本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
PingFederate
IAMIdentity Center 支持通过(以下简称 “Ping”)将来自PingFederate产品的用户和群组信息自动配置Ping Identity(同步)到 Ident IAM ity Center。此配置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以使用IAM身份中心SCIM终端节点和访问令牌PingFederate来配置此连接。配置SCIM同步时,可以在 Ident IAM ity Center 中PingFederate创建用户属性与 Identity Center 中命名属性的映射。这会导致 Ident IAM ity Center 和之间的预期属性匹配PingFederate。
本指南基于 PingFederate version 10.2。其他版本的步骤可能有所不同。有关如何Ping为其他版本的 Ident IAM ity Center 配置配置配置的更多信息,请联系PingFederate。
以下步骤将引导您了解如何使用SCIM协议启用从 PingFederate Identity C IAM enter 自动配置用户和群组。
注意
在开始部署之前SCIM,我们建议您先查看使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
一台正在运行的 PingFederate 服务器。如果您没有现有 PingFederate 服务器,您可以从 Ping Identity
网站获取免费试用版或开发人员帐户。该试用版包括许可证和软件下载以及相关文档。 -
服务器上安装的 Ident PingFederate IAM ity Cent PingFederate er 连接器软件的副本。有关如何获取此软件的更多信息,请参阅 P ing Identity 网站上的 Ident IAMity Center Connec
tor。 -
从您的PingFederate实例到IAM身份中心的SAML连接。有关如何配置此连接的说明,请参阅 PingFederate 文档。总而言之,推荐的方法是使用IAM身份中心连接器在中配置 “浏览器”PingFederate,使用两端的 “下载” 和 “导入” 元数据功能在PingFederate和 I SSO dent IAM ity Center 之间交换SAML元数据。
额外注意事项
以下是一些重要的注意事项PingFederate,这可能会影响您如何使用 Identity C IAM enter 实现配置。
-
如果从中配置的数据存储中的用户身上删除了某个属性(例如电话号码)PingFederate,则该属性不会从 Ident IAM ity Center 中的相应用户中删除。这是 PingFederate’s 置备程序实现中的一个已知限制。如果用户的某个属性更改为其他(非空)值,则该更改将同步到 Ident IAM ity Center。
步骤 1:在 Identity C IAM enter 中启用配置
在第一步中,您将使用 Ident IAM ity Center 控制台启用自动配置。
在 Ident IAM ity Center 中启用自动配置
-
完成先决条件后,打开 Identity C IAMenter 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。
-
在入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
-
SCIM端点 ——例如,https://scim。
us-east-2
.amazonaws.com/11111111111-2222-3333-4444-555555555555
/scim/v2 -
访问令牌 - 选择显示令牌以复制该值。
警告
这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,请务必复制这些值。在本教程的Okta后面部分,您将输入这些值来配置自动配置。
-
-
选择关闭。
现在,您已经在 Ident IAM ity Center 控制台中设置了配置,因此必须使用PingFederate管理控制台完成其余任务。,这些步骤将在以下步骤中介绍。
步骤2:在 PingFederate 中配置预置
在PingFederate管理控制台中使用以下步骤启用 Identity Center 和 Ident IAM ity Center 连接器之间的集成。IAM此过程假设您已经安装了IAM身份中心连接器软件。如果您尚未执行此操作,请参阅先决条件 ,然后完成此过程以配置SCIM配置。
重要
如果您的PingFederate服务器之前未配置为出站SCIM配置,则可能需要更改配置文件以启用配置。有关更多信息,请参阅 Ping 文档。总之,您必须将 pingfederate-<version>/pingfederate/bin/run.properties 文件中的 pf.provisioner.mode
设置修改为 OFF
(默认值)以外的值,并重新启动服务器(如果当前正在运行)。例如,如果您当前没有 PingFederate 的高可用性配置,您可以选择使用 STANDALONE
。
要在 PingFederate 中配置预置
-
登录到 PingFederate 管理控制台。
-
从页面顶部选择应用程序,然后单击 SP 连接。
-
找到您之前创建的用于与 Ident IAM ity Center SAML 建立连接的应用程序,然后单击连接名称。
-
从页面顶部附近的黑色导航标题中选择连接类型。您应该会看到SSO已经从之前的配置中选择了浏览器SAML。如果没有,您必须先完成这些步骤才能继续。
-
选中出站配置复选框,选择 Ident IAMity Center Cloud Connec tor 作为类型,然后单击保存。如果 Ident IAM ity Center Cloud C onnector 未作为选项出现,请确保您已安装IAM身份中心连接器并已重新启动PingFederate服务器。
-
重复单击下一步,直到到达出站预置页面,然后单击配置预置按钮。
-
