
1. Accedi utilizzando un account di prova aOkta dashboard.
1. In **Le mie app**, seleziona l'AWS IAM Identity Centericona.
1. Dovresti vedere l' Account AWS icona. Espandi l'icona per visualizzare l'elenco a Account AWS cui l'utente può accedere. In questo tutorial hai utilizzato solo un account, quindi espandendo l'icona viene visualizzato solo un account.
1. Seleziona l'account per visualizzare i set di autorizzazioni disponibili per l'utente. In questo tutorial hai creato il set di **AdministratorAccess**autorizzazioni.
1. Accanto al set di autorizzazioni ci sono i link relativi al tipo di accesso disponibile per quel set di autorizzazioni. Quando è stato creato il set di autorizzazioni, è stato specificato l'accesso sia all'accesso programmatico che all' Console di gestione AWS accesso programmatico. Seleziona **Console di gestione** per aprire. Console di gestione AWS
1. L'utente ha effettuato l'accesso a Console di gestione AWS.
È inoltre possibile utilizzare il portale di AWS accesso. Questo reindirizza l'utente all'accesso tramite il Okta portale prima di accedere al portale di AWS accesso. Questo percorso segue il flusso di accesso SAML avviato da SP.
## Oktaconfigurazione per l'accesso a regioni aggiuntive di IAM Identity Center - Facoltativa
Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS tramite le regioni aggiuntive. I passaggi seguenti ti guidano attraverso la procedura. Per ulteriori dettagli su questo argomento, inclusi i prerequisiti, vedere[Utilizzo di IAM Identity Center su più Regioni AWS](multi-region-iam-identity-center.md).
1. Recupera ACS URLs per le regioni aggiuntive dalla console IAM Identity Center come descritto in. [Endpoint ACS primari e aggiuntivi Regioni AWS](multi-region-workforce-access.md#acs-endpoints)
1. Nel pannello di navigazione della dashboard di Okta amministrazione, scegli **Applicazioni**, quindi di nuovo **Applicazioni** nell'elenco espanso.
1. Scegliere l'applicazione **AWS IAM Identity Center**.
1. Scegli la scheda **Sign On** (Accedi).
1. In **Impostazioni avanzate di accesso** e **altri SSO richiedibili URLs**, scegli **Aggiungi un altro** URL ACS per ogni regione aggiuntiva e incolla l'URL ACS nel campo di testo.
1. Al termine dell'aggiunta dell'ACS, salva l'applicazione. URLs **AWS IAM Identity Center**
1. Puoi creare un'app di segnalibri Okta per il portale di AWS accesso in ogni regione aggiuntiva. Ciò consente agli utenti di accedere al portale di AWS accesso in altre regioni daOkta. Assicurati di concedere ai tuoi utenti le autorizzazioni per accedere alle app per i segnalibri in. Okta Consulta [Oktala documentazione](https://support.okta.com/help/s/article/create-a-bookmark-app) per maggiori dettagli.
1. Verifica di poter accedere al portale di AWS accesso in ogni regione aggiuntiva. Vai al [portale di AWS accesso URLs](multi-region-workforce-access.md#portal-endpoints) o avvia le app per aggiungere segnalibri daOkta.
## Fasi successive
Ora che ti sei configurato Okta come provider di identità e hai effettuato il provisioning degli utenti in IAM Identity Center, puoi:
+ Concedi l'accesso a Account AWS, vedi[Assegna l'accesso a utenti o gruppi a Account AWS](assignusers.md).
+ Concedi l'accesso alle applicazioni cloud, vedi[Assegna l'accesso degli utenti alle applicazioni nella console IAM Identity Center](assignuserstoapp.md).
+ Configura le autorizzazioni in base alle funzioni lavorative, vedi [Creare un set di autorizzazioni](howtocreatepermissionset.md).
## Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conOkta, consulta le seguenti sezioni:
+ [Riassegnazione del provisioning a utenti e gruppi eliminati da IAM Identity Center](#reprovisioning-deleted-users-groups)
+ [Errore di provisioning automatico in Okta](#okta-auto-provisioning-error)
+ [Alcuni utenti non riescono a sincronizzarsi in IAM Identity Center da un provider SCIM esterno](troubleshooting.md#issue2)
+ [Problemi relativi al contenuto delle asserzioni SAML create da IAM Identity Center](troubleshooting.md#issue1)
+ [Errore duplicato di utenti o gruppi durante il provisioning di utenti o gruppi con un provider di identità esterno](troubleshooting.md#duplicate-user-group-idp)
+ [Risorse aggiuntive](#gs-okta-troubleshooting-resources)
### Riassegnazione del provisioning a utenti e gruppi eliminati da IAM Identity Center
+ Potresti ricevere il seguente messaggio di errore nella Okta Console, se stai tentando di modificare un utente o un gruppo Okta che una volta era sincronizzato e poi eliminato da IAM Identity Center:
+ Invio automatico del profilo dall'utente *Jane Doe* all'app AWS IAM Identity Center non riuscito: errore durante il tentativo di inviare l'aggiornamento del profilo per*jane\$1doe@example.com*: Nessun utente restituito per l'utente *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Il gruppo collegato è mancante in AWS IAM Identity Center. Modifica il gruppo collegato per riprendere a richiedere l'iscrizione al gruppo.
+ Potresti anche ricevere il seguente messaggio di errore nei registri Okta di sistema per utenti o gruppi di IAM Identity Center sincronizzati ed eliminati:
+ Errore Okta: Eventfailed application.provision.user.push\$1profile: nessun utente restituito per l'utente *xxxxx-xxxxxx-xxxxx-xxxxxxx*
+ Errore Okta: application.provision.group\$1push.mapping.update.or.delete.failed.with.error: il gruppo collegato è mancante in AWS IAM Identity Center. Modifica il gruppo collegato per riprendere l'iscrizione al gruppo.
**avvertimento**
Gli utenti e i gruppi devono essere eliminati da IAM Identity Center Okta anziché da IAM Identity Center se hai sincronizzato IAM Identity Center Okta utilizzando SCIM.
**Risoluzione dei problemi relativi agli utenti IAM Identity Center eliminati**
Per risolvere questo problema con gli utenti IAM Identity Center eliminati, è necessario eliminare gli utenti daOkta. Se necessario, anche questi utenti dovrebbero essere ricreati inOkta. Quando l'utente viene ricreatoOkta, verrà anche reinserito nell'IAM Identity Center tramite SCIM. [Per ulteriori informazioni sull'eliminazione di un utente, consulta la documentazione. Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-deactivate-user-account.htm)
**Nota**
Se devi rimuovere l'accesso di un Okta utente a IAM Identity Center, devi prima rimuoverlo dal suo Group Push e poi dal suo Assignment Group in. Okta Ciò garantisce che l'utente venga rimosso dall'appartenenza al gruppo associato in IAM Identity Center. Per ulteriori informazioni sulla risoluzione dei problemi di Group Push, consulta [Oktala documentazione](https://help.okta.com/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm).
