PingOne - AWS IAM Identity Center
Pré-requisitosConsiderações adicionaisEtapa 1: Habilitar provisionamento no IAM Identity CenterEtapa 2: Configure o provisionamento no PingOne(Opcional) Etapa 3: configure atributos do usuário no PingOne para controle de acesso no IAM Identity Center(Opcional) Passar atributos para controle de acesso

PingOne

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário a partir do produto PingOne do Ping Identity (doravante “Ping“) para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Você configura essa conexão no PingOne usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no PingOne para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e PingOne.

Este guia é baseado no PingOne em outubro de 2020. As etapas para versões mais recentes podem variar. Entre em contato com o Ping para obter mais informações sobre como configurar o provisionamento no IAM Identity Center para outras versões do PingOne. Este guia também contém algumas notas sobre a configuração da autenticação do usuário por meio do SAML.

As etapas a seguir explicam como ativar o provisionamento automático de usuários do PingOne para o IAM Identity Center usando o protocolo SCIM.

nota

Antes de começar a implantar o SCIM, é recomendável que você analise Considerações sobre o uso do provisionamento automático antes. Em seguida, continue analisando considerações adicionais na próxima seção.

Pré-requisitos

Você precisará do seguinte antes de começar:

  • Uma assinatura ou teste gratuito do PingOne, com recursos de autenticação federada e provisionamento. Para obter mais informações sobre como obter um teste gratuito, consulte o site do Ping Identity.

  • Uma conta habilitada para o IAM Identity Center (gratuita). Para obter mais informações, consulte Habilitar o IAM Identity Center.

  • O aplicativo IAM Identity Center do PingOne foi adicionado ao seu portal de administrador do PingOne. Você pode obter o aplicativo IAM Identity Center do PingOne no catálogo de aplicativos do PingOne. Para obter informações gerais, consulte Adicionar um aplicativo do catálogo de aplicativos no site do Ping Identity.

  • Uma conexão SAML da sua instância do PingOne com o IAM Identity Center. Depois que o aplicativo IAM Identity Center do PingOne for adicionado ao seu portal administrativo do PingOne, você deverá usá-lo para configurar uma conexão SAML da sua instância do PingOne com o IAM Identity Center. Use o recurso de “baixar” e “importar” metadados nas duas extremidades para trocar metadados SAML entre o PingOne e o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingOne.

Considerações adicionais

A seguir estão considerações importantes sobre o PingOne que podem afetar a forma como você implementa o provisionamento com o IAM Identity Center.

  • Em outubro de 2020, o PingOne não oferece suporte ao provisionamento de grupos por meio do SCIM. Entre em contato com o Ping para obter as informações mais recentes sobre suporte de grupo no SCIM do PingOne.

  • Os usuários podem continuar sendo provisionados no PingOne após a desativação do provisionamento no portal administrativo do PingOne. Se você precisar encerrar o provisionamento imediatamente, exclua o token portador do SCIM relevante e/ou desative Provisionamento de um provedor de identidades externo no IAM Identity Center usando SCIM no IAM Identity Center.

  • Se um atributo for removido de um usuário no armazenamento de dados configurado no PingOne, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingOne’s. Se um atributo for modificado, a alteração será sincronizada com o IAM Identity Center.

  • A seguir estão observações importantes sobre sua configuração de SAML no PingOne:

    • O IAM Identity Center é compatível somente como emailaddress no formato NameId. Isso significa que você precisa escolher um atributo de usuário que seja exclusivo em seu diretório no PingOne, não nulo e formatado como um e-mail/UPN (por exemplo, user@domain.com) para seu mapeamento SAML_SUBJECT no PingOne. E-mail (comercial) é um valor razoável para usar em configurações de teste com o diretório integrado do PingOne.

    • Usuários do PingOne com um endereço de e-mail contendo um caractere + podem não conseguir entrar no IAM Identity Center, apresentando erros como 'SAML_215' ou 'Invalid input'. Para corrigir isso, no PingOne, escolha a opção Avançado para o mapeamento SAML_SUBJECT em Mapeamentos de atributos. Em seguida, defina o Formato de ID do Nome para enviar para SP: para urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress no menu suspenso.

