本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center 支持将用户信息从 CyberArk Directory Platform 自动预置(同步)到 IAM Identity Center。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以使用 IAM Identity Center SCIM 终端节点和访问令牌在 CyberArk 中配置此连接。配置 SCIM 同步时,您将在 CyberArk 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 CyberArk 之间的预期属性匹配。
本指南基于截至 2021 年 8 月的 CyberArk。新版本的步骤可能有所不同。本指南包含一些有关通过 SAML 配置用户身份验证的说明。
注意
在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
CyberArk 订阅或免费试用。报名参加免费试用访问 CyberArk
。 -
支持 IAM Identity Center 的账户(免费
)。有关更多信息,请参阅启用 IAM Identity Center。 -
从您的 CyberArk 账户到 IAM Identity Center 的 SAML 连接,如 IAM Identity Center CyberArk 文档
中所述。 -
将 IAM Identity Center 连接器与您想要允许访问 Amazon Web Services 账户的角色、用户和组织相关联。
SCIM 注意事项
以下是对 IAM Identity Center 使用 CyberArk 联合身份验证时的注意事项:
-
只有应用程序预置部分中映射的角色才会同步到 IAM Identity Center。
-
配置脚本仅在默认状态下受支持,一旦更改,SCIM 预置可能会失败。
-
只能同步一种电话号码属性,默认为“工作电话”。
-
-
如果 CyberArk IAM Identity Center 应用程序中的角色映射发生更改,则预计会出现以下行为:
-
如果角色名称发生更改——IAM Identity Center 中的组名称不会发生更改。
-
如果组名称发生更改——将在 IAM Identity Center 中创建新组,旧组将保留,但没有成员。
-
-
用户同步和取消预置行为可以从 CyberArk IAM Identity Center 应用程序进行设置,请确保为您的组织设置正确的行为。您可以选择以下选项:
-
覆盖(或不覆盖)Identity Center 目录中具有相同主体名称的用户。
-
从 CyberArk 角色中移除用户后,从 IAM Identity Center 取消对该用户的配置。
-
取消配置用户行为——禁用或删除。
-
步骤 1:在 IAM Identity Center 中启用预置
在第一步中,您使用 IAM Identity Center 控制台启用自动预置。
在 IAM Identity Center 中启用自动预置
-
完成先决条件后,打开 IAM Identity Center 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 终端节点和访问令牌信息。
-
在入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
SCIM 端点
访问令牌
-
选择关闭。
现在您已在 IAM Identity Center 控制台中设置了预置,您需要使用 CyberArk IAM Identity Center 应用程序完成其余任务。以下过程中描述了这些步骤。
步骤2:在 CyberArk 中配置预置
在 CyberArk IAM Identity Center 应用程序中使用以下过程来启用 IAM Identity Center 的预置。此过程假设您已将 CyberArk IAM Identity Center 应用程序添加到 Web 应用程序下的 CyberArk 管理控制台。如果您尚未执行此操作,请参阅 先决条件,然后完成此过程以配置 SCIM 预置。
要在 CyberArk 中配置预置
-
打开您在为 CyberArk 配置 SAML 过程中添加的 CyberArk IAM Identity Center 应用程序(应用程序 > Web 应用程序)。请参阅 先决条件。
-
选择 IAM Identity Center 应用程序并转到预置部分。
-
选中启用此应用程序的预置框并选择实时模式。
-
在前面的过程中,您从 IAM Identity Center 复制了 SCIM 终端节点值。将该值粘贴到 SCIM 服务 URL 字段中,在 CyberArk IAM Identity Center 应用程序中将授权类型设置为 Authorization 标头。确保删除 URL 末尾的尾部正斜杠。
-
将标头类型设置为持有者令牌。
-
在上一过程中,您复制了 IAM Identity Center 中的访问令牌值。将该值粘贴到 CyberArk IAM Identity Center 应用程序中的持有者令牌字段中。
-
单击验证以测试和应用配置。
-
在同步选项下,选择您希望 CyberArk 中的出站预置发挥作用的正确行为。您可以选择覆盖(或不覆盖)具有相似主体名称和取消预置行为的现有 IAM Identity Center 用户。
-
在角色映射下,设置从名称字段下的 CyberArk 角色到目标组下的 IAM Identity Center 组的映射。
-
完成后点击底部的保存。
-
要验证用户是否已成功同步到 IAM Identity Center,请返回 IAM Identity Center 控制台并选择用户。来自 CyberArk 的同步用户将显示在用户页面上。现在可以将这些用户分配给账户并可以在 IAM Identity Center 中进行连接。
(可选)步骤 3:在 CyberArk 中配置用户属性以在 IAM Identity Center 中进行访问控制 (ABAC)
如果您选择为 IAM Identity Center 配置属性以管理对 Amazon 资源的访问权限,则这是一个可选过程。CyberArk您在 CyberArk 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后,您在 IAM Identity Center 中创建权限集,以根据您从 CyberArk 传递的属性管理访问权限。
在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性。
要在 CyberArk 中配置用户属性,用于 IAM Identity Center 的访问控制
-
打开您在为 CyberArk 配置 SAML 过程中安装的 CyberArk IAM Identity Center 应用程序(应用程序 > Web 应用程序)。
-
转至 SAML 响应选项。
-
在属性下,按照以下逻辑将相关属性添加到表中:
-
属性名称是来自 CyberArk 的原始属性名称。
-
属性值是在 SAML 断言中发送到 IAM Identity Center 的属性名称。
-
-
选择保存。
(可选)传递访问控制属性
您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl: 的 {TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 Amazon STS中的传递会话标签。
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。