使用 IAM Identity Center 与 JumpCloud 目录平台连接
IAM Identity Center 支持将用户信息从 JumpCloud Directory Platform 自动预置(同步)到 IAM Identity Center。此预置使用安全断言标记语言(SAML)2.0协议。有关更多信息,请参阅 对外部身份提供者使用 SAML 和 SCIM 身份联合验证。
您可以使用 IAM Identity Center SCIM 端点和访问令牌在 JumpCloud 中配置此连接。配置 SCIM 同步时,您将在 JumpCloud 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 JumpCloud 之间的预期属性匹配。
本指南基于截至 2021 年 6 月的 JumpCloud。新版本的步骤可能有所不同。本指南包含一些有关通过 SAML 配置用户身份验证的说明。
以下步骤将引导您了解如何使用 SCIM 协议将用户和组从 JumpCloud 自动预置到 IAM Identity Center。
注意
在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
JumpCloud 订阅或免费试用。报名参加免费试用访问 JumpCloud
。 -
支持 IAM Identity Center 的帐户(免费
)。有关更多信息,请参阅启用 IAM Identity Center。 -
从您的 JumpCloud 帐户到 IAM Identity Center 的 SAML 连接,如 IAM Identity Center JumpCloud 文档
中所述。 -
将 IAM Identity Center 连接器与您想要允许访问 AWS 帐户的组关联。
SCIM 注意事项
以下是使用 IAM Identity Center 联合身份验证 JumpCloud 时的注意事项。
-
只有与 JumpCloud 中的 AWS 单点登录连接器关联的组才会与 SCIM 同步。
-
只能同步一种电话号码属性,默认为“工作电话”。
-
JumpCloud 目录中的用户必须配置名字和姓氏才能使用 SCIM 同步到 IAM Identity Center。
-
如果用户在 IAM Identity Center 中被禁用但在 JumpCloud 中仍然激活,属性仍然会同步。
-
您可以通过取消选中连接器中的“启用用户组和组成员身份管理”来选择仅对用户信息启用 SCIM 同步。
步骤 1:在 IAM Identity Center 中启用预置
在第一步中,您使用 IAM Identity Center 控制台启用自动预置。
在 IAM Identity Center 中启用自动预置
-
完成先决条件后,打开 IAM Identity Center 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。
-
在入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
-
SCIM 端点:例如,https://scim.
us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2 -
访问令牌 - 选择显示令牌以复制该值。
警告
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。
-
-
选择关闭。
现在您已在 IAM Identity Center 控制台中设置了预配置,您需要使用 JumpCloud IAM Identity Center 连接器完成剩余任务。以下过程中描述了这些步骤。
步骤2:在 JumpCloud 中配置预置
在 JumpCloud IAM Identity Center 连接器中使用以下过程以启用 IAM Identity Center 预置。此过程假设您已将 JumpCloud IAM Identity Center 连接器添加到您的 JumpCloud 管理门户和组。如果您尚未执行此操作,请参阅 先决条件,然后完成此过程来配置 SCIM 预置。
要在 JumpCloud 中配置预置
-
打开您在为 JumpCloud 配置 SAML 过程中安装的 JumpCloud IAM Identity Center 连接器(用户身份验证 > IAM Identity Center)。请参阅 先决条件。
-
选择 IAM Identity Center 连接器,然后选择第三个选项卡身份管理。
-
如果您希望组 SCIM 同步,请选中启用此应用程序中的用户组和组成员身份管理复选框。
-
单击配置。
-
在上一过程中,您复制了 IAM Identity Center 中的 SCIM 端点值。将该值粘贴到 JumpCloud IAM Identity Center 连接器的基本 URL 字段中。
-
在上一过程中,您复制了 IAM Identity Center 中的访问令牌值。将该值粘贴到 JumpCloud IAM Identity Center 连接器中的令牌密钥字段中。
-
单击激活以应用配置。
-
确保单点登录旁边有一个绿色指示器已激活。
-
移至第四个选项卡用户组并检查要使用 SCIM 配置的组。
-
完成后点击底部的保存。
-
要验证用户是否已成功同步到 IAM Identity Center,请返回 IAM Identity Center 控制台并选择用户。来自 JumpCloud 的同步用户出现在用户页面上。现在可以将这些用户分配到 IAM Identity Center 内的帐户。
(可选)第三步:在 JumpCloud IAM Identity Center 中配置用户属性进行访问控制
如果您选择配置 IAM Identity Center 的属性来管理对 AWS 资源的访问,则这是 JumpCloud 的可选过程。您在 JumpCloud 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后,您在 IAM Identity Center 中创建权限集,以根据您从 JumpCloud 传递的属性管理访问权限。
在开始此过程之前,您必须首先启用访问控制功能的属性。有关如何执行此操作的详细信息,请参阅启用和配置访问控制属性。
要在 JumpCloud 中配置用户属性,用于 IAM Identity Center 的访问控制
-
打开您在为 JumpCloud 配置 SAML 过程中安装的 JumpCloud IAM Identity Center 连接器(用户身份验证 > IAM Identity Center)。
-
选择 IAM Identity Center 连接器。然后,选择第二个选项卡 IAM Identity Center。
-
在此选项卡底部,您可以选择用户属性映射,选择添加新属性,然后执行以下操作: 您必须对要添加以在 IAM Identity Center 中用于访问控制的每个属性执行这些步骤。
-
在服务提供属性名称字段中,输入
https://aws.amazon.com/SAML/Attributes/AccessControl:将AttributeName.AttributeNamehttps://aws.amazon.com/SAML/Attributes/AccessControl:。Email -
在 JumpCloud 属性名称字段中,从 JumpCloud 目录中选择用户属性。例如,电子邮件(工作)。
-
-
选择保存。
(可选)传递访问控制属性
您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl: 的 {TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 AWS STS 中的传递会话标签。
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。