在前面的步骤中,您在IAM身份中心中复制了SCIM终端节点值。将该值粘贴到PingFederate控制台的SCIMURL字段中。此外,在前面的步骤中,您复制了IAM身份中心中的访问令牌值。将该值粘贴到 PingFederate 控制台中的访问令牌字段中。单击保存。
-
在频道配置(配置频道)页面上,单击创建。
-
输入此新预置频道的频道名称(例如
AWSIAMIdentityCenterchannel
),然后单击下一步。 -
在来源页面上,选择要用于连接IAM身份中心的活动数据存储,然后单击下一步。
注意
如果您尚未配置数据来源,则必须立即配置。有关如何在 PingFederate 中选择和配置数据来源的信息,请参阅 Ping 产品文档。
-
在源设置页面上,确认安装的所有值均正确,然后单击下一步。
-
在源位置页面上,输入适合您的数据来源的设置,然后单击下一步。例如,如果使用 Active Direct LDAP ory 作为目录:
-
输入 AD 林的基本 DN(例如
DC=myforest,DC=mydomain,DC=com
)。 -
在 “用户” > “组 DN” 中,指定一个包含要配置到 Ident IAM ity Center 的所有用户的单个群组。如果不存在这样的单个组,请在 AD 中创建该组,返回到此设置,然后输入相应的 DN。
-
指定是否搜索子组(嵌套搜索),以及任何必需的LDAP筛选器。
-
在群组 > 群组 DN 中,指定一个群组,其中包含您要配置到 Ident IAM ity Center 的所有群组。在许多情况下,这可能与您在用户部分中指定的 DN 相同。根据需要输入嵌套搜索和筛选条件值。
-
-
在属性映射页面上,确保满足以下条件,然后单击下一步:
-
该userName字段必须映射到格式为电子邮件 (user@domain.com) 的属性。它还必须与用户用于登录 Ping 的值匹配。此值反过来会在联合身份验证期间填充到SAML
nameId
声明中,并用于与 Ident IAM ity Center 中的用户进行匹配。例如,在使用 Active Directory 时,您可以选择将指定UserPrincipalName
为userName。 -
其他以 * 为后缀的字段必须映射到对您的用户来说非空的属性。
-
-
在激活和摘要页面上,将频道状态设置为活动,以便在保存配置后立即开始同步。
-
确认页面上的所有配置值均正确,然后单击完成。
-
在管理频道页面上,单击保存。
-
此时,预置开始了。要确认活动,您可以查看 Provisioner.log 文件,该文件默认位于 PingFederate 服务器上的 pingfederate-<version>/pingfederate/log 目录中。
-
要验证用户和群组是否已成功同步到 Ident IAM ity Center,请返回 Ident IAM ity Center 控制台并选择 “用户”。来自 PingFederate 的同步用户出现在用户页面上。您还可以在组页面查看同步的组。
(可选)步骤 3:在 Ident IAM ity Cent PingFed er 中按比例配置用户属性以进行访问控制
PingFederate如果您选择配置将在 Ident IAM ity Center 中使用的属性来管理对 Amazon 资源的访问权限,则这是一个可选过程。您在中定义的属性将以SAML断言PingFederate形式传递给 Ident IAM ity Center。然后,您将在 Ident IAM ity Center 中创建一个权限集,以根据您传递的属性来管理访问权限PingFederate。
在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性。
在中配置用户属性PingFederate以实现IAM身份中心的访问控制
-
登录到 PingFederate 管理控制台。
-
从页面顶部选择应用程序,然后单击SP 连接。
-
找到您之前创建的用于与 Ident IAM ity Center SAML 建立连接的应用程序,然后单击连接名称。
-
SSO从靠近页面顶部的深色导航标题中选择 “浏览器”。然后单击 “配置浏览器” SSO。
-
在 “配置浏览器 SSO” 页上,选择 “断言创建”,然后单击 “配置断言创建”。
-
在配置断言创建页上,选择属性合同。
-
在属性合同页面的延长合同部分下,通过执行以下步骤添加新属性:
-
在文本框中,输入
https://aws.amazon.com/SAML/Attributes/AccessControl:
,AttributeName
AttributeName
替换为您在 Ident IAM ity Center 中期望的属性的名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Department
。 -
对于属性名称格式,选择 urn:oasis:names:tc:SAML:2.0:attrname-format:uri。
-
选择添加,然后选择下一步。
-
-
在身份验证源映射页面上,选择使用您的应用程序配置的适配器实例。
-
在属性合同履行页面上,选择属性合同
https://aws.amazon.com/SAML/Attributes/AccessControl:Department
的源(数据存储)和值(数据存储属性)。注意
如果您尚未配置数据源,则需要立即进行配置。有关如何在 PingFederate 中选择和配置数据来源的信息,请参阅 Ping 产品文档。
-
重复单击下一步,直到进入激活和摘要页面,然后单击保存。
(可选)传递访问控制属性
您可以选择使用 Ident IAM ity Center 中的访问控制属性功能来传递Name
属性设置为的Attribute
元素https://aws.amazon.com/SAML/Attributes/AccessControl:
。此元素允许您在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 Amazon STS中的传递会话标签。{TagKey}
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue
元素。例如,要传递标签键值对CostCenter = blue
,请使用以下属性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute
元素。