Setting up SCIM provisioning between CyberArk and IAM Identity Center - AWS IAM Identity Center
VoraussetzungenÜberlegungen zu SCIMSchritt 1: Aktivieren Sie die Bereitstellung im IAM Identity CenterSchritt 2: Konfigurieren Sie die Bereitstellung in CyberArk(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute CyberArk für die Zugriffskontrolle (ABAC) im IAM Identity Center (Optional) Übergabe von Attributen für die Zugriffskontrolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Setting up SCIM provisioning between CyberArk and IAM Identity Center

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzerinformationen aus dem CyberArk Directory Platform IAM Identity Center. Bei dieser Bereitstellung wird das SCIM-Protokoll (System for Cross-Domain Identity Management) v2.0 verwendet. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.

Anmerkung

CyberArkunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) in der Anwendung nicht. URLs AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die Unterstützung mehrerer Regionen in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre primäre Region wird weiterhin normal funktionieren. Wir empfehlen Ihnen, mit Ihrem IdP-Anbieter zusammenzuarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs undAWS-Konto Zugriffssicherheit ohne mehrere ACS URLs.

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die Überlegungen zur Verwendung der automatischen Bereitstellung zu lesen. Lesen Sie dann im nächsten Abschnitt weitere Überlegungen durch.

Voraussetzungen

Sie benötigen Folgendes, bevor Sie beginnen können:

  • CyberArkAbonnement oder kostenlose Testversion. Um sich für eine kostenlose Testversion anzumelden, besuchen Sie uns CyberArk.

  • Ein IAM Identity Center-fähiges Konto (kostenlos). Weitere Informationen finden Sie unter IAM Identity Center aktivieren.

  • Eine SAML-Verbindung von Ihrem CyberArk Konto zum IAM Identity Center, wie in der CyberArkDokumentation für IAM Identity Center beschrieben.

  • Ordnen Sie den IAM Identity Center-Connector den Rollen, Benutzern und Organisationen zu, denen Sie Zugriff gewähren möchten. AWS-Konten

Überlegungen zu SCIM

Bei der Verwendung von CyberArk Federation für IAM Identity Center sollten Sie Folgendes beachten:

  • Nur Rollen, die im Abschnitt Anwendungsbereitstellung zugeordnet sind, werden mit IAM Identity Center synchronisiert.

  • Das Provisioning-Skript wird nur in seinem Standardstatus unterstützt. Sobald es geändert wurde, schlägt das SCIM-Provisioning möglicherweise fehl.

    • Es kann nur ein Telefonnummernattribut synchronisiert werden. Die Standardeinstellung ist „Geschäftstelefon“.

  • Wenn die Rollenzuweisung in der CyberArk IAM Identity Center-Anwendung geändert wird, wird das folgende Verhalten erwartet:

    • Wenn die Rollennamen geändert werden — keine Änderungen an den Gruppennamen in IAM Identity Center.

    • Wenn die Gruppennamen geändert werden, werden neue Gruppen in IAM Identity Center erstellt. Alte Gruppen bleiben bestehen, haben aber keine Mitglieder.

  • Das Benutzersynchronisierungs- und Deprovisionierungsverhalten kann in der CyberArk IAM Identity Center-Anwendung eingerichtet werden. Stellen Sie sicher, dass Sie das richtige Verhalten für Ihre Organisation einrichten. Dies sind die Optionen, die Ihnen zur Verfügung stehen:

    • Benutzer im Identity Center-Verzeichnis mit demselben Prinzipalnamen überschreiben (oder nicht).

    • Heben Sie die Benutzerbereitstellung für IAM Identity Center auf, wenn der Benutzer aus der Rolle entfernt wird. CyberArk

    • Benutzerverhalten aufheben — deaktivieren oder löschen.

Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

Um die automatische Bereitstellung in IAM Identity Center zu aktivieren

  1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

  4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

    1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.