**Risoluzione dei problemi relativi ai gruppi IAM Identity Center eliminati**
Per risolvere questo problema con i gruppi IAM Identity Center eliminati, è necessario eliminare il gruppo da Okta. Se necessario, questi gruppi dovrebbero anche essere ricreati in Okta utilizzando Group Push. Quando l'utente viene ricreato in Okta, verrà anche reinserito nell'IAM Identity Center tramite SCIM. [Per ulteriori informazioni sull'eliminazione di un gruppo, consulta la documentazione di Okta.](https://help.okta.com/oie/en-us/content/topics/users-groups-profiles/usgp-group-push-troubleshoot.htm)
### Errore di provisioning automatico in Okta
Se viene visualizzato il seguente messaggio di errore inOkta:
Impossibile eseguire il provisioning automatico dell'utente Jane Doe all'app: utente corrispondente AWS IAM Identity Center non trovato
Per ulteriori informazioni, [Oktaconsulta la documentazione](https://support.okta.com/help/s/article/aws-iam-identity-center-provisioning-error-automatic-provisioning-of-user-name-of-user-to-app-aws-iam-identity-center-failed-matching-user-not-found?language=en_US).
### Risorse aggiuntive
+ Per suggerimenti generali sulla risoluzione dei problemi SCIM, vedere[Risoluzione dei problemi relativi a IAM Identity Center](troubleshooting.md).
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
+ [AWS re:Post](https://repost.aws/)- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ [Supporto AWS](https://aws.amazon.com/premiumsupport/)- Richiedere supporto tecnico
# Configurazione del provisioning SCIM tra OneLogin e IAM Identity Center
IAM Identity Center supporta il provisioning automatico (sincronizzazione) di informazioni su utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
**Nota**
OneLoginattualmente non supporta il servizio ACS (Multiple Assertion Consumer Service) SAML nell'applicazione. URLs AWS IAM Identity Center Questa funzionalità SAML è necessaria per sfruttare appieno il [supporto multiregionale](multi-region-iam-identity-center.md) in IAM Identity Center. Se prevedi di replicare IAM Identity Center in altre regioni, tieni presente che l'utilizzo di un singolo URL ACS può influire sull'esperienza utente in tali regioni aggiuntive. La tua regione principale continuerà a funzionare normalmente. Ti consigliamo di collaborare con il tuo fornitore IdP per abilitare questa funzionalità. Per ulteriori informazioni sull'esperienza utente in altre regioni con un singolo URL ACS, consulta e. [Utilizzo di applicazioni AWS gestite senza più ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) [Account AWS resilienza di accesso senza più ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Puoi configurare questa connessione inOneLogin, utilizzando il tuo endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM OneLogin Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. OneLogin
I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi da OneLogin IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations)
**Topics**
+ [Prerequisiti](#onelogin-prereqs)
+ [Fase 1: abilitare il provisioning in IAM Identity Center](#onelogin-step1)
+ [Passaggio 2: configurare il provisioning in OneLogin](#onelogin-step2)
+ [(Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center](#onelogin-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#onelogin-passing-abac)
+ [Risoluzione dei problemi](#onelogin-troubleshooting)
## Prerequisiti
Avrai bisogno di quanto segue prima di iniziare:
+ Un OneLogin account. Se non disponi di un account esistente, potresti ottenere una versione di prova gratuita o un account sviluppatore dal [OneLoginsito web](https://www.onelogin.com/free-trial).
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una connessione SAML dal tuo OneLogin account a IAM Identity Center. Per ulteriori informazioni, consulta [Enabling Single Sign-On tra OneLogin e AWS sul blog](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) AWS Partner Network.
## Fase 1: abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Ora hai configurato il provisioning nella console IAM Identity Center. Ora devi eseguire le attività rimanenti utilizzando la console di OneLogin amministrazione come descritto nella procedura seguente.
## Passaggio 2: configurare il provisioning in OneLogin
Utilizza la seguente procedura nella console di OneLogin amministrazione per abilitare l'integrazione tra IAM Identity Center e l'app IAM Identity Center. Questa procedura presuppone che tu abbia già configurato l'applicazione AWS Single Sign-On OneLogin per l'autenticazione SAML. Se non hai ancora creato questa connessione SAML, fallo prima di procedere e poi torna qui per completare il processo di provisioning SCIM. Per ulteriori informazioni sulla configurazione di SAML conOneLogin, consulta [Enabling Single Sign-On Between and on](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) the Partner Network blog. OneLogin AWS AWS
**Per configurare il provisioning in OneLogin**
1. Accedi aOneLogin, quindi vai su **Applicazioni > Applicazioni**.
1. Nella pagina **Applicazioni**, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli **Configurazione** dal pannello di navigazione.
1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** in IAM Identity Center. Incolla quel valore nel campo **SCIM Base URL** di. OneLogin Inoltre, nella procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **SCIM Bearer Token di**. OneLogin
1. Accanto a **Connessione API**, fai clic su **Abilita**, quindi su **Salva** per completare la configurazione.
1. Nel riquadro di navigazione, scegli **Provisioning**.
1. Seleziona le caselle di controllo **Abilita provisioning**, **Crea utente**, **Elimina utente** e **Aggiorna utente**, quindi scegli **Salva**.
1. Nel pannello di navigazione, seleziona **Utenti**.
1. Fai clic su **Altre azioni** e scegli **Sincronizza accessi**. Dovresti ricevere il messaggio *Sincronizzazione degli utenti con AWS Single* Sign-On.
1. Fai nuovamente clic su **Altre azioni**, quindi scegli **Riapplica** le mappature dei diritti. *Dovresti ricevere il messaggio Le mappature vengono riapplicate.*
1. A questo punto, dovrebbe iniziare il processo di approvvigionamento. Per confermare ciò, accedi ad **Attività > Eventi** e monitora i progressi. Gli eventi di provisioning riusciti, così come gli errori, dovrebbero apparire nel flusso degli eventi.
1. **Per verificare che tutti gli utenti e i gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti.** I tuoi utenti sincronizzati OneLogin vengono visualizzati nella pagina **Utenti**. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina **Gruppi**.
1. **Per sincronizzare automaticamente le modifiche degli utenti su IAM Identity Center, accedi alla pagina **Provisioning**, individua la sezione **Richiedi l'approvazione dell'amministratore prima che questa azione venga eseguita**, deseleziona **Crea utente, Elimina utente****, and/or **Aggiorna utente**** e fai clic su Salva.**
## (Facoltativo) Passaggio 3: configura gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center
Questa è una procedura opzionale OneLogin se scegli di configurare gli attributi che utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi che definisci OneLogin vengono passati in un'asserzione SAML a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. OneLogin
Prima di iniziare questa procedura, devi prima abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
**Per configurare gli attributi utente OneLogin per il controllo degli accessi in IAM Identity Center**
1. Accedi aOneLogin, quindi vai su **Applicazioni > Applicazioni**.
1. Nella pagina **Applicazioni**, cerca l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center. Sceglila, quindi scegli **Parametri** dal pannello di navigazione.
