PingOne - Amazon IAM Identity Center
先决条件 额外注意事项步骤 1:在 Identity C IAM enter 中启用配置步骤2:在 PingOne 中配置预置(可选)步骤 3:在 Ident IAM ity Center 中配置用户属性以PingOne进行访问控制(可选)传递访问控制属性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

PingOne

IAMIdentity Center 支持通过(以下简称 “Ping”)将来自PingOne产品的用户信息自动配置Ping Identity(同步)到 Ident IAM ity Center。此配置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以使用IAM身份中心SCIM终端节点和访问令牌PingOne来配置此连接。配置SCIM同步时,可以在 Ident IAM ity Center 中PingOne创建用户属性与 Identity Center 中命名属性的映射。这会导致 Ident IAM ity Center 和之间的预期属性匹配PingOne。

本指南基于截至 2020 年 10 月的 PingOne。新版本的步骤可能有所不同。有关如何Ping为其他版本的 Ident IAM ity Center 配置配置配置的更多信息,请联系PingOne。本指南还包含一些有关通过配置用户身份验证的注意事项SAML。

以下步骤将引导您了解如何使用SCIM协议启用从 PingOne Ident IAM ity Center 自动配置用户。

注意

在开始部署之前SCIM,我们建议您先查看使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。

先决条件

在开始之前,您将需要以下内容:

  • PingOne 订阅或免费试用,具有联合身份验证和预置功能。有关如何获得免费试用,请参阅 Ping Identity 网站。

  • 支持IAM身份中心的账户(免费)。有关更多信息,请参阅启用IAM身份中心

  • PingOneIAM身份中心应用程序已添加到您的PingOne管理门户。您可以从应用程序目录中获取 PingOne IAM Identity Center PingOne 应用程序。有关一般信息,请参阅 Ping Identity 网站上的应用程序目录中添加应用程序

  • 从您的PingOne实例到IAM身份中心的SAML连接。将 Ident PingOne IAM ity Center 应用程序添加到您的PingOne管理门户后,您必须使用它来配置从您的PingOne实例到 Ident IAM ity Center 的SAML连接。使用两端的 “下载” 和 “导入” 元数据功能,在和 Ident IAM ity Center 之间PingOne交换SAML元数据。有关如何配置此连接的说明,请参阅 PingOne 文档。

额外注意事项

以下是一些重要的注意事项PingOne,这可能会影响您如何使用 Identity C IAM enter 实现配置。

  • 自 2020 年 10 月PingOne起,不支持通过配置群组SCIM。请联系Ping以获取有关小组支持的最新信息PingOne。SCIM

  • 在 PingOne 管理门户中禁用配置后,用户可以继续从 PingOne 进行配置。如果您需要立即终止配置,请删除相关的不SCIM记名令牌,和/或在 Ident IAM ity Center 使用将外部身份提供商配置到IAM身份中心 SCIM 中将其禁用。

  • 如果从中配置的数据存储中删除了某个用户的属性PingOne,则该属性不会从 Ident IAM ity Center 中的相应用户中删除。这是 PingOne’s 置备程序实现中的一个已知限制。如果修改了属性,则更改将同步到 Ident IAM ity Center。

  • 以下是有关您的SAML配置的重要注意事项PingOne:

    • IAM身份中心仅支持emailaddress作为一种NameId格式。这意味着你需要选择一个用户属性,该属性在你的目录中是唯一的PingOne、非空的,格式为电子邮件/UPN(例如,user@domain.com),用于你的 SAML_ SUBJECT 映射。PingOne电子邮件(工作)是用于带有PingOne 内置目录的测试配置的合理值。

    • 电子邮件地址中PingOne包含 + 字符的用户可能无法登录 Ident IAM ity Center,错误如'SAML_215''Invalid input'。要修复此问题,请在中PingOne,在 “属性映射” 中为 SAML_ SUBJECT 映射选择 “高级” 选项。然后在下拉菜单中将要发送到 SP: 的名称 ID 格式设置为 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

