在之间设置 SCIM 配置 OneLogin 和 IAM 身份中心 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在之间设置 SCIM 配置 OneLogin 和 IAM 身份中心

IAM Identity Center 支持自动配置(同步)来自的用户和群组信息 OneLogin 使用跨域身份管理系统 (SCIM) v2.0 协议进入 IAM 身份中心。有关更多信息,请参阅 对外部身份提供者使用 SAML 和 SCIM 身份联合验证

您可以在中配置此连接 OneLogin,使用您的 IAM 身份中心的 SCIM 终端节点和由 IAM 身份中心自动创建的不记名令牌。配置 SCIM 同步时,可以在中创建用户属性的映射 OneLogin 到 IAM 身份中心中的命名属性。这会导致 IAM 身份中心和之间的预期属性匹配 OneLogin.

以下步骤将引导您了解如何启用用户和群组的自动配置 OneLogin 使用 SCIM 协议到 IAM 身份中心。

注意

在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项

先决条件

在开始之前,您将需要以下内容:

步骤 1:在 IAM Identity Center 中启用预置

在第一步中,您使用 IAM Identity Center 控制台启用自动预置。

在 IAM Identity Center 中启用自动预置
  1. 完成先决条件后,打开 IAM Identity Center 控制台

  2. 在左侧导航窗格中选择设置

  3. 设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。

  4. 入站自动配置对话框中,复制 SCIM 端点和访问令牌。稍后在 IdP 中配置配置时,您需要将其粘贴到其中。

    1. SCIM 端点 ——例如,https://scim。 us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. 访问令牌 - 选择显示令牌以复制该值。

    警告

    这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。

  5. 选择关闭

您现在已在 IAM Identity Center 控制台中设置预置。现在你需要使用来完成剩下的任务 OneLogin 管理员控制台,如以下过程所述。

步骤 2:在中配置配置 OneLogin

在中使用以下步骤 OneLogin 管理员控制台用于启用 IAM 身份中心和 IAM 身份中心应用程序之间的集成。此过程假设您已经在中配置了 Amazon 单点登录应用程序 OneLogin 用于 SAML 身份验证。如果您尚未创建此 SAML 连接,请在继续之前创建此连接,然后返回此处完成 SCIM 预置过程。有关使用配置 SAML 的更多信息 OneLogin,请参阅在两者之间启用单点登录 OneLogin 并在 Amazon 合作伙伴网络博客 Amazon上。

要在中配置配置 OneLogin
  1. 登录到 OneLogin,然后导航到 “应用程序” > “应用程序”。

  2. 应用程序页面上,搜索您之前创建的应用程序以与 IAM Identity Center 形成 SAML 连接。选择它,然后从左侧导航栏中选择配置

  3. 在上一过程中,您复制了 IAM Identity Center 中的 SCIM 端点值。将该值粘贴到 SCIM 基础网址字段中 OneLogin。 此外,在前面的步骤中,您复制了 IAM Identity Center 中的访问令牌值。将该值粘贴到 SCIM 持有者代币字段中 OneLogin.

  4. API 连接旁边,单击启用,然后单击保存以完成配置。

  5. 在左侧导航栏中,选择预置

  6. 选中启用预置创建用户删除用户更新用户复选框,然后选择保存

  7. 在左侧导航栏中,选择用户

  8. 单击更多操作,然后选择同步登录。您应该收到消息正在使用 Amazon 单点登录同步用户

  9. 再次单击更多操作,然后选择重新应用权限映射。您应该会收到消息映射正在重新应用

  10. 此时,预置过程应该开始。要确认这一点,请导航至活动>事件,并监控进度。成功的预置事件以及错误应该出现在事件流中。

  11. 要验证您的用户和组是否已全部成功同步到 IAM Identity Center,请返回 IAM Identity Center 控制台并选择用户。您的同步用户来自 OneLogin 显示在 “用户” 页面上。您还可以在页面查看已同步的组。

  12. 要将用户更改自动同步到 IAM Identity Center,请导航到预置页面,找到执行此操作之前需要管理员批准部分,取消选择创建用户删除用户和/或更新用户,然后单击保存

(可选)步骤 3:在中配置用户属性 OneLogin 用于在 IAM 身份中心进行访问控制

这是一项可选程序 OneLogin 如果您选择配置属性,则将在 IAM Identity Center 中使用这些属性来管理对 Amazon 资源的访问权限。您在中定义的属性 OneLogin 以 SAML 断言的形式传递给 IAM 身份中心。然后,您将在 IAM Identity Center 中创建一个权限集,以根据您传递的属性来管理访问权限 OneLogin.

在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

要在中配置用户属性 OneLogin 用于在 IAM 身份中心进行访问控制
  1. 登录到 OneLogin,然后导航到 “应用程序” > “应用程序”。

  2. 应用程序页面上,搜索您之前创建的应用程序以与 IAM Identity Center 形成 SAML 连接。选择它,然后从左侧导航栏中选择参数

  3. 必需参数部分中,对您要在 IAM Identity Center 中使用的每个属性执行以下操作:

    1. 选择 +

    2. 字段名称中,输入 https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName,并将 AttributeName 替换为您在 IAM Identity Center 中期望的属性名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Department

    3. 标志下,选中包含在 SAML 断言中旁边的框,然后选择保存

    4. 在 “” 字段中,使用下拉列表选择 OneLogin 用户属性。例如,部门

  4. 选择保存

(可选)传递访问控制属性

您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 Amazon STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。

<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。

故障排除

以下内容可以帮助您解决在使用设置自动配置时可能遇到的一些常见问题 OneLogin.

组未配置到 IAM Identity Center

默认情况下,群组不能从中置备 OneLogin 到 IAM 身份中心。确保您已在中为您的 IAM 身份中心应用程序启用群组预配置 OneLogin。 为此,请登录 OneLogin 管理员控制台,并确保在 IAM Identity Center 应用程序(IAM Identity Cent er 应用程序 > 参数 > 群组)的属性下选择了 “包含在用户配置中” 选项。有关如何创建群组的更多详细信息,请参阅 OneLogin,包括如何同步 OneLogin 在 SCIM 中将角色作为群组,请参阅 OneLogin 网站

没有从中同步任何内容 OneLogin 到 IAM 身份中心,尽管所有设置都正确

除了上面有关管理员批准的注释之外,您还需要重新应用权限映射才能使许多配置更改生效。这可以在应用程序 > 应用程序 > IAM Identity Center 应用程序 > 更多操作中找到。您可以在中查看大多数操作的详细信息和日志 OneLogin,包括同步事件,位于 “活动” > “事件” 下。

我已经删除或禁用了中的群组 OneLogin,但它仍然显示在 IAM 身份中心中

OneLogin 目前不支持群组的 SCIM 删除操作,这意味着该群组继续存在于 IAM Identity Center 中。因此,您必须直接从 IAM Identity Center 中删除该组,以确保删除 IAM Identity Center 中该组的任何相应权限。

我删除了 IAM Identity Center 中的群组,但没有先将其从中删除 OneLogin 现在我遇到了用户/群组同步问题

要纠正这种情况,请首先确保中没有任何冗余组置备规则或配置 OneLogin。 例如,直接分配给应用程序的群组以及向同一群组发布的规则。接下来,删除 IAM Identity Center 中任何不需要的组。最后,在 OneLogin,刷新授权(IAM Identity Center 应用程序 > 配置 > 授权),然后重新应用授权映射(IAM Identity Center 应用程序 > 更多操作)。为了避免将来出现此问题,请先进行更改以停止配置群组 OneLogin,然后从 IAM 身份中心删除该群组。