1. Nella sezione **Parametri richiesti**, procedi come segue per ogni attributo che desideri utilizzare in IAM Identity Center:
1. Scegli **\$1**.
1. In **Nome campo**`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, inserisci e sostituisci **AttributeName** con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. **In **Flags**, seleziona la casella accanto a **Includi nell'asserzione SAML** e scegli Salva.**
1. Nel campo **Valore**, utilizza l'elenco a discesa per scegliere gli attributi utente. OneLogin **Ad esempio, Dipartimento.**
1. Scegli **Save** (Salva).
## (Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
## Risoluzione dei problemi
Quanto segue può aiutarti a risolvere alcuni problemi comuni che potresti riscontrare durante la configurazione del provisioning automatico con. OneLogin
**I gruppi non vengono assegnati a IAM Identity Center**
Per impostazione predefinita, non è possibile effettuare il provisioning dei gruppi OneLogin da IAM Identity Center. Assicurati di aver abilitato il provisioning di gruppo per la tua applicazione IAM Identity Center in. OneLogin A tale scopo, accedi alla console di OneLogin amministrazione e verifica che l'opzione **Includi nel provisioning degli utenti sia selezionata nelle** proprietà dell'applicazione IAM Identity Center (applicazione IAM Identity Center **> Parametri > Gruppi**). [Per maggiori dettagli su come creare gruppi inOneLogin, incluso come sincronizzare i OneLogin ruoli come gruppi in SCIM, consulta il sito Web. OneLogin](https://onelogin.service-now.com/support)
**Niente viene sincronizzato da OneLogin IAM Identity Center, nonostante tutte le impostazioni siano corrette**
Oltre alla nota precedente relativa all'approvazione dell'amministratore, sarà necessario **riapplicare le mappature delle autorizzazioni per rendere effettive** molte modifiche alla configurazione. È possibile trovarlo in **Applicazioni > Applicazioni > Applicazione IAM Identity Center >** Altre azioni. Puoi visualizzare i dettagli e i registri per la maggior parte delle azioniOneLogin, inclusi gli eventi di sincronizzazione, in **Attività >** Eventi.
**Ho eliminato o disabilitato un gruppo inOneLogin, ma appare ancora in IAM Identity Center**
OneLoginattualmente non supporta l'operazione SCIM DELETE per i gruppi, il che significa che il gruppo continua a esistere in IAM Identity Center. È quindi necessario rimuovere il gruppo direttamente da IAM Identity Center per garantire che tutte le autorizzazioni corrispondenti in IAM Identity Center per quel gruppo vengano rimosse.
**Ho eliminato un gruppo in IAM Identity Center senza prima eliminarlo da esso OneLogin e ora ho problemi user/group di sincronizzazione**
Per porre rimedio a questa situazione, assicurati innanzitutto di non avere regole o configurazioni ridondanti di provisioning di gruppo. OneLogin Ad esempio, un gruppo assegnato direttamente a un'applicazione insieme a una regola di pubblicazione nello stesso gruppo. Quindi, elimina tutti i gruppi indesiderati in IAM Identity Center. Infine, inOneLogin, **aggiorna** le autorizzazioni (**app IAM Identity Center > Provisioning > Entitlements), quindi riapplica le mappature delle autorizzazioni** **(app IAM Identity Center > Altre azioni**). Per evitare questo problema in futuro, apporta innanzitutto la modifica per interrompere il provisioning del gruppoOneLogin, quindi elimina il gruppo da IAM Identity Center.
# Utilizzo di Ping Identity prodotti con IAM Identity Center
I seguenti Ping Identity prodotti sono stati testati con IAM Identity Center.
**Topics**
+ [PingFederate](pingfederate-idp.md)
+ [PingOne](pingone-idp.md)
# PingFederate
IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni su utenti e gruppi provenienti dal PingFederate prodotto Ping Identity (di seguito «Ping») in IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per ulteriori informazioni, consulta [Utilizzo della federazione delle identità SAML e SCIM con provider di identità esterni](other-idps.md).
Questa connessione viene configurata PingFederate utilizzando l'endpoint e il token di accesso IAM Identity Center SCIM. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in PingFederate IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. PingFederate
Questa guida si basa sulla PingFederate versione 10.2. I passaggi per le altre versioni possono variare. Contatta Ping per ulteriori informazioni su come configurare il provisioning a IAM Identity Center per altre versioni diPingFederate.
I passaggi seguenti illustrano come abilitare il provisioning automatico di utenti e gruppi da PingFederate IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations) Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.
**Topics**
+ [Prerequisiti](#pingfederate-prereqs)
+ [Considerazioni](#pingfederate-considerations)
+ [Fase 1: abilitare il provisioning in IAM Identity Center](#pingfederate-step1)
+ [Fase 2: Configurare il provisioning in PingFederate](#pingfederate-step2)
+ [(Facoltativo) Fase 3: Configurazione degli attributi utente in base alla frequenza per PingFed il controllo degli accessi in IAM Identity Center](#pingfederate-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#pingfederate-passing-abac)
+ [Risoluzione dei problemi](#pingfederate-troubleshooting)
## Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
+ Un PingFederate server funzionante. Se non disponi di un PingFederate server esistente, potresti ottenere una versione di prova gratuita o un account sviluppatore dal sito Web di [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.). La versione di prova include licenze e download di software e documentazione associata.
+ Una copia del software PingFederate IAM Identity Center Connector installato sul PingFederate server. Per ulteriori informazioni su come ottenere questo software, consulta [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/) sul Ping Identity sito Web.
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una connessione SAML dalla tua PingFederate istanza a IAM Identity Center. Per istruzioni su come configurare questa connessione, consulta la PingFederate documentazione. In sintesi, il percorso consigliato consiste nell'utilizzare IAM Identity Center Connector per configurare «Browser SSO» inPingFederate, utilizzando le funzionalità di «download» e «importazione» dei metadati su entrambe le estremità per lo scambio di metadati SAML tra IAM Identity Center PingFederate e IAM Identity Center.
+ Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e da tali regioni. Account AWS Per ulteriori dettagli, consultare [Fase 3: Aggiornare la configurazione dell'IdP esterno](replicate-to-additional-region.md#update-external-idp-setup). Consulta la PingFederate documentazione per ulteriori dettagli.
## Considerazioni
Di seguito sono riportate importanti considerazioni in merito PingFederate che possono influire sul modo in cui si implementa il provisioning con IAM Identity Center.
+ Se un attributo (come un numero di telefono) viene rimosso da un utente nel data store configurato inPingFederate, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Questa è una limitazione nota nell'implementazione del PingFederate’s provisioner. Se un attributo viene modificato in un valore diverso (non vuoto) su un utente, tale modifica verrà sincronizzata con IAM Identity Center.
## Fase 1: abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando la console PingFederate amministrativa., I passaggi sono descritti nella procedura seguente.
