在 OneLogin 和 IAM Identity Center 之间设置 SCIM 预置 - Amazon IAM Identity Center
先决条件步骤 1:在 IAM Identity Center 中启用预置步骤2:在 OneLogin 中配置预置(可选)第三步:在 OneLogin IAM Identity Center 中配置用户属性进行访问控制(可选)传递访问控制属性故障排除
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 OneLogin 和 IAM Identity Center 之间设置 SCIM 预置

IAM Identity Center 支持使用跨域身份管理系统 (SCIM) v2.0 协议将用户和组信息从 OneLogin 自动预置(同步)到 IAM Identity Center。您可以在 OneLogin 中使用 IAM Identity Center 的 SCIM 终端节点和 IAM Identity Center 自动创建的持有者令牌来配置此连接。配置 SCIM 同步时,您将在 OneLogin 中创建用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 OneLogin 之间的预期属性匹配。

以下步骤将引导您了解如何使用 SCIM 协议将用户和组从 OneLogin 自动预置到 IAM Identity Center。

注意

在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项

先决条件

在开始之前,您将需要以下内容:

  • 一个 OneLogin 账户。如果您没有现有帐户,您可以从 OneLogin 网站获取免费试用版或开发者帐户。

  • 支持 IAM Identity Center 的账户(免费)。有关更多信息,请参阅启用 IAM Identity Center

  • 从您的 OneLogin 账户到 IAM Identity Center 的 SAML 连接。有关详细信息,请参阅 Amazon 合作伙伴网络博客上的在 OneLogin 和 Amazon 之间启用单点登录

步骤 1:在 IAM Identity Center 中启用预置

在第一步中,您使用 IAM Identity Center 控制台启用自动预置。

在 IAM Identity Center 中启用自动预置

  1. 完成先决条件后,打开 IAM Identity Center 控制台

  2. 在左侧导航窗格中选择设置

  3. 设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 终端节点和访问令牌信息。

  4. 入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。

    1. SCIM 端点

    2. 访问令牌

  5. 选择关闭

您现在已在 IAM Identity Center 控制台中设置预置。现在,您需要使用 OneLogin 管理控制台执行其余任务,如以下过程中所述。

步骤2:在 OneLogin 中配置预置

在 OneLogin 管理控制台中使用以下过程来启用 IAM Identity Center 和 IAM Identity Center 应用程序之间的集成。此过程假设您已配置 OneLogin 中的 Amazon 单点登录应用程序以进行 SAML 身份验证。如果您尚未创建此 SAML 连接,请在继续之前创建此连接,然后返回此处完成 SCIM 预置过程。有关使用 OneLogin 配置 SAML 的更多信息,请参阅 Amazon 合作伙伴网络博客上的在 OneLogin 和 Amazon 之间启用单点登录

要在 OneLogin 中配置预置

  1. 登录 OneLogin,然后导航至应用程序>应用程序

  2. 应用程序页面上,搜索您之前创建的应用程序以与 IAM Identity Center 形成 SAML 连接。选择它,然后从左侧导航栏中选择配置

  3. 在上一过程中,您复制了 IAM Identity Center 中的 SCIM 终端节点值。将该值粘贴到 OneLogin 中的 SCIM Base URL 字段中。确保删除 URL 末尾的尾部正斜杠。此外,在之前的过程中,您复制了 IAM Identity Center 中的访问令牌值。将该值粘贴到 OneLogin 中的 SCIM 持有者令牌字段中。

  4. API 连接旁边,单击启用,然后单击保存以完成配置。

  5. 在左侧导航栏中,选择预置

  6. 选中启用预置创建用户删除用户更新用户复选框,然后选择保存

  7. 在左侧导航栏中,选择用户

  8. 单击更多操作,然后选择同步登录。您应该收到消息正在使用 Amazon 单点登录同步用户

  9. 再次单击更多操作,然后选择重新应用权限映射。您应该会收到消息映射正在重新应用

  10. 此时,预置过程应该开始。要确认这一点,请导航至活动>事件,并监控进度。成功的预置事件以及错误应该出现在事件流中。

  11. 要验证您的用户和组是否已全部成功同步到 IAM Identity Center,请返回 IAM Identity Center 控制台并选择用户。您从 OneLogin 同步的用户出现在用户页面上。您还可以在页面查看已同步的组。