步骤 1:在 Identity C IAM enter 中启用配置

在第一步中,您将使用 Ident IAM ity Center 控制台启用自动配置。

在 Ident IAM ity Center 中启用自动配置

  1. 完成先决条件后,打开 Identity C IAMenter 控制台

  2. 在左侧导航窗格中选择设置

  3. 设置页面上,找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。

  4. 入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。

    1. SCIM端点 ——例如,https://scim。us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 访问令牌 - 选择显示令牌以复制该值。

    警告

    这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,请务必复制这些值。在本教程的Okta后面部分,您将输入这些值来配置自动配置。

  5. 选择关闭

现在,您已经在 Ident IAM ity Center 控制台中设置了配置,您需要使用 Ident PingOne IAM ity Center 应用程序完成其余任务。以下过程中描述了这些步骤。

步骤2:在 PingOne 中配置预置

在 Ident PingOne IAM ity Center 应用程序中使用以下步骤启用通过IAM身份中心进行配置。此过程假设您已将 Ident PingOne IAM ity Center 应用程序添加到PingOne管理门户。如果您尚未执行此操作,请参阅先决条件 ,然后完成此过程以配置SCIM配置。

要在 PingOne 中配置预置

  1. 打开您在配置SAML时安装的 Ident PingOne IAM ity Center 应用程序PingOne(“应用程序” > “我的应用程序”)。请参阅 先决条件

  2. 滚动到页面底部。在用户预置下,选择完整链接以导航到连接的用户预置配置。

  3. 预置说明页面上,选择继续下一步

  4. 在前面的步骤中,您在IAM身份中心中复制了SCIM终端节点值。将该值粘贴到 Identity C PingOne IAM enter 应用程序的SCIMURL字段中。此外,在前面的步骤中,您复制了IAM身份中心中的访问令牌值。将该值粘贴到 Ident PingOne IAM ity Center 应用程序的 ACCESS_ TOKEN 字段中。

  5. 对于 REMOVE_ ACTION,请选择 “已禁用” 或 “已删除”(有关更多详细信息,请参阅页面上的描述文本)。

  6. “属性映射” 页面上,按照本页额外注意事项前面的指导,选择一个用于 SAML_ SUBJECT (NameId) 断言的值。然后选择继续下一步

  7. PingOne应用程序自定义-Ident IAM ity Center 页面上,进行任何所需的自定义更改(可选),然后单击 “继续下一步”。

  8. 在 “组访问权限” 页面上,选择包含您想要启用配置和单点登录到 Ident IAM ity Center 的用户的群组。选择继续下一步

  9. 滚动到页面底部,然后选择完成,开始预置。

  10. 要验证用户是否已成功同步到 Ident IAM ity Center,请返回IAM身份中心控制台并选择 “用户”。来自 PingOne 的同步用户将显示在用户页面上。现在可以将这些用户分配给 Ident IAM ity Center 中的帐户和应用程序。

    请记住,这PingOne不支持通过SCIM配置群组或群组成员资格。联系 Ping 以获取更多信息。

(可选)步骤 3:在 Ident IAM ity Center 中配置用户属性以PingOne进行访问控制

PingOne如果您选择为 Ident IAM ity Center 配置属性以管理对 Amazon 资源的访问权限,则这是一个可选过程。您在中定义的属性将以SAML断言PingOne形式传递给 Ident IAM ity Center。然后,您可以在 Ident IAM ity Center 中创建一个权限集,以根据您传递的属性来管理访问权限PingOne。

在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

在中配置用户属性PingOne以实现IAM身份中心的访问控制

  1. 打开您在配置SAML时安装的 Ident PingOne IAM ity Center 应用程序PingOne(“应用程序” > “我的应用程序”)。

  2. 选择编辑,然后选择继续下一步,直到进入属性映射页面。

  3. 属性映射页上,选择添加新属性,然后执行以下操作。您必须对要添加的每个属性执行这些步骤,以便在 Ident IAM ity Center 中使用以进行访问控制。

    1. 应用程序属性 字段中输入 https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName。Replace(替换) AttributeName 使用您期望在 Identity Center 中IAM使用的属性的名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Email

    2. 身份关联属性或文本值字段中,从 PingOne 目录中选择用户属性。例如,电子邮件(工作)

  4. 选择下一步几次,然后选择完成

(可选)传递访问控制属性

您可以选择使用 Ident IAM ity Center 中的访问控制属性功能来传递Name属性设置为的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素允许您在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 Amazon STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。