## Fase 2: Configurare il provisioning in PingFederate
Utilizza la seguente procedura nella console PingFederate amministrativa per abilitare l'integrazione tra IAM Identity Center e IAM Identity Center Connector. Questa procedura presuppone che tu abbia già installato il software IAM Identity Center Connector. Se non l'hai ancora fatto, consulta e completa questa procedura per [Prerequisiti](#pingfederate-prereqs) configurare il provisioning SCIM.
**Importante**
Se il PingFederate server non è stato precedentemente configurato per il provisioning SCIM in uscita, potrebbe essere necessario apportare una modifica al file di configurazione per abilitare il provisioning. Per ulteriori informazioni, consultare la documentazione di Ping. In sintesi, è necessario modificare l'`pf.provisioner.mode`impostazione nel **pingfederate-/pingfederate/bin/run.properties**file con un valore diverso da `OFF` (che è l'impostazione predefinita) e riavviare il server se attualmente in esecuzione. Ad esempio, puoi scegliere di utilizzare `STANDALONE` se attualmente non disponi di una configurazione ad alta disponibilità conPingFederate.
**Per configurare il provisioning in PingFederate**
1. Accedere alla console di PingFederate amministrazione.
1. Seleziona **Applicazioni** nella parte superiore della pagina, quindi fai clic su **Connessioni SP**.
1. Individua l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center e fai clic sul nome della connessione.
1. Seleziona **Tipo di connessione** dai titoli di navigazione scuri nella parte superiore della pagina. Dovresti vedere **Browser SSO** già selezionato nella configurazione precedente di SAML. In caso contrario, devi prima completare questi passaggi prima di poter continuare.
1. **Seleziona la casella di controllo **Outbound Provisioning**, scegli **IAM Identity Center Cloud Connector** come tipo e fai clic su Salva.** Se **IAM Identity Center Cloud Connector** non appare come opzione, assicurati di aver installato IAM Identity Center Connector e di aver riavviato il server. PingFederate
1. **Fai clic su **Avanti** più volte fino ad arrivare alla pagina **Outbound Provisioning**, quindi fai clic sul pulsante Configure Provisioning.**
1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** in IAM Identity Center. Incolla quel valore nel campo **URL SCIM** nella console. PingFederate Inoltre, nella procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **Access Token** della PingFederate console. Fai clic su **Salva**.
1. Nella pagina **Configurazione dei canali (Configura canali)**, fai clic su **Crea**.
1. Immettete un **nome di canale** per questo nuovo canale di provisioning (ad esempio**AWSIAMIdentityCenterchannel**) e fate clic su **Avanti**.
1. Nella pagina di **origine**, scegli l'**Active Data Store** che desideri utilizzare per la connessione a IAM Identity Center e fai clic su **Avanti**.
**Nota**
Se non hai ancora configurato un'origine dati, devi farlo ora. Consulta la documentazione Ping del prodotto per informazioni su come scegliere e configurare un'origine dati inPingFederate.
1. Nella pagina **Impostazioni sorgente**, verifica che tutti i valori siano corretti per l'installazione, quindi fai clic su **Avanti**.
1. Nella pagina **Posizione di origine**, inserisci le impostazioni appropriate all'origine dati, quindi fai clic su **Avanti**. Ad esempio, se utilizzi Active Directory come directory LDAP:
1. Inserisci il **DN di base** della tua foresta AD (ad esempio**DC=myforest,DC=mydomain,DC=com**).
1. In **Utenti > DN di gruppo**, specifica un singolo gruppo che contenga tutti gli utenti di cui desideri effettuare il provisioning a IAM Identity Center. Se non esiste un gruppo singolo di questo tipo, crea quel gruppo in AD, torna a questa impostazione e inserisci il DN corrispondente.
1. **Specificate se effettuare la ricerca nei sottogruppi (**Nested Search**) e qualsiasi filtro LDAP richiesto.**
1. In **Gruppi > DN di gruppo**, specifica un singolo gruppo che contenga tutti i gruppi che desideri fornire a IAM Identity Center. In molti casi, questo può essere lo stesso DN specificato nella sezione **Utenti**. Immettete i valori **Nested Search** e **Filter** come richiesto.
1. **Nella pagina **Mappatura degli attributi**, verifica quanto segue, quindi fai clic su Avanti:**
1. Il campo **UserName** deve essere mappato su un **attributo** formattato come e-mail (user@domain.com). Deve inoltre corrispondere al valore che l'utente utilizzerà per accedere a Ping. Questo valore a sua volta viene inserito nel `nameId` claim SAML durante l'autenticazione federata e utilizzato per la corrispondenza con l'utente in IAM Identity Center. Ad esempio, quando si utilizza Active Directory, è possibile scegliere di specificare `UserPrincipalName` come **UserName**.
1. Gli altri campi con il suffisso **\$1** devono essere mappati ad attributi diversi da nulli per gli utenti.
1. Nella pagina **Attivazione e riepilogo**, imposta **lo stato del canale** su **Attivo** per avviare la sincronizzazione immediatamente dopo il salvataggio della configurazione.
1. Conferma che tutti i valori di configurazione nella pagina siano corretti e **fai clic su Fine**.
1. Nella pagina **Gestisci canali**, fai clic su **Salva**.
1. A questo punto, inizia il provisioning. Per confermare l'attività, puoi visualizzare il file **provisioner.log**, che si trova per impostazione predefinita nella **pingfederate-/pingfederate/log**directory del tuo PingFederate server.
1. Per verificare che utenti e gruppi siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli **Utenti**. Gli utenti sincronizzati PingFederate vengono visualizzati nella pagina **Utenti**. È inoltre possibile visualizzare i gruppi sincronizzati nella pagina **Gruppi**.
## (Facoltativo) Fase 3: Configurazione degli attributi utente in base alla frequenza per PingFed il controllo degli accessi in IAM Identity Center
Questa è una procedura opzionale PingFederate se scegli di configurare gli attributi che utilizzerai in IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi definiti PingFederate vengono passati in un'asserzione SAML a IAM Identity Center. Creerai quindi un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. PingFederate
Prima di iniziare questa procedura, devi prima abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
**Per configurare gli attributi utente PingFederate per il controllo degli accessi in IAM Identity Center**
1. Accedi alla console di PingFederate amministrazione.
1. Scegli **Applicazioni** nella parte superiore della pagina, quindi fai clic su **Connessioni SP**.
1. Individua l'applicazione che hai creato in precedenza per creare la tua connessione SAML con IAM Identity Center e fai clic sul nome della connessione.
1. Scegli **Browser SSO** dai titoli di navigazione scuri nella parte superiore della pagina. Quindi fai clic su **Configure Browser** SSO.
1. Nella pagina **Configure Browser SSO**, scegli **Assertion Creation**, quindi fai clic su **Configure** Assertion Creation.
