PingOne - AWS IAM Identity Center
先决条件注意事项步骤 1:在 IAM Identity Center 中启用预置步骤 2:在中配置配置 PingOne(可选)步骤 3:在中配置用户属性 PingOne 用于在 IAM 身份中心进行访问控制(可选)传递访问控制属性故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

PingOne

IAM 身份中心支持自动配置(同步)来自的用户信息 PingOne 产品由 Ping Identity (以后”Ping”) 进入 IAM 身份中心。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以在中配置此连接 PingOne 使用您的 IAM 身份中心 SCIM 终端节点和访问令牌。配置 SCIM 同步时,可以在中创建用户属性的映射 PingOne 到 IAM 身份中心中的命名属性。这会导致 IAM 身份中心和之间的预期属性匹配 PingOne.

以下步骤将引导您了解如何从中启用自动配置用户 PingOne 使用 SCIM 协议到 IAM 身份中心。

注意

在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。

先决条件

在开始之前,您需要具备以下条件:

  • A PingOne 订阅或免费试用,同时具有联合身份验证和配置功能。有关如何获得免费试用的更多信息,请参阅 Ping Identity网站。

  • 支持 IAM Identity Center 的帐户(免费)。有关更多信息,请参阅启用 IAM Identity Center

  • 这些区域有:PingOne 已将 IAM 身份中心应用程序添加到您的 PingOne 管理员门户。你可以获得 PingOne 来自 IAM 身份中心应用程序 PingOne 应用程序目录。有关一般信息,请参阅上的 “应用程序目录” 中添加应用程序 Ping Identity 网站。

  • 来自你的 SAML 连接 PingOne 实例到 IAM 身份中心。之后 PingOne IAM 身份中心应用程序已添加到您的 PingOne 管理员门户,你必须使用它来配置来自你的 SAML 连接 PingOne 实例到 IAM 身份中心。使用两端的 “下载” 和 “导入” 元数据功能在两端之间交换 SAML 元数据 PingOne 和 IAM 身份中心。有关如何配置此连接的说明,请参阅 PingOne 文档中)。

注意事项

以下是以下方面的重要注意事项 PingOne 这可能会影响您使用 IAM 身份中心实现配置的方式。

  • PingOne 不支持通过 SCIM 配置群组。联系人 Ping 获取有关 SCIM 中小组支持的最新信息 PingOne.

  • 用户可以继续从以下位置进行配置 PingOne 在中禁用配置后 PingOne 管理员门户。如果您需要立即终止预置,请删除相关 SCIM 持有者令牌,和/或在 IAM Identity Center 中禁用 使用 SCIM 将外部身份提供商用户和群组配置到 IAM 身份中心

  • 如果从中配置的数据存储中删除了用户的属性 PingOne,则该属性不会从 IAM Identity Center 中的相应用户中删除。这是一个已知的限制 PingOne’s 供应器实现。如果修改属性,更改将同步到 IAM Identity Center。

  • 以下是有关您的 SAML 配置的重要注意事项 PingOne:

    • IAM Identity Center 仅支持 emailaddress 作为 NameId 格式。这意味着你需要选择一个在你的目录中唯一的用户属性 PingOne,非空,格式为电子邮件/UPN(例如,user@domain.com),用于你的 SAML_SUBJECT 映射 PingOne。 电子邮件(工作)是用于测试配置的合理值 PingOne 内置目录。

    • 中的用户 PingOne 使用包含 + 字符的电子邮件地址可能无法登录 IAM Identity Center,错误如'SAML_215''Invalid input'。要解决这个问题,请在 PingOne,在 “属性映射” 中为 SAML_ SUBJECT 映射选择 “高级” 选项。然后将姓名 ID 格式设置为发送到 SP: to urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress在下拉菜单中。

步骤 1:在 IAM Identity Center 中启用预置

在第一步中,您使用 IAM Identity Center 控制台启用自动预置。

在 IAM Identity Center 中启用自动预置

  1. 完成先决条件后,打开 IAM Identity Center 控制台

  2. 在左侧导航窗格中选择设置

  3. 设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。

  4. 入站自动配置对话框中,复制 SCIM 端点和访问令牌。稍后在 IdP 中配置配置时,您需要将其粘贴到其中。

    1. SCIM 端点 ——例如,https://scim。 us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. 访问令牌 - 选择显示令牌以复制该值。

    警告

    这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。

  5. 选择关闭

现在,您已经在 IAM Identity Center 控制台中设置了配置,您需要使用完成剩余的任务 PingOne IAM 身份中心应用程序。以下过程中描述了这些步骤。

