本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM 身份中心支持自动配置(同步)来自的用户信息 CyberArk Directory Platform 进入 IAM 身份中心。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。有关更多信息,请参阅 对外部身份提供者使用 SAML 和 SCIM 身份联合验证。
您可以在中配置此连接 CyberArk 使用您的 IAM 身份中心 SCIM 终端节点和访问令牌。配置 SCIM 同步时,可以在中创建用户属性的映射 CyberArk 到 IAM 身份中心中的命名属性。这会导致 IAM 身份中心和之间的预期属性匹配 CyberArk.
本指南基于 CyberArk 截至 2021 年 8 月。新版本的步骤可能有所不同。本指南包含一些有关通过 SAML 配置用户身份验证的说明。
注意
在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
CyberArk 订阅或免费试用。要注册免费试用,请访问 CyberArk
. -
支持 IAM Identity Center 的帐户(免费
)。有关更多信息,请参阅启用 IAM Identity Center。 -
来自你的 SAML 连接 CyberArk 账户到 IAM 身份中心,如中所述 CyberArk IAM 身份中心的文档
。 -
将 IAM Identity Center 连接器与您想要允许访问 AWS 账户的角色、用户和组织相关联。
SCIM 注意事项
以下是使用时的注意事项 CyberArk IAM 身份中心的联合:
-
只有应用程序预置部分中映射的角色才会同步到 IAM Identity Center。
-
配置脚本仅在默认状态下受支持,一旦更改,SCIM 预置可能会失败。
-
只能同步一种电话号码属性,默认为“工作电话”。
-
-
如果角色映射在 CyberArk IAM 身份中心应用程序已更改,预计会出现以下行为:
-
如果角色名称发生更改——IAM Identity Center 中的组名称不会发生更改。
-
如果组名称发生更改——将在 IAM Identity Center 中创建新组,旧组将保留,但没有成员。
-
-
可以从中设置用户同步和取消配置行为 CyberArk IAM Identity Center 应用程序,请确保为组织设置了正确的行为。您可以选择以下选项:
-
覆盖(或不覆盖)Identity Center 目录中具有相同主体名称的用户。
-
将用户从 IAM 身份中心移除后,从 IAM 身份中心取消对用户的配置 CyberArk 角色。
-
取消配置用户行为——禁用或删除。
-
步骤 1:在 IAM Identity Center 中启用预置
在第一步中,您使用 IAM Identity Center 控制台启用自动预置。
在 IAM Identity Center 中启用自动预置
-
完成先决条件后,打开 IAM Identity Center 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。
-
在入站自动配置对话框中,复制 SCIM 端点和访问令牌。稍后在 IdP 中配置配置时,您需要将其粘贴到其中。
-
SCIM 端点 ——例如,https://scim。
us-east-2.amazonaws.com/ /scim/v211111111111-2222-3333-4444-555555555555 -
访问令牌 - 选择显示令牌以复制该值。
警告
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。
-
-
选择关闭。
现在,您已经在 IAM Identity Center 控制台中设置了配置,您需要使用完成剩余的任务 CyberArk IAM 身份中心应用程序。以下过程中描述了这些步骤。
步骤 2:在中配置配置 CyberArk
在中使用以下步骤 CyberArk IAM 身份中心应用程序,用于启用 IAM 身份中心进行预配置。此过程假设您已经添加了 CyberArk 您的 IAM 身份中心应用程序 CyberArk Web 应用程序下的管理员控制台。如果您尚未执行此操作,请参阅 先决条件,然后完成此过程以配置 SCIM 预置。
要在中配置配置 CyberArk
-
打开 CyberArk 您在配置 SAML 时添加的 IAM 身份中心应用程序 CyberArk (应用程序 > Web 应用程序)。请参阅 先决条件。
-
选择 IAM Identity Center 应用程序并转到预置部分。
-
选中启用此应用程序的预置框并选择实时模式。
-
在前面的过程中,您从 IAM Identity Center 复制了 SCIM 端点值。将该值粘贴到 SCIM 服务网址字段中的 CyberArk IAM Identity Center 应用程序将授权类型设置为授权标头。
-
将标头类型设置为持有者令牌。
-
在上一过程中,您复制了 IAM Identity Center 中的访问令牌值。将该值粘贴到 “持有者代币” 字段中 CyberArk IAM 身份中心应用程序。
-
单击验证以测试和应用配置。
-
在 “同步选项” 下,选择要从中进行出站配置的正确行为 CyberArk 去工作。您可以选择覆盖(或不覆盖)具有相似主体名称和取消预置行为的现有 IAM Identity Center 用户。
-
在 “角色映射” 下设置映射 CyberArk 角色,在 IAM Identity Center 组的名称字段下,在目标组下。
-
完成后点击底部的保存。
-
要验证用户是否已成功同步到 IAM Identity Center,请返回 IAM Identity Center 控制台并选择用户。同步的用户来自 CyberArk 将显示在 “用户” 页面上。现在可以将这些用户分配给帐户并可以在 IAM Identity Center 中进行连接。
(可选)步骤 3:在中配置用户属性 CyberArk 用于 IAM 身份中心的访问控制 (ABAC)
这是一个可选程序 CyberArk 您是否选择为 IAM 身份中心配置属性以管理对 AWS 资源的访问权限。您在中定义的属性 CyberArk 以 SAML 断言的形式传递给 IAM 身份中心。然后,您可以在 IAM Identity Center 中创建权限集,以根据您传递的属性管理访问权限 CyberArk.
在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性。
要在中配置用户属性 CyberArk 用于在 IAM 身份中心进行访问控制
-
打开 CyberArk 您在配置 SAML 时安装的 IAM 身份中心应用程序 CyberArk (“应用程序” > “网络应用程序”)。
-
转至 SAML 响应选项。
-
在属性下,按照以下逻辑将相关属性添加到表中:
-
属性名称是来自的原始属性名称 CyberArk.
-
属性值是在 SAML 断言中发送到 IAM Identity Center 的属性名称。
-
-
选择保存。
(可选)传递访问控制属性
您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl: 的 {TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 AWS STS中的传递会话标签。
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。
