Einrichtung der SCIM-Bereitstellung zwischen OneLogin und IAM Identity Center - AWS IAM Identity Center
VoraussetzungenSchritt 1: Aktivieren Sie die Bereitstellung im IAM Identity CenterSchritt 2: Konfigurieren Sie die Bereitstellung in OneLogin(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center(Optional) Übergabe von Attributen für die ZugriffskontrolleFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung der SCIM-Bereitstellung zwischen OneLogin und IAM Identity Center

IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen aus dem OneLogin IAM Identity Center mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.

Anmerkung

OneLoginunterstützt derzeit den SAML Multiple Assertion Consume Service (ACS) in der Anwendung nicht. URLs AWS IAM Identity Center Diese SAML-Funktion ist erforderlich, um die Unterstützung mehrerer Regionen in IAM Identity Center in vollem Umfang nutzen zu können. Wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren, beachten Sie, dass die Verwendung einer einzigen ACS-URL die Benutzererfahrung in diesen zusätzlichen Regionen beeinträchtigen kann. Ihre Hauptregion wird weiterhin normal funktionieren. Wir empfehlen, dass Sie mit Ihrem IdP-Anbieter zusammenarbeiten, um diese Funktion zu aktivieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs undAWS-Konto Zugriffssicherheit ohne mehrere ACS URLs.

Sie konfigurieren diese Verbindung inOneLogin, indem Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken verwenden, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute OneLogin zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und überein. OneLogin

In den folgenden Schritten erfahren Sie, wie Sie mithilfe des SCIM-Protokolls die automatische Bereitstellung von Benutzern und Gruppen von OneLogin zu IAM Identity Center aktivieren.

Anmerkung

Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die zu lesen. Überlegungen zur Verwendung der automatischen Bereitstellung

Voraussetzungen

Bevor Sie beginnen können, benötigen Sie Folgendes:

Schritt 1: Aktivieren Sie die Bereitstellung im IAM Identity Center

In diesem ersten Schritt verwenden Sie die IAM Identity Center-Konsole, um die automatische Bereitstellung zu aktivieren.

Um die automatische Bereitstellung in IAM Identity Center zu aktivieren

  1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die IAM Identity Center-Konsole.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Suchen Sie auf der Seite Einstellungen das Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.

  4. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.

    1. SCIM-Endpunkt — Zum Beispiel https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.

  5. Klicken Sie auf Schließen.

Sie haben jetzt die Bereitstellung in der IAM Identity Center-Konsole eingerichtet. Jetzt müssen Sie die verbleibenden Aufgaben mithilfe der OneLogin Admin-Konsole ausführen, wie im folgenden Verfahren beschrieben.

Schritt 2: Konfigurieren Sie die Bereitstellung in OneLogin

Verwenden Sie das folgende Verfahren in der OneLogin Admin-Konsole, um die Integration zwischen IAM Identity Center und der IAM Identity Center-App zu aktivieren. Bei diesem Verfahren wird davon ausgegangen, dass Sie die AWS Single Sign-On-Anwendung bereits OneLogin für die SAML-Authentifizierung konfiguriert haben. Wenn Sie diese SAML-Verbindung noch nicht hergestellt haben, tun Sie dies, bevor Sie fortfahren, und kehren Sie dann hierher zurück, um den SCIM-Bereitstellungsprozess abzuschließen. Weitere Informationen zur Konfiguration von SAML mit OneLogin finden Sie unter Aktivieren von Single Sign-On zwischen OneLogin und AWS im Partner Network-Blog. AWS

So konfigurieren Sie die Bereitstellung in OneLogin

  1. Melden Sie sich an OneLogin und navigieren Sie dann zu Anwendungen > Anwendungen.

  2. Suchen Sie auf der Seite Anwendungen nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie sie aus und wählen Sie dann im Navigationsbereich Konfiguration aus.