  12. 要将用户更改自动同步到 IAM Identity Center,请导航到预置页面,找到执行此操作之前需要管理员批准部分,取消选择创建用户删除用户和/或更新用户,然后单击保存

(可选)第三步:在 OneLogin IAM Identity Center 中配置用户属性进行访问控制

如果您选择配置将在 IAM Identity Center 中使用的属性来管理对 Amazon 资源的访问,那么这是 OneLogin 的可选过程。您在 OneLogin 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后,您将在 IAM Identity Center 中创建一个权限集,以根据您从 OneLogin 传递的属性来管理访问。

在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

要在 OneLogin 中配置用户属性,用于 IAM Identity Center 的访问控制

  1. 登录 OneLogin,然后导航至应用程序>应用程序

  2. 应用程序页面上,搜索您之前创建的应用程序以与 IAM Identity Center 形成 SAML 连接。选择它,然后从左侧导航栏中选择参数

  3. 必需参数部分中,对您要在 IAM Identity Center 中使用的每个属性执行以下操作:

    1. 选择 +

    2. 字段名称中,输入 https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName,并将 AttributeName 替换为您在 IAM Identity Center 中期望的属性名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Department

    3. 标志下,选中包含在 SAML 断言中旁边的框,然后选择保存

    4. 字段中,使用下拉列表选择 OneLogin 用户属性。例如,部门

  4. 选择保存

(可选)传递访问控制属性

您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 Amazon STS 中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。

故障排除

以下内容可以帮助您解决在使用 OneLogin 设置自动预置时可能遇到的一些常见问题。

组未配置到 IAM Identity Center

默认情况下,组可能无法从 OneLogin 配置到 IAM Identity Center。确保您已在 OneLogin 中为 IAM Identity Center 应用程序启用组预置。为此,请登录 OneLogin 管理控制台,并检查以确保在 IAM Identity Center 应用程序的属性(IAM Identity Center 应用程序 > 参数 > 组)下选择了包含在用户预置中选项。有关如何在 OneLogin 中创建组的更多详细信息,包括如何在 SCIM 中将 OneLogin 角色同步为组,请参阅 OneLogin 网站

尽管所有设置均正确,但没有任何内容从 OneLogin 同步到 IAM Identity Center

除了上面有关管理员批准的注释之外,您还需要重新应用权限映射才能使许多配置更改生效。这可以在应用程序 > 应用程序 > IAM Identity Center 应用程序 > 更多操作中找到。您可以在 OneLogin 中查看大多数操作的详细信息和日志,包括活动 > 事件下的同步事件。

我已删除或禁用 OneLogin 中的一个组,但它仍然出现在 IAM Identity Center 中

OneLogin 目前不支持组的 SCIM DELETE 操作,这意味着该组继续存在于 IAM Identity Center 中。因此,您必须直接从 IAM Identity Center 中删除该组,以确保删除 IAM Identity Center 中该组的任何相应权限。

我在 IAM Identity Center 中删除了一个组,但没有先从 OneLogin 中删除它,现在我遇到了用户/组同步问题

要解决这种情况,首先确保您没有 OneLogin 中的任何冗余组预置规则或配置。例如,直接分配给应用程序的组以及发布到同一组的规则。接下来,删除 IAM Identity Center 中任何不需要的组。最后,在 OneLogin 中,刷新权限(IAM Identity Center 应用程序 > 预置 > 权限),然后重新应用权限映射(IAM Identity Center 应用程序 > 更多操作)。为了避免将来出现此问题,请首先进行更改以停止预置 OneLogin 中的组,然后从 IAM Identity Center 中删除该组。