1. **Nella pagina **Configura la creazione di asserzioni**, scegli Attribute Contract.**
1. Nella pagina **Contratto di attributo**, nella sezione **Estendi il contratto**, aggiungi un nuovo attributo effettuando le seguenti operazioni:
1. Nella casella di testo, inserisci`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, sostituisci **AttributeName** con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. Per **Attribute Name Format**, scegli **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**.
1. **Scegliete Aggiungi**, quindi scegliete **Avanti**.
1. Nella pagina **Authentication Source Mapping**, scegli l'istanza dell'adattatore configurata con la tua applicazione.
1. **Nella pagina **Attribute Contract Fulfillment**, scegli **Source** (*data store*) e **Value** (attributo *data store) per l'Attribute Contract*.** `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`
**Nota**
Se non hai ancora configurato un'origine dati, dovrai farlo ora. Consulta la documentazione Ping del prodotto per informazioni su come scegliere e configurare un'origine dati inPingFederate.
1. Fai clic su **Avanti** più volte fino ad arrivare alla pagina **Attivazione e riepilogo**, quindi fai clic su **Salva**.
## (Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
## Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conPingFederate, consulta le seguenti sezioni:
+ [Alcuni utenti non riescono a sincronizzarsi in IAM Identity Center da un provider SCIM esterno](troubleshooting.md#issue2)
+ [Problemi relativi al contenuto delle asserzioni SAML create da IAM Identity Center](troubleshooting.md#issue1)
+ [Errore duplicato di utenti o gruppi durante il provisioning di utenti o gruppi con un provider di identità esterno](troubleshooting.md#duplicate-user-group-idp)
+ [Per ulteriori informazioni suPingFederate, consulta PingFederate la documentazione.](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
+ [AWS re:Post](https://repost.aws/)- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ [Supporto AWS](https://aws.amazon.com/premiumsupport/)- Richiedere supporto tecnico
# PingOne
IAM Identity Center supporta il provisioning automatico (sincronizzazione) delle informazioni utente dal PingOne prodotto Ping Identity (di seguito «Ping») in IAM Identity Center. Questo provisioning utilizza il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Questa connessione viene configurata PingOne utilizzando l'endpoint e il token di accesso IAM Identity Center SCIM. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in PingOne IAM Identity Center. Ciò fa sì che gli attributi previsti corrispondano tra IAM Identity Center e. PingOne
I passaggi seguenti illustrano come abilitare il provisioning automatico degli utenti da PingOne IAM Identity Center utilizzando il protocollo SCIM.
**Nota**
Prima di iniziare a distribuire SCIM, ti consigliamo di esaminare prima il. [Considerazioni sull'utilizzo del provisioning automatico](provision-automatically.md#auto-provisioning-considerations) Quindi continua a esaminare le considerazioni aggiuntive nella sezione successiva.
**Topics**
+ [Prerequisiti](#pingone-prereqs)
+ [Considerazioni](#pingone-considerations)
+ [Passaggio 1: abilitare il provisioning in IAM Identity Center](#pingone-step1)
+ [Fase 2: Configurare il provisioning in PingOne](#pingone-step2)
+ [(Facoltativo) Fase 3: Configurazione degli attributi utente PingOne per il controllo degli accessi in IAM Identity Center](#pingone-step3)
+ [(Facoltativo) Passaggio di attributi per il controllo degli accessi](#pingone-passing-abac)
+ [Risoluzione dei problemi](#pingone-troubleshooting)
## Prerequisiti
Prima di iniziare, avrai bisogno di quanto segue:
+ Un PingOne abbonamento o una prova gratuita, con funzionalità di autenticazione e provisioning federate. Per ulteriori informazioni su come ottenere una prova gratuita, consulta il [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)sito Web.
+ Un account abilitato per IAM Identity Center ([gratuito](https://aws.amazon.com/single-sign-on/)). Per ulteriori informazioni, consulta [Enable IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ L'applicazione PingOne IAM Identity Center aggiunta al tuo portale di PingOne amministrazione. È possibile ottenere l'applicazione PingOne IAM Identity Center dall'PingOneApplication Catalog. Per informazioni generali, consulta [Aggiungere un'applicazione dal catalogo](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) delle applicazioni sul Ping Identity sito Web.
+ Una connessione SAML dall'PingOneistanza a IAM Identity Center. Dopo aver aggiunto l'applicazione PingOne IAM Identity Center al tuo portale di PingOne amministrazione, devi utilizzarla per configurare una connessione SAML dall'PingOneistanza a IAM Identity Center. Utilizza la funzionalità di «download» e «importazione» dei metadati su entrambe le estremità per scambiare metadati SAML tra PingOne e IAM Identity Center. Per istruzioni su come configurare questa connessione, consulta la documentazione. PingOne
+ Se hai replicato IAM Identity Center in altre regioni, devi aggiornare la configurazione del provider di identità per consentire l'accesso alle applicazioni AWS gestite e Account AWS da tali regioni. Per ulteriori dettagli, consultare [Fase 3: Aggiornare la configurazione dell'IdP esterno](replicate-to-additional-region.md#update-external-idp-setup). Consulta la PingOne documentazione per ulteriori dettagli.
## Considerazioni
Di seguito sono riportate importanti considerazioni in merito PingOne che possono influire sul modo in cui si implementa il provisioning con IAM Identity Center.
+ PingOnenon supporta il provisioning di gruppi tramite SCIM. Contatta Ping per le informazioni più recenti sul supporto di gruppo in SCIM for. PingOne
+ È possibile continuare a ricevere il provisioning degli utenti PingOne dopo aver disabilitato il provisioning nel portale di amministrazione. PingOne Se è necessario interrompere immediatamente il provisioning, eliminare il token BEARER SCIM pertinente e disattivarlo in IAM Identity Center. and/or [Esegui il provisioning di utenti e gruppi da un provider di identità esterno utilizzando SCIM](provision-automatically.md)
+ Se un attributo per un utente viene rimosso dal data store configurato inPingOne, tale attributo non verrà rimosso dall'utente corrispondente in IAM Identity Center. Questa è una limitazione nota nell'implementazione del PingOne’s provisioner. Se un attributo viene modificato, la modifica verrà sincronizzata con IAM Identity Center.
+ Di seguito sono riportate note importanti relative alla configurazione SAML in: PingOne
+ IAM Identity Center supporta solo `emailaddress` come `NameId` formato. Ciò significa che devi scegliere un attributo utente che sia unico all'interno della tua directory inPingOne, non nullo e formattato come email/UPN (ad esempio, user@domain.com) per la mappatura **SAML\$1SUBJECT**. PingOne **Email (Work)** è un valore ragionevole da utilizzare per le configurazioni di test con la directory integrata. PingOne
+ Gli utenti PingOne con un indirizzo e-mail contenente un carattere **\$1** potrebbero non essere in grado di accedere a IAM Identity Center, con errori come `'SAML_215'` o`'Invalid input'`. **Per risolvere questo problemaPingOne, scegli l'opzione **Avanzata** per la mappatura **SAML\$1SUBJECT in Attribute** Mappings.** Quindi imposta **Name ID Format da inviare a SP: to nel menu a discesa**. **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**
## Passaggio 1: abilitare il provisioning in IAM Identity Center
In questo primo passaggio, utilizzi la console IAM Identity Center per abilitare il provisioning automatico.