步骤 2:在中配置配置 PingOne

在中使用以下步骤 PingOne IAM 身份中心应用程序,用于启用 IAM 身份中心进行预配置。此过程假设您已经添加了 PingOne 您的 IAM 身份中心应用程序 PingOne 管理员门户。如果您尚未执行此操作,请参阅 先决条件,然后完成此过程来配置 SCIM 预置。

要在中配置配置 PingOne

  1. 打开 PingOne 您在配置 SAML 时安装的 IAM 身份中心应用程序 PingOne (“应用程序” > “我的应用程序”)。请参阅 先决条件

  2. 滚动到页面底部。在用户预置下,选择完整链接以导航到连接的用户预置配置。

  3. 预置说明页面上,选择继续下一步

  4. 在上一过程中,您复制了 IAM Identity Center 中的 SCIM 端点值。将该值粘贴到 SCIM 网址字段中 PingOne IAM 身份中心应用程序。此外,在之前的过程中,您复制了 IAM Identity Center 中的访问令牌值。将该值粘贴到 ACC ESS_TOKEN 字段中 PingOne IAM 身份中心应用程序。

  5. 对于 REMOVE_ACTION,选择已禁用已删除(有关更多详细信息,请参阅页面上的说明文本)。

  6. 属性映射页面上,按照本页面前面的 注意事项 中的指导,选择用于 SAML_SUBJECT (NameId) 断言的值。然后选择继续下一步

  7. 在存储库的 PingOne 应用程序自定义-IAM Identity Center 页面,进行任何所需的自定义更改(可选),然后单击 “继续下一步”。

  8. 组访问权限页面上,选择包含您想要启用的用户组,以便预置和单点登录 IAM Identity Center。选择继续下一步

  9. 滚动到页面底部,然后选择完成,开始预置。

  10. 要验证用户是否已成功同步到 IAM Identity Center,请返回 IAM Identity Center 控制台并选择用户。已同步的用户来自 PingOne 将显示在 “用户” 页面上。现在可以将这些用户分配给 IAM Identity Center 内的帐户和应用程序。

    记住那个 PingOne 不支持通过 SCIM 配置群组或群组成员资格。联系人 Ping 了解更多信息。

(可选)步骤 3:在中配置用户属性 PingOne 用于在 IAM 身份中心进行访问控制

这是一项可选程序 PingOne 如果您选择为 IAM Identity Center 配置属性来管理对 AWS 资源的访问权限。您在中定义的属性 PingOne 以 SAML 断言的形式传递给 IAM 身份中心。然后,您可以在 IAM Identity Center 中创建权限集,以根据您传递的属性管理访问权限 PingOne.

在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

要在中配置用户属性 PingOne 用于在 IAM 身份中心进行访问控制

  1. 打开 PingOne 您在配置 SAML 时安装的 IAM 身份中心应用程序 PingOne (“应用程序” > “我的应用程序”)。

  2. 选择编辑,然后选择继续下一步,直到进入属性映射页面。

  3. 属性映射页上,选择添加新属性,然后执行以下操作。您必须对要添加的每个属性执行这些步骤,以便在 IAM Identity Center 中使用以进行访问控制。

    1. 应用程序属性 字段中输入 https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeNameAttributeName 替换为您在 IAM Identity Center 中期望的属性的名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Email

    2. Identity Bridge 属性或文字值字段中,从您的 PingOne 目录。例如,电子邮件(工作)

  4. 选择下一步几次,然后选择完成

(可选)传递访问控制属性

您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 AWS STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。

故障排除

有关一般的 SCIM 和 SAML 故障排除 PingOne,请参阅以下章节:

以下资源可以帮助您在使用时进行故障排除 AWS:

  • AWS re:Post-查找 FAQs 并链接到其他资源以帮助您解决问题。

  • AWS 支持 – 获得技术支持