  5. Klicken Sie auf Schließen.

Nachdem Sie die Bereitstellung in der IAM Identity Center-Konsole eingerichtet haben, müssen Sie die verbleibenden Aufgaben mithilfe der CyberArk IAM Identity Center-Anwendung ausführen. Diese Schritte werden im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren Sie die Bereitstellung in CyberArk

Verwenden Sie das folgende Verfahren in der CyberArk IAM Identity Center-Anwendung, um die Bereitstellung mit IAM Identity Center zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die CyberArk IAM Identity Center-Anwendung bereits zu Ihrer CyberArk Admin-Konsole unter Web Apps hinzugefügt haben. Falls Sie dies noch nicht getan haben, lesen Sie unter und führen Sie dann dieses Verfahren ausVoraussetzungen, um die SCIM-Bereitstellung zu konfigurieren.

So konfigurieren Sie die Bereitstellung in CyberArk

  1. Öffnen Sie die CyberArk IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für hinzugefügt haben CyberArk (Apps > Web-App). Siehe Voraussetzungen.

  2. Wählen Sie die IAM Identity Center-Anwendung aus und gehen Sie zum Abschnitt Provisioning.

  3. Markieren Sie das Kästchen „Bereitstellung für diese Anwendung aktivieren“ und wählen Sie „Live-Modus“.

  4. Im vorherigen Verfahren haben Sie den SCIM-Endpunktwert aus dem IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld SCIM-Dienst-URL ein und legen Sie in der CyberArk IAM Identity Center-Anwendung den Autorisierungstyp auf Authorization Header fest.

  5. Stellen Sie den Header-Typ auf Bearer-Token ein.

  6. Aus dem vorherigen Verfahren haben Sie den Wert des Zugriffstokens in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld Bearer Token in der CyberArk IAM Identity Center-Anwendung ein.

  7. Klicken Sie auf Überprüfen, um die Konfiguration zu testen und anzuwenden.

  8. Wählen Sie unter den Synchronisierungsoptionen das Verhalten aus, für das die ausgehende Bereitstellung funktionieren CyberArk soll. Sie können festlegen, ob bestehende IAM Identity Center-Benutzer mit einem ähnlichen Prinzipalnamen überschrieben (oder nicht) und wie die Bereitstellung aufgehoben werden soll.

  9. Richten Sie unter Rollenzuordnung die Zuordnung von CyberArk Rollen im Feld Name zur IAM Identity Center-Gruppe unter Zielgruppe ein.

  10. Wenn Sie fertig sind, klicken Sie unten auf Speichern.

  11. Um zu überprüfen, ob Benutzer erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Synchronisierte Benutzer von CyberArk werden auf der Seite Benutzer angezeigt. Diese Benutzer können jetzt Konten zugewiesen werden und können sich innerhalb von IAM Identity Center verbinden.

(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute CyberArk für die Zugriffskontrolle (ABAC) im IAM Identity Center

Dies ist ein optionales Verfahren für den FallCyberArk, dass Sie Attribute für IAM Identity Center konfigurieren möchten, um den Zugriff auf Ihre Ressourcen zu verwalten. AWS Die Attribute, die Sie definieren, CyberArk werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. CyberArk

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

Um Benutzerattribute CyberArk für die Zugriffskontrolle im IAM Identity Center zu konfigurieren

  1. Öffnen Sie die CyberArk IAM Identity Center-Anwendung, die Sie im Rahmen der Konfiguration von SAML für installiert haben CyberArk (Apps > Web-Apps).

  2. Gehen Sie zur Option SAML Response.

  3. Fügen Sie der Tabelle unter Attribute die entsprechenden Attribute gemäß der folgenden Logik hinzu:

    1. Attributname ist der ursprüngliche Attributname vonCyberArk.

    2. Attributwert ist der Attributname, der in der SAML-Assertion an IAM Identity Center gesendet wird.

  4. Wählen Sie Speichern.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.