Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
Pré-requisitosConsiderações SCIMEtapa 1: Habilitar provisionamento no IAM Identity CenterEtapa 2: Configurar o provisionamento no CyberArk(Opcional) Etapa 3: Configurar os atributos do usuário no CyberArk para controle de acesso (ABAC) no IAM Identity Center (Opcional) Passar atributos para controle de acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Setting up SCIM provisioning between CyberArk and IAM Identity Center

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário do CyberArk Directory Platform no IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Você configura essa conexão no CyberArk usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no CyberArk aos atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e CyberArk.

Este guia é baseado em CyberArk a partir de agosto de 2021. As etapas para versões mais recentes podem variar. Este guia contém algumas notas sobre a configuração da autenticação do usuário por meio do SAML.

nota

Antes de começar a implantar o SCIM, é recomendável que você analise Considerações sobre o uso do provisionamento automático antes. Em seguida, continue analisando considerações adicionais na próxima seção.

Pré-requisitos

Você precisará do seguinte antes de começar:

  • CyberArk assinatura ou teste gratuito. Para se inscrever para um teste gratuito, visite CyberArk.

  • Uma conta habilitada para o IAM Identity Center (gratuita). Para obter mais informações, consulte Habilitar o IAM Identity Center.

  • Uma conexão SAML do seu CyberArk conta para o IAM Identity Center, conforme descrito em CyberArk documentação para o IAM Identity Center.

  • Associe o conector do IAM Identity Center às funções, usuários e organizações às quais você deseja permitir acesso a Contas da AWS.

Considerações SCIM

A seguir estão as considerações ao usar CyberArk federação para o IAM Identity Center:

  • Somente as funções mapeadas na seção Provisionamento do aplicativo serão sincronizadas com o IAM Identity Center.

  • O script de provisionamento é suportado somente em seu estado padrão. Uma vez alterado, o provisionamento do SCIM pode falhar.

    • Somente um atributo de número de telefone pode ser sincronizado e o padrão é “telefone comercial”.

  • Se o mapeamento de funções em CyberArk O aplicativo IAM Identity Center foi alterado, o comportamento abaixo é esperado:

    • Se os nomes das funções forem alterados, não haverá alterações nos nomes dos grupos no IAM Identity Center.

    • Se os nomes dos grupos forem alterados, novos grupos serão criados no IAM Identity Center, os grupos antigos permanecerão, mas não terão membros.

  • O comportamento de sincronização e desprovisionamento do usuário pode ser configurado a partir do CyberArk Aplicativo IAM Identity Center, certifique-se de configurar o comportamento certo para sua organização. Estas são as opções que você tem:

    • Substitua (ou não) usuários no diretório do Identity Center com o mesmo nome de entidade principal.

    • Desprovisione usuários do IAM Identity Center quando o usuário é removido do CyberArk papel.

    • Desprovisione o comportamento do usuário – desative ou exclua.

Etapa 1: Habilitar provisionamento no IAM Identity Center

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

Para habilitar o provisionamento automático no IAM Identity Center

  1. Depois de concluir os pré-requisitos, abra o console do IAM Identity Center.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  4. Na caixa de diálogo de provisionamento automático de entrada, copie o endpoint e o token de acesso do SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.

    1. Endpoint SCIM - Por exemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.

  5. Escolha Fechar.

Agora que você configurou o provisionamento no console do IAM Identity Center, você precisa concluir as tarefas restantes usando o CyberArk Aplicativo IAM Identity Center. Essas etapas são descritas no procedimento a seguir.

Etapa 2: Configurar o provisionamento no CyberArk

Use o procedimento a seguir no CyberArk Aplicativo IAM Identity Center para permitir o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o CyberArk Aplicativo IAM Identity Center para seu CyberArk console de administração em Aplicativos Web. Se você ainda não tiver feito isso, consulte Pré-requisitos e, em seguida, conclua este procedimento para configurar o provisionamento do SCIM.

Para configurar o provisionamento em CyberArk

  1. Abra as CyberArk Aplicativo IAM Identity Center que você adicionou como parte da configuração do SAML para CyberArk (Aplicativos > Aplicativo Web). Consulte Pré-requisitos.

  2. Escolha o aplicativo IAM Identity Center e vá para a seção Provisionamento.

  3. Marque a caixa Ativar provisionamento para este aplicativo e escolha Modo em tempo real.

  4. No procedimento anterior, você copiou o valor do endpoint SCIM do IAM Identity Center. Cole esse valor no campo URL do serviço SCIM, no CyberArk O aplicativo IAM Identity Center definiu o tipo de autorização como cabeçalho de autorização.

  5. Defina o Tipo de cabeçalho como Token do portador.

  6. No procedimento anterior, você copiou o valor do Token de acesso do IAM Identity Center. Cole esse valor no campo Token do portador no CyberArk Aplicativo IAM Identity Center.

  7. Clique em Verificar para testar e aplicar a configuração.

  8. Em Opções de sincronização, escolha o comportamento correto para o qual você deseja o provisionamento de saída CyberArk para trabalhar. Você pode optar por substituir (ou não) os usuários existentes do IAM Identity Center por um nome de entidade principal semelhante e pelo comportamento de desprovisionamento.

  9. Em Mapeamento de funções, configure o mapeamento de CyberArk funções, no campo Nome do grupo do IAM Identity Center, no Grupo de destino.

  10. Clique em Salvar na parte inferior quando terminar.

  11. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Usuários sincronizados de CyberArk aparecerá na página Usuários. Agora, esses usuários podem ser atribuídos a contas e se conectar ao IAM Identity Center.

(Opcional) Etapa 3: Configurar os atributos do usuário no CyberArk para controle de acesso (ABAC) no IAM Identity Center

Este é um procedimento opcional para CyberArk caso você opte por configurar atributos para o IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define em CyberArk são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou. CyberArk.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

Para configurar os atributos do usuário no CyberArk para controle de acesso no IAM Identity Center

  1. Abra as CyberArk Aplicativo IAM Identity Center que você instalou como parte da configuração do SAML para CyberArk (Aplicativos > Aplicativos da Web).

  2. Acesse a opção Resposta SAML.

  3. Em Atributos, adicione os atributos relevantes à tabela seguindo a lógica abaixo:

    1. Nome do atributo é o nome do atributo original de CyberArk.

    2. O Valor do atributo é o nome do atributo enviado na declaração SAML para o IAM Identity Center.

  4. Escolha Salvar.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.