本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM Identity Center 與您的JumpCloud目錄平台連線
<a name="jumpcloud-idp"></a>

IAM Identity Center 支援將使用者資訊從  JumpCloud Directory Platform 自動佈建 （同步） 到 IAM Identity Center。此佈建使用[安全性聲明標記語言 (SAML) 2.0 ](scim-profile-saml.md)通訊協定。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

您可以使用 IAM Identity Center SCIM 端點和存取權杖JumpCloud在 中設定此連線。當您設定 SCIM 同步時，您可以在 中建立使用者屬性映射JumpCloud至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符JumpCloud。

本指南以 2021 年 6 月JumpCloud的 為基礎。較新版本的步驟可能會有所不同。本指南包含一些有關透過 SAML 設定使用者身分驗證的注意事項。

下列步驟會逐步解說如何使用 SCIM 通訊協定，將使用者和群組從 自動佈建JumpCloud至 IAM Identity Center。

**注意**  
在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#jumpcloud-prereqs)
+ [SCIM 考量事項](#jumpcloud-scim)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#jumpcloud-step1)
+ [步驟 2：在 中設定佈建 JumpCloud](#jumpcloud-step2)
+ [（選用） 步驟 3：在 中設定使用者屬性JumpCloud，以在 IAM Identity Center 中進行存取控制](#jumpcloud-step3)
+ [（選用） 傳遞屬性以進行存取控制](#jumpcloud-passing-abac)

## 先決條件
<a name="jumpcloud-prereqs"></a>

您將需要下列項目才能開始使用：
+ JumpCloud 訂閱或免費試用。若要註冊免費試用，請造訪 [https://console.jumpcloud.com/signup](https://console.jumpcloud.com/signup)。
+ 啟用 IAM Identity Center 的帳戶 ([ 免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從JumpCloud您的帳戶到 IAM Identity Center 的 SAML 連線，如 [JumpCloudIAM Identity Center 的文件](https://support.jumpcloud.com/support/s/article/Single-Sign-On-SSO-With-AWS-SSO)中所述。
+ 如果您將 IAM Identity Center 複寫到其他區域，則必須更新身分提供者組態，以啟用受 AWS 管應用程式和 AWS 帳戶 來自這些區域的存取。如需詳細資訊，請參閱[步驟 3：更新外部 IdP 設定](replicate-to-additional-region.md#update-external-idp-setup)。如需其他詳細資訊，請參閱 JumpCloud 文件。
+ 將 IAM Identity Center 連接器與您要允許存取 AWS 帳戶的群組建立關聯。

## SCIM 考量事項
<a name="jumpcloud-scim"></a>

 以下是對 JumpCloud IAM Identity Center 使用聯合時的考量事項。
+ 只有與 中的 AWS 單一登入連接器相關聯的群組 JumpCloud才會與 SCIM 同步。
+ 只能同步一個電話號碼屬性，預設值為「工作電話」。
+ JumpCloud 目錄中的使用者必須設定名字和姓氏，才能透過 SCIM 同步至 IAM Identity Center。
+ 如果使用者在 IAM Identity Center 中已停用，但仍在 中啟用，則屬性仍會同步JumpCloud。
+ 您可以選擇僅啟用使用者資訊的 SCIM 同步，方法是取消勾選連接器中的「啟用使用者群組和群組成員資格的管理」。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="jumpcloud-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.{{us-east-2}}.amazonaws.com/{{111111111-2222-3333-444-555555555}}/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您需要使用 JumpCloud IAM Identity Center 連接器完成其餘任務。這些步驟會在下列程序中說明。

## 步驟 2：在 中設定佈建 JumpCloud
<a name="jumpcloud-step2"></a>

在 JumpCloud IAM Identity Center 連接器中使用下列程序，以使用 IAM Identity Center 啟用佈建。此程序假設您已將  JumpCloud IAM Identity Center 連接器新增至JumpCloud管理員入口網站和群組。如果您尚未這麼做，請參閱 [先決條件](#jumpcloud-prereqs)，然後完成此程序以設定 SCIM 佈建。

**在 中設定佈建 JumpCloud**

1. 開啟您在設定 SAML for JumpCloud JumpCloud(**使用者身分驗證** > IAM Identity Center) 時安裝的 **IAM Identity Center** 連接器。請參閱 [先決條件](#jumpcloud-prereqs)。

1. 選擇 **IAM Identity Center** 連接器，然後選擇第三個索引標籤 **Identity Management**。

1. 如果您希望群組進行 SCIM 同步**，請勾選在此應用程式中啟用使用者群組和群組成員資格的管理**方塊。

1. 按一下**設定**。

1. 在先前的程序中，您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 JumpCloudIAM Identity Center 連接器的基本 **URL** 欄位中。

1. 從上一個程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 JumpCloudIAM Identity Center 連接器的**字符金鑰**欄位中。

1. 按一下**啟用**以套用組態。

1. 請確定已啟用**單一登入**旁的綠色指標。

1. 移至第四個索引標籤 **使用者群組**，並檢查您要使用 SCIM 佈建的群組。

1. 完成後，請按一下底部的**儲存**。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步**使用者** JumpCloud會出現在使用者頁面上。這些使用者現在可以指派給 IAM Identity Center 內的帳戶。

## （選用） 步驟 3：在 中設定使用者屬性JumpCloud，以在 IAM Identity Center 中進行存取控制
<a name="jumpcloud-step3"></a>

JumpCloud 如果您選擇設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取，這是 的選用程序。您在 中定義的屬性JumpCloud會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您可以在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權JumpCloud。

開始此程序之前，您必須先啟用[存取控制功能的屬性](https://docs.aws.amazon.com/singlesignon/latest/userguide/attributesforaccesscontrol.html)。如需如何執行此操作的詳細資訊，請參閱[啟用和設定存取控制的屬性](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)。

****在 中設定使用者屬性JumpCloud，以在 IAM Identity Center 中進行存取控制****

1. 開啟您在為 JumpCloud 設定 SAML 時安裝的 IAM Identity Center 連接器 JumpCloud(**使用者身分驗證** > **IAM Identity Center**)。

1. 選擇 **IAM Identity Center** 連接器。然後，選擇第二個索引標籤 ** IAM Identity Center**。

1. 在此索引標籤底部，您有**使用者屬性映射**，選擇**新增屬性**，然後執行下列動作：您必須對要新增的每個屬性執行這些步驟，以便在 IAM Identity Center 中用於存取控制。

   1. 在**服務提供屬性名稱**欄位中，輸入` AttributeName `以您在 IAM Identity Center 中預期的屬性名稱`https://aws.amazon.com/SAML/Attributes/AccessControl: AttributeName.`取代。例如 ` https://aws.amazon.com/SAML/Attributes/AccessControl: Email `。

   1. 在**JumpCloud屬性名稱**欄位中，從您的JumpCloud目錄中選擇使用者屬性。例如，**電子郵件 （工作）**。

1. 選擇**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="jumpcloud-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵/值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。