  3. Im vorherigen Verfahren haben Sie den SCIM-Endpunktwert in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld SCIM-Basis-URL in ein. OneLogin Außerdem haben Sie im vorherigen Verfahren den Wert des Zugriffstokens in IAM Identity Center kopiert. Fügen Sie diesen Wert in das Feld SCIM-Bearer-Token unter ein. OneLogin

  4. Klicken Sie neben API-Verbindung auf Aktivieren und dann auf Speichern, um die Konfiguration abzuschließen.

  5. Wählen Sie im Navigationsbereich Provisioning (Bereitstellung) aus.

  6. Aktivieren Sie die Kontrollkästchen für Bereitstellung aktivieren, Benutzer erstellen, Benutzer löschen und Benutzer aktualisieren und wählen Sie dann Speichern aus.

  7. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  8. Klicken Sie auf Weitere Aktionen und wählen Sie Logins synchronisieren aus. Sie sollten die Meldung Benutzer mit AWS Single Sign-On synchronisieren erhalten.

  9. Klicken Sie erneut auf Weitere Aktionen und wählen Sie dann Berechtigungszuordnungen erneut anwenden aus. Sie sollten die Meldung „Zuordnungen werden erneut angewendet“ erhalten.

  10. Zu diesem Zeitpunkt sollte der Bereitstellungsprozess beginnen. Um dies zu bestätigen, navigieren Sie zu Aktivität > Ereignisse und überwachen Sie den Fortschritt. Erfolgreiche Bereitstellungsereignisse sowie Fehler sollten im Event-Stream erscheinen.

  11. Um zu überprüfen, ob Ihre Benutzer und Gruppen alle erfolgreich mit IAM Identity Center synchronisiert wurden, kehren Sie zur IAM Identity Center-Konsole zurück und wählen Sie Benutzer aus. Ihre synchronisierten Benutzer von OneLogin werden auf der Seite Benutzer angezeigt. Sie können Ihre synchronisierten Gruppen auch auf der Gruppenseite einsehen.

  12. Um Benutzeränderungen automatisch mit IAM Identity Center zu synchronisieren, navigieren Sie zur Seite Provisioning, suchen Sie den Abschnitt Administratorgenehmigung erforderlich, bevor diese Aktion ausgeführt wird, deaktivieren Sie die Optionen Benutzer erstellen, Benutzer löschen, Benutzer and/or aktualisieren und klicken Sie auf Speichern.

(Optional) Schritt 3: Konfigurieren Sie Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center

Dies ist ein optionales Verfahren für die OneLogin Konfiguration von Attributen, die Sie in IAM Identity Center verwenden, um den Zugriff auf Ihre AWS Ressourcen zu verwalten. Die Attribute, die Sie definieren, OneLogin werden in einer SAML-Assertion an IAM Identity Center übergeben. Anschließend erstellen Sie in IAM Identity Center einen Berechtigungssatz, um den Zugriff auf der Grundlage der Attribute zu verwalten, die Sie übergeben haben. OneLogin

Bevor Sie mit diesem Verfahren beginnen, müssen Sie zuerst die Attribute für Zugriffskontrolle Funktion aktivieren. Weitere Information dazu finden Sie unter Aktivieren und konfigurieren Sie Attribute für die Zugriffskontrolle.

Um Benutzerattribute OneLogin für die Zugriffskontrolle im IAM Identity Center zu konfigurieren

  1. Melden Sie sich an OneLogin und navigieren Sie dann zu Anwendungen > Anwendungen.

  2. Suchen Sie auf der Seite Anwendungen nach der Anwendung, die Sie zuvor erstellt haben, um Ihre SAML-Verbindung mit IAM Identity Center herzustellen. Wählen Sie sie aus und klicken Sie dann im Navigationsbereich auf Parameter.