**Per abilitare il provisioning automatico in IAM Identity Center**
1. Dopo aver completato i prerequisiti, apri la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Scegli **Impostazioni** nel riquadro di navigazione a sinistra.
1. Nella pagina **Impostazioni**, individua la casella Informazioni sulla **fornitura automatica**, quindi scegli **Abilita.** Ciò abilita immediatamente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.
1. Nella finestra di dialogo di **provisioning automatico in entrata**, copia l'endpoint SCIM e il token di accesso. Dovrai incollarli in un secondo momento quando configuri il provisioning nel tuo IdP.
1. **Endpoint SCIM: ad esempio**, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. ****Token di accesso: scegli Mostra token per copiare il valore.****
**avvertimento**
Questa è l'unica volta in cui puoi ottenere l'endpoint SCIM e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico nel tuo IdP più avanti in questo tutorial.
1. Scegli **Chiudi**.
Ora che hai configurato il provisioning nella console IAM Identity Center, devi completare le attività rimanenti utilizzando l'applicazione PingOne IAM Identity Center. Questi passaggi sono descritti nella procedura seguente.
## Fase 2: Configurare il provisioning in PingOne
Utilizza la seguente procedura nell'applicazione PingOne IAM Identity Center per abilitare il provisioning con IAM Identity Center. Questa procedura presuppone che tu abbia già aggiunto l'applicazione PingOne IAM Identity Center al tuo portale di PingOne amministrazione. Se non l'hai ancora fatto, consulta e completa questa procedura per [Prerequisiti](#pingone-prereqs) configurare il provisioning SCIM.
**Per configurare il provisioning in PingOne**
1. Apri l'applicazione PingOne IAM Identity Center che hai installato come parte della configurazione di SAML per PingOne (**Applicazioni > Le **mie** applicazioni**). Per informazioni, consulta [Prerequisiti](#pingone-prereqs).
1. Scorri fino alla fine della pagina. In **User Provisioning**, scegli il link **completo** per accedere alla configurazione di provisioning utente della tua connessione.
1. Nella pagina **Istruzioni per il provisioning**, scegli **Continua** con il passaggio successivo.
1. Nella procedura precedente, hai copiato il valore dell'**endpoint SCIM** in IAM Identity Center. Incolla quel valore nel campo **SCIM URL** nell'applicazione PingOne IAM Identity Center. Inoltre, nella procedura precedente hai copiato il valore del **token di accesso** in IAM Identity Center. Incolla quel valore nel campo **ACCESS\$1TOKEN** dell'applicazione PingOne IAM Identity Center.
1. Per **REMOVE\$1ACTION**, scegli **Disabilitato** o **Eliminato** (consulta il testo della descrizione nella pagina per maggiori dettagli).
1. Nella pagina **Mappatura degli attributi**, scegliete un valore da utilizzare per l'asserzione **SAML\$1SUBJECT** (`NameId`), seguendo le indicazioni fornite in precedenza in questa pagina. [Considerazioni](#pingone-considerations) **Quindi scegli Continua al passaggio successivo.**
1. Nella pagina **Personalizzazione dell'PingOneapp - IAM Identity Center**, apporta le modifiche di personalizzazione desiderate (opzionale) e fai clic su **Continua con il passaggio successivo**.
1. Nella pagina **Group Access**, scegli i gruppi contenenti gli utenti che desideri abilitare per il provisioning e il single sign-on su IAM Identity Center. Scegli **Continua al passaggio successivo.**
1. Scorri fino alla fine della pagina e scegli **Fine** per iniziare il provisioning.
1. **Per verificare che gli utenti siano stati sincronizzati correttamente con IAM Identity Center, torna alla console IAM Identity Center e scegli Utenti.** Gli utenti sincronizzati da PingOne verranno visualizzati nella pagina **Utenti**. Questi utenti possono ora essere assegnati ad account e applicazioni all'interno di IAM Identity Center.
Ricorda che non PingOne supporta la fornitura di gruppi o l'appartenenza a gruppi tramite SCIM. Contattateci Ping per ulteriori informazioni.
## (Facoltativo) Fase 3: Configurazione degli attributi utente PingOne per il controllo degli accessi in IAM Identity Center
Questa è una procedura facoltativa da PingOne utilizzare se scegli di configurare gli attributi per IAM Identity Center per gestire l'accesso alle tue AWS risorse. Gli attributi definiti in vengono passati in PingOne un'asserzione SAML a IAM Identity Center. Quindi crei un set di autorizzazioni in IAM Identity Center per gestire l'accesso in base agli attributi da cui sei passato. PingOne
Prima di iniziare questa procedura, è necessario abilitare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità. Per ulteriori informazioni su come effettuare tale operazione, consulta [Abilita e configura gli attributi per il controllo degli accessi](configure-abac.md).
**Per configurare gli attributi utente PingOne per il controllo degli accessi in IAM Identity Center**
1. Apri l'applicazione PingOne IAM Identity Center che hai installato come parte della configurazione di SAML per PingOne (**Applicazioni > Le mie applicazioni**).
1. Scegli **Modifica**, quindi scegli **Continua con il passaggio successivo** fino ad arrivare alla pagina **Mappature degli attributi**.
1. Nella pagina **Mappature degli attributi**, scegli **Aggiungi nuovo attributo**, quindi procedi come segue. È necessario eseguire questi passaggi per ogni attributo che verrà aggiunto per l'utilizzo in IAM Identity Center per il controllo degli accessi.
1. Nel campo **Application Attribute**, inserisci`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`. Sostituisci *AttributeName* con il nome dell'attributo che ti aspetti in IAM Identity Center. Ad esempio, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.
1. Nel campo **Identity Bridge Attribute o Literal Value**, scegli gli attributi utente dalla tua PingOne directory. Ad esempio, **Email (Work).**
1. Scegli **Avanti** alcune volte, quindi scegli **Fine**.
## (Facoltativo) Passaggio di attributi per il controllo degli accessi
Facoltativamente, puoi utilizzare la [Attributi per il controllo degli accessi](attributesforaccesscontrol.md) funzionalità di IAM Identity Center per passare un `Attribute` elemento con l'`Name`attributo `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta [Passing session tag AWS STS in](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) the *IAM User Guide*.
Per passare gli attributi come tag di sessione, includi l'elemento `AttributeValue` che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tag`CostCenter = blue`, usa il seguente attributo.
```
blue
```
Se devi aggiungere più attributi, includi un `Attribute` elemento separato per ogni tag.
