本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Id IAM entity Center 与您建立联系 JumpCloud 目录平台
IAMIdentity Center 支持自动配置(同步)来自的用户信息 JumpCloud 目录平台进入IAM身份中心。此配置使用安全断言标记语言 (SAML) 2.0 协议。有关更多信息,请参阅 使用外部SCIM身份提供商SAML并与外部身份提供商进行身份联合。
您可以在中配置此连接 JumpCloud 使用您的IAM身份中心SCIM终端节点和访问令牌。配置SCIM同步时,可以在中创建用户属性的映射 JumpCloud 到 Ident IAM ity Center 中的命名属性。这会导致IAM身份中心和之间的预期属性匹配 JumpCloud.
本指南基于 JumpCloud 截至 2021 年 6 月。新版本的步骤可能有所不同。本指南包含一些有关通过配置用户身份验证的注意事项SAML。
以下步骤将引导您了解如何启用用户和群组的自动配置 JumpCloud 使用SCIM协议到IAM身份中心。
注意
在开始部署之前SCIM,我们建议您先查看使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
JumpCloud 订阅或免费试用。要注册免费试用,请访问 JumpCloud
. -
来自你的SAML连接 JumpCloud 账户到IAM身份中心,如中所述 JumpCloud IAM身份中心的文档
。 -
将 IAM Identity Center 连接器与您想要允许访问 AWS 帐户的群组相关联。
SCIM 注意事项
以下是使用时的注意事项 JumpCloud IAM身份中心联邦。
-
仅在中与 AWS 单点登录连接器关联的群组 JumpCloud 将与同步SCIM。
-
只能同步一种电话号码属性,默认为“工作电话”。
-
中的用户 JumpCloud 目录必须配置名字和姓氏才能与IAM身份中心同步SCIM。
-
如果用户在 Ident IAM ity Center 中被禁用但仍在中激活,则属性仍处于同步状态 JumpCloud.
-
您可以通过取消选中连接器中的 “启用用户组和群组成员资格管理” 来选择仅对用户信息启用SCIM同步。
步骤 1:在 Identity C IAM enter 中启用配置
在第一步中,您将使用 Ident IAM ity Center 控制台启用自动配置。
在 Ident IAM ity Center 中启用自动配置
-
完成先决条件后,打开 Identity C IAMenter 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。
-
在入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
-
SCIM端点 ——例如,https://scim。
us-east-2.amazonaws.com/ /scim/v211111111111-2222-3333-4444-555555555555 -
访问令牌 - 选择显示令牌以复制该值。
警告
这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。
-
-
选择关闭。
现在,您已经在 Ident IAM ity Center 控制台中设置了配置,您需要使用完成剩余的任务 JumpCloud IAM身份中心连接器。以下过程中描述了这些步骤。
步骤 2:在中配置配置 JumpCloud
在中使用以下步骤 JumpCloud IAM用于启用身份中心配置的IAM身份中心连接器。此过程假设您已经添加了 JumpCloud IAM与您的身份中心连接器 JumpCloud 管理员门户和群组。如果您尚未执行此操作,请参阅先决条件,然后完成此过程以配置SCIM配置。
要在中配置配置 JumpCloud
-
打开 JumpCloud IAM您在配置SAML时安装的 Identity Center 连接器 JumpCloud (用户身份验证 > IAM身份中心)。请参阅 先决条件。
-
选择 IAMIdentity Center 连接器,然后选择第三个选项卡 “身份管理”。
-
如果您希望群组SCIM同步,请选中 “启用此应用程序中的用户组和群组成员资格的管理” 复选框。
-
单击配置。
-
在前面的步骤中,您在IAM身份中心中复制了SCIM终端节点值。将该值粘贴到 “基数 URL” 字段中 JumpCloud IAM身份中心连接器。
-
在前面的步骤中,您在IAM身份中心中复制了访问令牌值。将该值粘贴到 “令牌密钥” 字段中 JumpCloud IAM身份中心连接器。
-
单击激活以应用配置。
-
确保单点登录旁边有一个绿色指示器已激活。
-
移至第四个选项卡 “用户组”,选中要配置的SCIM群组。
-
完成后点击底部的保存。
-
要验证用户是否已成功同步到 Ident IAM ity Center,请返回IAM身份中心控制台并选择 “用户”。已同步的用户来自 JumpCloud 显示在 “用户” 页面上。现在可以将这些用户分配给 Identity C IAM enter 中的帐户。
(可选)步骤 3:在中配置用户属性 JumpCloud 用于IAM身份中心中的访问控制
这是一项可选程序 JumpCloud 是否应选择为 Ident IAM ity Center 配置属性以管理对 AWS 资源的访问权限。您在中定义的属性 JumpCloud 以SAML断言形式传递给IAM身份中心。然后,您可以在 Ident IAM ity Center 中创建一个权限集,以根据您传递的属性来管理访问权限 JumpCloud.
在开始此过程之前,您必须首先启用访问控制功能的属性。有关如何执行此操作的详细信息,请参阅启用和配置访问控制属性。
要在中配置用户属性 JumpCloud 用于IAM身份中心中的访问控制
-
打开 JumpCloud IAM您在配置SAML时安装的 Identity Center 连接器 JumpCloud (用户身份验证 > IAM身份中心)。
-
选择IAM身份中心连接器。然后,选择第二个选项卡 “IAM身份中心”。
-
在此选项卡的底部有 “用户属性映射”,选择 “添加新属性”,然后执行以下操作:必须对要添加的每个属性执行以下步骤,以便在 Ident IAM ity Center 中使用以进行访问控制。
-
在 “服务提供者属性名称” 字段中,输入 “
https://aws.amazon.com/SAML/Attributes/AccessControl:替换”,AttributeName.AttributeNamehttps://aws.amazon.com/SAML/Attributes/AccessControl:。Email -
在 JumpCloud “属性名称” 字段,从您的 JumpCloud 目录。例如,电子邮件(工作)。
-
-
选择保存。
(可选)传递访问控制属性
您可以选择使用 Ident IAM ity Center 中的访问控制属性功能来传递Name属性设置为的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:。此元素允许您在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 AWS STS中的传递会话标签。{TagKey}
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。