  3. Gehen Sie im Abschnitt Erforderliche Parameter für jedes Attribut, das Sie in IAM Identity Center verwenden möchten, wie folgt vor:

    1. Wählen Sie +.

    2. Geben Sie im Feld Feldname den Namen des Attributs einhttps://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName, das Sie in IAM Identity Center erwarten, und ersetzen AttributeName Sie es durch. Beispiel, https://aws.amazon.com/SAML/Attributes/AccessControl:Department.

    3. Aktivieren Sie unter Flags das Kontrollkästchen neben In SAML-Assertion einbeziehen und wählen Sie Speichern aus.

    4. Verwenden Sie im Feld Wert die Dropdownliste, um die OneLogin Benutzerattribute auszuwählen. Zum Beispiel Abteilung.

  4. Wählen Sie Speichern.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Fehlerbehebung

Im Folgenden können Sie einige häufig auftretende Probleme beheben, die bei der Einrichtung der automatischen Bereitstellung auftreten können. OneLogin

Gruppen werden nicht für IAM Identity Center bereitgestellt

Standardmäßig können Gruppen nicht vom IAM Identity Center aus OneLogin bereitgestellt werden. Stellen Sie sicher, dass Sie die Gruppenbereitstellung für Ihre IAM Identity Center-Anwendung in aktiviert haben. OneLogin Melden Sie sich dazu bei der OneLogin Admin-Konsole an und vergewissern Sie sich, dass in den Eigenschaften der IAM Identity Center-Anwendung (IAM Identity Center-Anwendung > Parameter > Gruppen) die Option In die Benutzerverwaltung einbeziehen ausgewählt ist. Weitere Informationen zum Erstellen von Gruppen inOneLogin, einschließlich zum Synchronisieren von OneLogin Rollen als Gruppen in SCIM, finden Sie auf der Website. OneLogin

Es wird nichts vom OneLogin IAM Identity Center synchronisiert, obwohl alle Einstellungen korrekt sind

Zusätzlich zu dem obigen Hinweis zur Genehmigung durch den Administrator müssen Sie die Berechtigungszuordnungen erneut anwenden, damit viele Konfigurationsänderungen wirksam werden. Dies finden Sie unter Anwendungen > Anwendungen > IAM Identity Center-Anwendung > Weitere Aktionen. Details und Protokolle zu den meisten AktionenOneLogin, einschließlich Synchronisierungsereignissen, finden Sie unter Aktivität > Ereignisse.

Ich habe eine Gruppe gelöscht oder deaktiviertOneLogin, aber sie wird immer noch in IAM Identity Center angezeigt

OneLoginunterstützt derzeit den SCIM DELETE-Vorgang für Gruppen nicht, was bedeutet, dass die Gruppe weiterhin in IAM Identity Center existiert. Sie müssen die Gruppe daher direkt aus IAM Identity Center entfernen, um sicherzustellen, dass alle entsprechenden Berechtigungen in IAM Identity Center für diese Gruppe entfernt werden.

Ich habe eine Gruppe in IAM Identity Center gelöscht, ohne sie vorher zu löschen, OneLogin und jetzt habe ich Synchronisierungsprobleme user/group

Um dieses Problem zu beheben, stellen Sie zunächst sicher, dass Sie keine redundanten Regeln oder Konfigurationen für die Gruppenbereitstellung eingerichtet haben. OneLogin Zum Beispiel eine Gruppe, die einer Anwendung direkt zugewiesen ist, zusammen mit einer Regel, die für dieselbe Gruppe veröffentlicht. Löschen Sie anschließend alle unerwünschten Gruppen in IAM Identity Center. Aktualisieren Sie abschließend die Berechtigungen (IAM Identity Center App > Provisioning > Berechtigungen) und wenden Sie dann die Berechtigungszuordnungen erneut an (IAM Identity Center App > Weitere Aktionen). OneLogin Um dieses Problem in future zu vermeiden, nehmen Sie zunächst die Änderung vor, um die Bereitstellung der Gruppe in zu beendenOneLogin, und löschen Sie dann die Gruppe aus IAM Identity Center.