## Risoluzione dei problemi
Per la risoluzione generale dei problemi relativi a SCIM e SAML conPingOne, consulta le seguenti sezioni:
+ [Alcuni utenti non riescono a sincronizzarsi in IAM Identity Center da un provider SCIM esterno](troubleshooting.md#issue2)
+ [Problemi relativi al contenuto delle asserzioni SAML create da IAM Identity Center](troubleshooting.md#issue1)
+ [Errore duplicato di utenti o gruppi durante il provisioning di utenti o gruppi con un provider di identità esterno](troubleshooting.md#duplicate-user-group-idp)
+ [Per ulteriori informazioni suPingOne, consulta PingOne la documentazione.](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html)
Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS
+ [AWS re:Post](https://repost.aws/)- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.
+ [Supporto AWS](https://aws.amazon.com/premiumsupport/)- Richiedere supporto tecnico
# Configura l'accesso degli utenti con la directory IAM Identity Center predefinita
Quando abiliti IAM Identity Center per la prima volta, viene automaticamente configurato con una directory Identity Center come fonte di identità predefinita, quindi non devi scegliere una fonte di identità. Se la tua organizzazione utilizza un altro provider di identità come Microsoft Active DirectoryMicrosoft Entra ID, o Okta considera l'integrazione di tale fonte di identità con IAM Identity Center invece di utilizzare la configurazione predefinita.
**Obiettivo**
In questo tutorial, utilizzerai la directory predefinita come origine dell'identità e un'istanza dell'organizzazione IAM Identity Center per configurare e testare un utente amministrativo. Questo utente amministrativo crea e gestisce utenti e gruppi e concede AWS l'accesso con set di autorizzazioni. Nei passaggi successivi, creerai quanto segue:
+ Un utente amministrativo denominato *Nikki Wolf*
+ Un gruppo denominato *Admin team*
+ Un set di autorizzazioni denominato *AdminAccess*
Per verificare che tutto sia stato creato correttamente, devi accedere e impostare la password dell'utente amministrativo. Dopo aver completato questo tutorial, puoi utilizzare l'utente amministrativo per aggiungere altri utenti in IAM Identity Center, creare set di autorizzazioni aggiuntivi e configurare l'accesso organizzativo alle applicazioni. In alternativa, se desideri concedere agli utenti l'accesso all'applicazione, puoi seguire il [passaggio 1](#gs-qs-step1) di questa procedura e [configurare l'accesso all'applicazione](manage-your-applications.md).
## Prerequisiti
Per completare questo tutorial sono necessari i seguenti prerequisiti:
+ [Abilita IAM Identity Center](enable-identity-center.md)e dispongono di un'[istanza organizzativa di IAM Identity Center](organization-instances-identity-center.md).
+ Se disponi di un'[istanza di account](account-instances-identity-center.md) di IAM Identity Center, puoi creare utenti e gruppi e concedere loro l'accesso alle applicazioni. Per ulteriori informazioni, consulta [Accesso alle applicazioni](manage-your-applications.md).
+ Accedi Console di gestione AWS e accedi alla console IAM Identity Center come:
+ **Nuovo utente AWS (utente root)**: accedi come proprietario dell'account scegliendo **utente Account AWS root** e inserendo il tuo indirizzo Account AWS e-mail. Nella pagina successiva, inserisci la password.
+ **Già in uso AWS (credenziali IAM)**: accedi utilizzando le tue credenziali IAM con autorizzazioni amministrative.
+ [Per ulteriori informazioni sull'accesso a Console di gestione AWS, consulta la Guida.Accedi ad AWS](https://docs.aws.amazon.com//signin/latest/userguide/how-to-sign-in.html)
+ Puoi configurare l'autenticazione a più fattori per gli utenti del tuo IAM Identity Center. Per ulteriori informazioni, consulta [Configurazione della tecnologia MFA in IAM Identity Center](mfa-configure.md).
## Fase 1: Aggiungere un utente
1. Apri la [console Centro identità IAM](https://console.aws.amazon.com/singlesignon).
1. Nel riquadro di navigazione di IAM Identity Center, scegli **Utenti**, quindi seleziona **Aggiungi utente**.
1. Nella pagina **Specificare i dettagli dell'utente**, completa le seguenti informazioni:
+ **Nome utente**: per questo tutorial, inserisci*nikkiw*.
Quando crei utenti, scegli nomi utente facili da ricordare. Gli utenti devono ricordare il nome utente per accedere al portale di AWS accesso e non è possibile modificarlo in un secondo momento.
+ **Password**: scegli **Invia un'e-mail a questo utente con le istruzioni per l'impostazione della password (scelta consigliata)**.
Questa opzione invia all'utente un'e-mail indirizzata da Amazon Web Services, con l'oggetto **Invito a iscriversi a IAM Identity Center**. L'e-mail proviene da uno `no-reply@signin.aws` o`no-reply@login.awsapps.com`. Aggiungi questi indirizzi e-mail all'elenco dei mittenti approvati.
+ **Indirizzo e-mail**: inserisci un indirizzo e-mail per l'utente a cui puoi ricevere l'e-mail. Quindi, inseriscilo di nuovo per confermarlo. Ogni utente deve avere un indirizzo email univoco.
+ **Nome**: inserisci il nome dell'utente. Per questo tutorial, digita *Nikki*.
+ **Cognome**: inserisci il cognome dell'utente. Per questo tutorial, digita *Wolf*.
+ **Nome visualizzato**: il valore predefinito è il nome e il cognome dell'utente. Se desideri modificare il nome visualizzato, puoi inserire qualcosa di diverso. Il nome visualizzato è visibile nel portale di accesso e nell'elenco degli utenti.
+ Se lo desideri, completa le informazioni opzionali. Non viene utilizzato durante questo tutorial e puoi modificarlo in seguito.
1. Scegli **Next (Successivo)**. Viene visualizzata la pagina **Aggiungi utente ai gruppi**. Creeremo un gruppo a cui assegnare autorizzazioni amministrative invece di assegnarle direttamente. *Nikki*
**Scegli Crea gruppo**
Si apre una nuova scheda del browser per visualizzare la pagina **Crea gruppo**.
1. In **Dettagli del gruppo**, in **Nome del gruppo** inserisci un nome per il gruppo. Consigliamo un nome di gruppo che identifichi il ruolo del gruppo. Per questo tutorial, digita *Admin team*.
1. Scegli **Crea gruppo**
1. Chiudi la scheda del browser **Gruppi** per tornare alla scheda **Aggiungi browser utente**
1. Nell'area **Gruppi**, seleziona il pulsante **Aggiorna**. Il *Admin team* gruppo viene visualizzato nell'elenco.
Seleziona la casella di controllo accanto a*Admin team*, quindi scegli **Avanti**.
1. Nella pagina **Rivedi e aggiungi utente**, conferma quanto segue:
+ Le informazioni principali vengono visualizzate come previsto
+ Gruppi mostra l'utente aggiunto al gruppo che hai creato
Se vuoi apportare modifiche, seleziona **Edit (Precedente)**. Quando tutti i dettagli sono corretti, scegli **Aggiungi utente**.
Un messaggio di notifica ti informa che l'utente è stato aggiunto.
