本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
PingOne
IAMIdentity Center 支持通过(以下简称 “Ping”)将来自PingOne产品的用户信息自动配置Ping Identity(同步)到 Ident IAM ity Center。此配置使用跨域身份管理系统 (SCIM) v2.0 协议。您可以使用IAM身份中心SCIM终端节点和访问令牌PingOne来配置此连接。配置SCIM同步时,可以在 Ident IAM ity Center 中PingOne创建用户属性与 Identity Center 中命名属性的映射。这会导致 Ident IAM ity Center 和之间的预期属性匹配PingOne。
本指南基于截至 2020 年 10 月的 PingOne。新版本的步骤可能有所不同。有关如何Ping为其他版本的 Ident IAM ity Center 配置配置配置的更多信息,请联系PingOne。本指南还包含一些有关通过配置用户身份验证的注意事项SAML。
以下步骤将引导您了解如何使用SCIM协议启用从 PingOne Ident IAM ity Center 自动配置用户。
注意
在开始部署之前SCIM,我们建议您先查看使用自动预置的注意事项。然后继续查看下一部分中的其他注意事项。
主题
先决条件
在开始之前,您将需要以下内容:
-
PingOne 订阅或免费试用,具有联合身份验证和预置功能。有关如何获得免费试用,请参阅 Ping Identity
网站。 -
PingOneIAM身份中心应用程序已添加到您的PingOne管理门户。您可以从应用程序目录中获取 PingOne IAM Identity Center PingOne 应用程序。有关一般信息,请参阅 Ping Identity 网站上的应用程序目录中添加应用程序
。 -
从您的PingOne实例到IAM身份中心的SAML连接。将 Ident PingOne IAM ity Center 应用程序添加到您的PingOne管理门户后,您必须使用它来配置从您的PingOne实例到 Ident IAM ity Center 的SAML连接。使用两端的 “下载” 和 “导入” 元数据功能,在和 Ident IAM ity Center 之间PingOne交换SAML元数据。有关如何配置此连接的说明,请参阅 PingOne 文档。
额外注意事项
以下是一些重要的注意事项PingOne,这可能会影响您如何使用 Identity C IAM enter 实现配置。
-
自 2020 年 10 月PingOne起,不支持通过配置群组SCIM。请联系Ping以获取有关小组支持的最新信息PingOne。SCIM
-
在 PingOne 管理门户中禁用配置后,用户可以继续从 PingOne 进行配置。如果您需要立即终止配置,请删除相关的不SCIM记名令牌,和/或在 Ident IAM ity Center 使用将外部身份提供商配置到IAM身份中心 SCIM 中将其禁用。
-
如果从中配置的数据存储中删除了某个用户的属性PingOne,则该属性不会从 Ident IAM ity Center 中的相应用户中删除。这是 PingOne’s 置备程序实现中的一个已知限制。如果修改了属性,则更改将同步到 Ident IAM ity Center。
-
以下是有关您的SAML配置的重要注意事项PingOne:
-
IAM身份中心仅支持
emailaddress
作为一种NameId
格式。这意味着你需要选择一个用户属性,该属性在你的目录中是唯一的PingOne、非空的,格式为电子邮件/UPN(例如,user@domain.com),用于你的 SAML_ SUBJECT 映射。PingOne电子邮件(工作)是用于带有PingOne 内置目录的测试配置的合理值。 -
电子邮件地址中PingOne包含 + 字符的用户可能无法登录 Ident IAM ity Center,错误如
'SAML_215'
或'Invalid input'
。要修复此问题,请在中PingOne,在 “属性映射” 中为 SAML_ SUBJECT 映射选择 “高级” 选项。然后在下拉菜单中将要发送到 SP: 的名称 ID 格式设置为 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress。
-
步骤 1:在 Identity C IAM enter 中启用配置
在第一步中,您将使用 Ident IAM ity Center 控制台启用自动配置。
在 Ident IAM ity Center 中启用自动配置
-
完成先决条件后,打开 Identity C IAMenter 控制台
。 -
在左侧导航窗格中选择设置。
-
在设置页面上,找到自动预置信息框,然后选择启用。这将立即启用 Ident IAM ity Center 中的自动配置,并显示必要的SCIM端点和访问令牌信息。
-
在入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
-
SCIM端点 ——例如,https://scim。
us-east-2
.amazonaws.com/11111111111-2222-3333-4444-555555555555
/scim/v2 -
访问令牌 - 选择显示令牌以复制该值。
警告
