使用IAM身分識別中心與您的JumpCloud目錄平台連線 - AWS IAM Identity Center
必要條件SCIM考量步驟 1:在IAM身分識別中心啟用佈建步驟 2:配置佈建 JumpCloud(選用) 步驟 3:在中設定使用者屬性以便在IAM身分識別中心中JumpCloud進行存取控制 (選擇性) 傳遞屬性以進行存取控制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用IAM身分識別中心與您的JumpCloud目錄平台連線

IAMIdentity Center 支援將使用者資訊從JumpCloud目錄平台自動佈建 (同步處理) 到IAM身分識別中心。此佈建使用安全性宣告標記語言 (SAML) 2.0 通訊協定。您可以在JumpCloud使用IAM身分識別中心SCIM端點和存取權杖中設定此連線。設定SCIM同步時,您可JumpCloud以在中建立使用者屬性與 IAM Identity Center 中具名屬性的對應。這會導致IAM身分識別中心和之間的預期屬性相符JumpCloud。

本指南以截至 2021 年 6 月JumpCloud為止。較新版本的步驟可能會有所不同。本指南包含一些關於通過配置用戶身份驗證的注意事項SAML。

下列步驟將逐步引導您如何使用通SCIM訊協定啟用從 JumpCloud IAM Identity Center 自動佈建使用者和群組。

注意

在開始部署之前SCIM,建議您先檢閱使用自動佈建的考量. 然後繼續檢閱下一節中的其他考量。

必要條件

在開始之前,您將需要以下內容:

  • JumpCloud訂閱或免費試用。註冊免費試用訪問JumpCloud

  • 已啟用IAM身分識別中心的帳戶 (免費)。如需詳細資訊,請參閱啟用IAM身分識別中心

  • 從您的JumpCloud帳戶到IAM身分識別中心的SAML連線,如身分IAM識別中心的JumpCloud文件中所述。

  • 將IAM身分識別中心連接器與您要允許存取 AWS 帳戶的群組建立關聯。

SCIM考量

以下是使用IAM身分識別中心的JumpCloud聯合時的考量事項。

  • 只有與中的「 AWS 單一登入」連接器相關聯的群組才JumpCloud會與同步處理SCIM。

  • 只能同步一個電話號碼屬性,預設值為「公司電話」。

  • JumpCloud目錄中的使用者必須將名字和姓氏設定為與 IAM Identity Center 同步處理SCIM。

  • 如果在IAM身分識別中心中停用使用者,但仍在中啟用,則屬性仍會同步JumpCloud。

  • 您可以取消勾選連接器中的 [啟用使用者群組和群組成員資格管理],以選擇僅啟用使用者資訊的SCIM同步處理。

步驟 1:在IAM身分識別中心啟用佈建

在此第一個步驟中,您可以使用IAM身分識別中心主控台來啟用自動佈建。

在IAM身分識別中心中啟用自動佈建

  1. 完成必要條件之後,請開啟IAM身分識別中心主控台

  2. 在左側導覽窗格中選擇 [設定]。

  3. [設定] 頁面上,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的SCIM端點和存取權杖資訊。

  4. 在「輸入自動佈建」對話方塊中,複製下列選項的每個值。稍後在 IdP 中配置佈建時,您將需要貼上這些內容。

    1. SCIM端點-例如,https://scim。us-east-2. 亞馬遜. COM/11111111111-2222-3333-4444-555555555555/scim/V2

    2. 存取權杖-選擇顯示權杖以複製值。

    警告

    這是您唯一可以獲取SCIM端點和訪問令牌的時間。請務必先複製這些值,然後再繼續前進。您將在Okta稍後的教學課程中輸入這些值以配置自動佈建。

  5. 選擇關閉

現在您已在IAM身分識別中心主控台中設定佈建,您需要使用身JumpCloudIAM分識別中心連接器完成剩餘的工作。這些步驟將在下列程序中說明。

步驟 2:配置佈建 JumpCloud

使用JumpCloudIAM身分識別中心連接器中的下列程序來啟用IAM身分識別中心進行佈建。此程序假設您已將 JumpCloud IAM Identity Center 連接器新增至JumpCloud系統管理入口網站和群組。如果您尚未這樣做,請參閱必要條件,然後完成此程序來配置SCIM佈建。

若要在中設定佈建 JumpCloud

  1. 開啟您在設定 SAML JumpCloud (使用者驗證 > JumpCloud IAM 身分識別中心) 時所安裝的IAM身分識別中心連接器。請參閱 必要條件

  2. 選擇IAM身分識別中心連接器,然後選擇第三個索引標籤 [識別管理]。

  3. 如果您要SCIM同步群組,請核取此應用程式中啟用使用者群組和群組成員資格管理的核取方塊。

  4. 點擊配置

  5. 在先前的程序中,您已複製IAM身分識別中心中的SCIM端點值。將該值貼到JumpCloudIAM身分識別中心連接器的 URL [基礎] 欄位中。

  6. 從上一個程序中,您複製IAM身分識別中心中的存取權杖值。將該值貼到JumpCloudIAM身分識別中心連接器的 [權杖金鑰] 欄位中。

  7. 按一下用以套用組態。

  8. 確定您已啟動單一登入旁邊有綠色指示燈。

  9. 移至第四個索引標籤使用者群組,並勾選您要提供的群組SCIM。

  10. 完成後,請單擊底部的「存」。

  11. 若要確認使用者是否已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇 [使用者]。已同步處理的使用者JumpCloud會顯示在 [使用者] 頁 這些使用者現在可以指派給IAM身分識別中心內的帳戶。

(選用) 步驟 3:在中設定使用者屬性以便在IAM身分識別中心中JumpCloud進行存取控制

如果您選擇配置 IAM Identity Center 的屬性以管理對 AWS 資源的存取,則此為選用程序。JumpCloud您在中定義的屬性JumpCloud會在SAML宣告中傳遞至IAM身分識別中心。然後,您可以在 IAM Identity Center 中建立權限集,以根據您傳遞的屬性來管理存取權限JumpCloud。

開始此程序之前,您必須先啟用存取控制的屬性功能。如需如何執行此作業的詳細資訊,請參閱啟用和設定存取控制的屬性

在中設定使用者屬性以在IAM身分識別中心JumpCloud進行存取控制

  1. 開啟您在設定 SAML JumpCloud (使用者驗證 > JumpCloud IAM 身分識別中心) 時所安裝的IAM身分識別中心連接器。

  2. 選擇IAM身分識別中心連接器。然後,選擇第二個選項卡IAM身份中心

  3. 在此索引標籤底部,您有使用者屬性對應,選擇新增屬性,然後執行下列動作:您必須針對要新增的每個屬性執行這些步驟,以便在 IAM Identity Center 中使用以進行存取控制。

    1. 在「服務提供屬性名稱」欄位中,輸入「https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName.取代AttributeName為IAM身分識別中心」中預期的屬性名稱。例如:https://aws.amazon.com/SAML/Attributes/AccessControl:Email

    2. 在「JumpCloud屬性名稱」欄位中,從JumpCloud目錄中選擇使用者屬性。例如,電子郵件(工作)

  4. 選擇 Save (儲存)。

(選擇性) 傳遞屬性以進行存取控制

您可以選擇性地使用 IAM Identity Center 中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素允許您將屬性作為SAML斷言中的會話標籤傳遞。如需有關工作階段標籤的詳細資訊,請參閱IAM使用指南 AWS STS中的〈傳遞工作階段標籤

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值配對CostCenter = blue,請使用下列屬性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute元素。