Successivamente, aggiungerai le autorizzazioni amministrative per il *Admin team* gruppo in modo che *Nikki* abbia accesso alle risorse.
## Passaggio 2: Aggiungere le autorizzazioni amministrative
**Importante**
Segui questi passaggi solo se hai abilitato un'[istanza organizzativa di IAM Identity Center](identity-center-instances.md).
1. Nel riquadro di navigazione di IAM Identity Center, in **Autorizzazioni multiaccount, scegli**. **Account AWS**
1. Nella **Account AWS**pagina, la **struttura organizzativa** mostra la tua organizzazione con i tuoi account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona **Assegna** utenti o gruppi.
1. Viene visualizzato il **flusso di lavoro Assegna utenti e gruppi**. Consiste in tre fasi:
1. Per il **passaggio 1: Seleziona utenti e gruppi**, scegli il *Admin team* gruppo che hai creato. Quindi scegli **Successivo**.
1. Per il **Passaggio 2: Seleziona i set di autorizzazioni****, scegli Crea set** di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.
1. Per la **Fase 1: Seleziona il tipo di set di autorizzazioni**, completa quanto segue:
+ In **Tipo di set di autorizzazioni**, scegli **Set di autorizzazioni predefinito**.
+ In **Politica per il set di autorizzazioni predefinito, scegli**. **AdministratorAccess**
Scegli **Next (Successivo)**.
1. Per la **Fase 2: Specificate i dettagli del set di autorizzazioni**, mantenete le impostazioni predefinite e scegliete **Avanti**.
Le impostazioni predefinite creano un set di autorizzazioni denominato *AdministratorAccess* con la durata della sessione impostata su un'ora. È possibile modificare il nome del set di autorizzazioni inserendo un nuovo nome nel campo **Nome del set di autorizzazioni**.
1. Per il **passaggio 3: revisione e creazione**, verifica che il **tipo di set di autorizzazioni** utilizzi la politica AWS gestita **AdministratorAccess**. Scegli **Create** (Crea). Nella pagina **Set di autorizzazioni** viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.
Nella scheda **Assegna utenti e gruppi** del browser, sei ancora al **Passaggio 2: Seleziona i set di autorizzazioni** da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.
Nell'area dei **set di autorizzazioni**, scegli il pulsante **Aggiorna**. Il set di *AdministratorAccess* autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo relativa al set di autorizzazioni, quindi scegli **Avanti**.
1. Nella pagina **Passo 3: Rivedi e invia le assegnazioni**, conferma che il *Admin team* gruppo sia selezionato e che il set di *AdministratorAccess* autorizzazioni sia selezionato, quindi scegli **Invia**.
La pagina si aggiorna con un messaggio che indica che Account AWS stai configurando. Attendi il completamento del processo.
Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato.
**Complimenti\$1**
Hai configurato correttamente il primo utente, gruppo e set di autorizzazioni.
Nella parte successiva di questo tutorial testerai *Nikki's* l'accesso accedendo al portale di AWS accesso con le loro credenziali amministrative e impostando la loro password. Esci subito dalla console.
## Fase 3: test dell'accesso utente
Ora che *Nikki Wolf* si tratta di un utente dell'organizzazione, può accedere e accedere alle risorse per le quali ha ottenuto l'autorizzazione in base al set di autorizzazioni. Per verificare che l'utente sia configurato correttamente, in questo passaggio successivo utilizzerai *Nikki's* le credenziali per accedere e impostare la sua password. Quando hai aggiunto l'utente *Nikki Wolf* nel passaggio 1, hai scelto di *Nikki* ricevere un'e-mail con le istruzioni per l'impostazione della password. È ora di aprire l'e-mail e fare quanto segue:
1. Nell'e-mail, seleziona il link **Accetta l'invito** per accettare l'invito.
**Nota**
L'e-mail include anche il nome *Nikki's* utente e l'URL del portale di AWS accesso che utilizzeranno per accedere all'organizzazione. Registra queste informazioni per utilizzi futuri.
Verrai indirizzato alla pagina di **registrazione di un nuovo utente** in cui puoi impostare *Nikki's* la password e [registrare il dispositivo MFA](enable-mfa.md).
1. Dopo aver impostato *Nikki's* la password, si passa alla pagina di **accesso**. Inserisci *nikkiw* e scegli **Avanti**, quindi inserisci *Nikki's* la password e scegli **Accedi**.
1. Si apre il portale di AWS accesso che mostra l'organizzazione e le applicazioni a cui puoi accedere.
Seleziona l'organizzazione per espanderla in un elenco Account AWS , quindi seleziona l'account per visualizzare i ruoli che puoi utilizzare per accedere alle risorse dell'account.
Ogni set di autorizzazioni dispone di due metodi di gestione che è possibile utilizzare, **ruoli** o **chiavi di accesso**.
+ **Ruolo**, ad esempio*AdministratorAccess*: apre il AWS Console Home.
+ **Chiavi di accesso**: forniscono credenziali che è possibile utilizzare con AWS CLI or e AWS SDK. Include le informazioni per l'utilizzo di credenziali a breve termine che si aggiornano automaticamente o chiavi di accesso a breve termine. Per ulteriori informazioni, consulta [Ottenere le credenziali utente di IAM Identity Center per o AWS CLI AWS SDKs](howtogetcredentials.md).
1. Scegli il link **Ruolo** per accedere a. AWS Console Home
Hai effettuato l'accesso e sei passato alla AWS Console Home pagina. Esplora la console e conferma di avere l'accesso previsto.
## Fasi successive
Ora che hai creato un utente amministrativo in IAM Identity Center, puoi:
+ [Assegna applicazioni](manage-your-applications.md)
+ [Aggiungi altri utenti](addusers.md)
+ [Assegna utenti agli account](assignusers.md)
+ [Configura set di autorizzazioni aggiuntivi](howtocreatepermissionset.md)
**Nota**
È possibile assegnare più set di autorizzazioni allo stesso utente. Per seguire la procedura ottimale di applicazione delle autorizzazioni con privilegi minimi, dopo aver creato l'utente amministrativo, create un set di autorizzazioni più restrittivo e assegnatelo allo stesso utente. In questo modo, puoi accedere al tuo solo Account AWS con le autorizzazioni necessarie, anziché con le autorizzazioni amministrative.
Dopo che gli utenti hanno [accettato l'invito](howtoactivateaccount.md) ad attivare il proprio account e hanno effettuato l' AWS accesso al portale di accesso, gli unici elementi che appaiono nel portale riguardano Account AWS i ruoli e le applicazioni a cui sono assegnati.
## Tutorial video
Come risorsa aggiuntiva, puoi utilizzare questi tutorial video per saperne di più sulla configurazione di provider di identità esterni:
+ [Migrazione tra provider di identità esterni in AWS IAM Identity Center](https://www.youtube.com/watch?v=A87tSiBdSnU)
+ [Federazione dell'istanza esistente AWS IAM Identity Center con Microsoft Entra ID](https://www.youtube.com/watch?v=iSCuTJNeN6c)