Etapa 1: Habilitar provisionamento no IAM Identity Center

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

Para habilitar o provisionamento automático no IAM Identity Center

  1. Depois de concluir os pré-requisitos, abra o console do IAM Identity Center.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, localize a caixa de informações Provisionamento automático e selecione Habilitar. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

  4. Na caixa de diálogo Provisionamento automático de entrada, copie cada um dos valores para as opções a seguir. Você precisará colá-los posteriormente ao configurar o provisionamento em seu IdP.

    1. SCIM endpoint - por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.

  5. Escolha Fechar.

Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o aplicativo IAM Identity Center do PingOne. Essas etapas são descritas no procedimento a seguir.

Etapa 2: Configure o provisionamento no PingOne

Use o procedimento a seguir no aplicativo IAM Identity Center do PingOne para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o aplicativo IAM Identity Center do PingOne ao seu console de administração do PingOne. Se você ainda não tiver feito isso, consulte Pré-requisitos e conclua este procedimento para configurar o provisionamento do SCIM.

Para configurar o provisionamento no PingOne

  1. Abra o aplicativo IAM Identity Center do PingOne que você instalou como parte da configuração do SAML para o PingOne (Aplicativos > Meus aplicativos). Consulte Pré-requisitos.

  2. Role até o final da página. Em Provisionamento de usuários, escolha o link completo para navegar até a configuração de provisionamento de usuários da sua conexão.

  3. Na página Instruções de provisionamento, escolha Continuar para a próxima etapa.

  4. No procedimento anterior, você copiou o valor do endpoint SCIM do IAM Identity Center. Cole esse valor no campo URL do SCIM no aplicativo IAM Identity Center do PingOne. Além disso, no procedimento anterior, você copiou o valor do Token de acesso do IAM Identity Center. Cole esse valor no campo ACCESS_TOKEN no aplicativo IAM Identity Center do PingOne.

  5. Para REMOVE_ACTION, escolha Desabilitado ou Excluído (consulte o texto descritivo na página para obter mais detalhes).

  6. Na página Mapeamento de atributos, escolha um valor a ser usado para a declaração SAML_SUBJECT (NameId), seguindo as orientações do Considerações adicionais no início desta página. Em seguida, selecione Avançar para a próxima etapa.

  7. Na página PingOne App Customization - IAM Identity Center, faça as alterações de personalização desejadas (opcional) e clique em Continuar para a próxima etapa.

  8. Na página Acesso ao grupo, escolha os grupos que contêm os usuários que você gostaria de habilitar para provisionamento e login único no IAM Identity Center. Selecione Avançar para a próxima etapa.

  9. Navegue até o final da página e escolha Finalizar para iniciar o provisionamento.

  10. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha Usuários. Os usuários sincronizados do PingOne aparecerão na página Usuários. Agora, esses usuários podem ser atribuídos a contas e e aplicativos no IAM Identity Center.

    Lembre-se de que o PingOne não oferece suporte ao provisionamento de grupos ou associações de grupos por meio do SCIM. Entre em contato Ping para obter mais informações.

(Opcional) Etapa 3: configure atributos do usuário no PingOne para controle de acesso no IAM Identity Center

Esse é um procedimento opcional PingOne se você optar por configurar atributos do IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define no PingOne são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do ‭PingOne.

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo Atributos para controle de acesso. Para obter mais informações sobre como fazer isso, consulte Habilite e configure atributos para controle de acesso.

Para configurar atributos do usuário em PingOne para controle de acesso no IAM Identity Center

  1. Abra o aplicativo IAM Identity Center do PingOne que você instalou como parte da configuração do SAML para o PingOne (Aplicativos > Meus aplicativos).

  2. Escolha Editar e, em seguida, escolha Avançar para a próxima etapa até chegar à página Mapeamentos de atributos.

  3. Na página Mapeamentos de atributos, escolha Adicionar novo atributo e faça o seguinte. Você deve executar essas etapas para cada atributo que adicionar para usar no IAM Identity Center para controle de acesso.

    1. No campo Atributo do aplicativo, insira https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName. Substitua Nome do atributo pelo nome do atributo que você espera no IAM Identity Center. Por exemplo, https://aws.amazon.com/SAML/Attributes/AccessControl:Email.

    2. No campo Atributo da ponte de identidade ou Valor literal, escolha os atributos do usuário em seu diretório do PingOne. Por exemplo, E-mail (trabalho).

  4. Escolha Próximo algumas vezes e, em seguida, escolha Finalizar.

(Opcional) Passar atributos para controle de acesso

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.