这是您唯一一次可以获取SCIM端点和访问令牌。在继续操作之前,请务必复制这些值。在本教程的Okta后面部分,您将输入这些值来配置自动配置。
-
-
选择关闭。
现在,您已经在 Ident IAM ity Center 控制台中设置了配置,您需要使用 Ident PingOne IAM ity Center 应用程序完成其余任务。以下过程中描述了这些步骤。
步骤2:在 PingOne 中配置预置
在 Ident PingOne IAM ity Center 应用程序中使用以下步骤启用通过IAM身份中心进行配置。此过程假设您已将 Ident PingOne IAM ity Center 应用程序添加到PingOne管理门户。如果您尚未执行此操作,请参阅先决条件 ,然后完成此过程以配置SCIM配置。
要在 PingOne 中配置预置
-
打开您在配置SAML时安装的 Ident PingOne IAM ity Center 应用程序PingOne(“应用程序” > “我的应用程序”)。请参阅 先决条件 。
-
滚动到页面底部。在用户预置下,选择完整链接以导航到连接的用户预置配置。
-
在预置说明页面上,选择继续下一步。
-
在前面的步骤中,您在IAM身份中心中复制了SCIM终端节点值。将该值粘贴到 Identity C PingOne IAM enter 应用程序的SCIMURL字段中。此外,在前面的步骤中,您复制了IAM身份中心中的访问令牌值。将该值粘贴到 Ident PingOne IAM ity Center 应用程序的 ACCESS_ TOKEN 字段中。
-
对于 REMOVE_ ACTION,请选择 “已禁用” 或 “已删除”(有关更多详细信息,请参阅页面上的描述文本)。
-
在 “属性映射” 页面上,按照本页额外注意事项前面的指导,选择一个用于 SAML_ SUBJECT (
NameId
) 断言的值。然后选择继续下一步。 -
在PingOne应用程序自定义-Ident IAM ity Center 页面上,进行任何所需的自定义更改(可选),然后单击 “继续下一步”。
-
在 “组访问权限” 页面上,选择包含您想要启用配置和单点登录到 Ident IAM ity Center 的用户的群组。选择继续下一步。
-
滚动到页面底部,然后选择完成,开始预置。
-
要验证用户是否已成功同步到 Ident IAM ity Center,请返回IAM身份中心控制台并选择 “用户”。来自 PingOne 的同步用户将显示在用户页面上。现在可以将这些用户分配给 Ident IAM ity Center 中的帐户和应用程序。
请记住,这PingOne不支持通过SCIM配置群组或群组成员资格。联系 Ping 以获取更多信息。
(可选)步骤 3:在 Ident IAM ity Center 中配置用户属性以PingOne进行访问控制
PingOne如果您选择为 Ident IAM ity Center 配置属性以管理对 Amazon 资源的访问权限,则这是一个可选过程。您在中定义的属性将以SAML断言PingOne形式传递给 Ident IAM ity Center。然后,您可以在 Ident IAM ity Center 中创建一个权限集,以根据您传递的属性来管理访问权限PingOne。
在开始此过程之前,您必须首先启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性。
在中配置用户属性PingOne以实现IAM身份中心的访问控制
-
打开您在配置SAML时安装的 Ident PingOne IAM ity Center 应用程序PingOne(“应用程序” > “我的应用程序”)。
-
选择编辑,然后选择继续下一步,直到进入属性映射页面。
-
在属性映射页上,选择添加新属性,然后执行以下操作。您必须对要添加的每个属性执行这些步骤,以便在 Ident IAM ity Center 中使用以进行访问控制。
-
在应用程序属性 字段中输入
https://aws.amazon.com/SAML/Attributes/AccessControl:
。Replace(替换)AttributeName
AttributeName
使用您期望在 Identity Center 中IAM使用的属性的名称。例如,https://aws.amazon.com/SAML/Attributes/AccessControl:Email
。 -
在身份关联属性或文本值字段中,从 PingOne 目录中选择用户属性。例如,电子邮件(工作)。
-
-
选择下一步几次,然后选择完成。
(可选)传递访问控制属性
您可以选择使用 Ident IAM ity Center 中的访问控制属性功能来传递Name
属性设置为的Attribute
元素https://aws.amazon.com/SAML/Attributes/AccessControl:
。此元素允许您在SAML断言中将属性作为会话标签传递。有关会话标签的更多信息,请参阅IAM用户指南 Amazon STS中的传递会话标签。{TagKey}
要将属性作为会话标签传递,请包含指定标签值的 AttributeValue
元素。例如,要传递标签键值对CostCenter = blue
,请使用以下属性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute
元素。