Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# PingOne
IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios desde PingOne por parte de Ping Identity (de ahora en adelante “Ping”) a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Esta conexión se configura en PingOne mediante el punto de conexión SCIM y el token de acceso de IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en PingOne con los atributos nombrados en IAM Identity Center. Esto hace que los atributos esperados coincidan entre IAM Identity Center y PingOne.
Los siguientes pasos explican cómo habilitar el aprovisionamiento automático de usuarios de PingOne a IAM Identity Center mediante el protocolo SCIM.
**nota**
Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.
**Topics**
+ [Requisitos previos](#pingone-prereqs)
+ [Consideraciones](#pingone-considerations)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#pingone-step1)
+ [Paso 2: configure el aprovisionamiento en PingOne](#pingone-step2)
+ [(Opcional) Paso 3: configure los atributos de usuario en PingOne para el control de acceso en IAM Identity Center](#pingone-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#pingone-passing-abac)
+ [Resolución de problemas](#pingone-troubleshooting)
## Requisitos previos
Antes de comenzar, necesitará lo siguiente:
+ Una suscripción o una prueba gratuita de PingOne, con funciones de autenticación federada y aprovisionamiento. Para obtener más información acerca de cómo obtener una prueba gratuita, consulte el sitio web de [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html).
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ La aplicación IAM Identity Center PingOne se agregó a su portal de administración de PingOne. Puede obtener la aplicación IAM Identity Center PingOne en el catálogo de aplicaciones de PingOne. Para obtener información general, consulte [Add an application from the Application Catalog](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) del sitio web de Ping Identity.
+ Una conexión SAML desde su instancia de PingOne a IAM Identity Center. Una vez que la aplicación IAM Identity Center de PingOne se haya agregado a su portal de administración de PingOne, debe usarla para configurar una conexión SAML desde su instancia de PingOne a IAM Identity Center. Utilice las características de “descarga” e “importación” de metadatos en ambos extremos para intercambiar metadatos de SAML entre PingOne y IAM Identity Center. Para obtener instrucciones sobre cómo configurar esta conexión, consulte la documentación de PingOne.
+ Si ha replicado el Centro de Identidad de IAM en otras regiones, debe actualizar la configuración de su proveedor de identidad para permitir el acceso a las aplicaciones AWS gestionadas y Cuentas de AWS desde esas regiones. Para obtener más información, consulte [Paso 3: Actualizar la configuración del IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte la PingOne documentación para obtener más información.
## Consideraciones
Las siguientes son consideraciones importantes sobre PingOne que pueden afectar a la forma en que se implementa el aprovisionamiento con IAM Identity Center.
+ PingOne no admite el aprovisionamiento de grupos a través de SCIM. Póngase en contacto con Ping para obtener la información más reciente sobre el apoyo grupal en SCIM para PingOne.
+ Los usuarios pueden seguir aprovisionándose desde PingOne después de deshabilitar el aprovisionamiento en el portal de administración de PingOne. Si necesita finalizar el aprovisionamiento inmediatamente, elimine el token portador de SCIM correspondiente y and/or desactívelo [Aprovisione usuarios y grupos desde un proveedor de identidades externo utilizando SCIM](provision-automatically.md) en el Centro de Identidad de IAM.
+ Si se elimina un atributo de un usuario en PingOne, ese atributo no se eliminará del usuario correspondiente en IAM Identity Center. Se trata de una limitación conocida en la implementación del aprovisionador de PingOne’s. Si se modifica un atributo, el cambio se sincronizará con IAM Identity Center.
+ Las siguientes son notas importantes sobre la configuración de SAML en PingOne:
+ IAM Identity Center solo es compatible con `emailaddress` como formato de `NameId`. **Esto significa que debe elegir un atributo de usuario que sea único en su directorioPingOne, que no sea nulo y que tenga el formato de email/UPN (por ejemplo, user@domain.com) para su mapeo de SAML\_SUBJECT.** PingOne El **correo electrónico (trabajo)** es un valor razonable para probar las configuraciones con el directorio integrado de PingOne.
+ Es posible que los usuarios de PingOne con una dirección de correo electrónico que contenga un carácter **\+** no puedan iniciar sesión en IAM Identity Center debido a errores como `'SAML_215'` o `'Invalid input'`. Para solucionar este problema, en PingOne, seleccione la opción **Avanzada** para la asignación de **SAML\_SUBJECT** en las **asignaciones de atributos**. A continuación, defina el **formato de ID de nombre para enviarlo a SP:** para **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress** en el menú desplegable.
## Paso 1: habilite el aprovisionamiento en IAM Identity Center
En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.
**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**
1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. En el panel de navegación izquierdo, elija **Configuración**.
1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.
1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.
1. **Punto final de SCIM:** por ejemplo, https://scim. {{us-east-2}}.amazonaws.com/ /scim/v2 {{11111111111-2222-3333-4444-555555555555}}
1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial.
1. Seleccione **Cerrar**.
Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes con la aplicación IAM Identity Center de PingOne. Estos pasos se explican en el procedimiento siguiente.
## Paso 2: configure el aprovisionamiento en PingOne
Utilice el siguiente procedimiento en la aplicación IAM Identity Center PingOne para habilitar el aprovisionamiento con IAM Identity Center. En este procedimiento se presupone que ya ha añadido la aplicación PingOne de IAM Identity Center a la consola de administración del portal de PingOne. Si aún no lo ha hecho, consulte los [Requisitos previos](#pingone-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM.
**Cómo configurar el aprovisionamiento en PingOne**
1. Abra la aplicación IAM Identity Center PingOne que instaló como parte de la configuración de SAML para PingOne (**Aplicaciones** > **Mis aplicaciones**). Consulte [Requisitos previos](#pingone-prereqs).
1. Desplácese hasta el final de la página. En **Aprovisionamiento de usuarios**, elija el enlace **completo** para acceder a la configuración de aprovisionamiento de usuarios de su conexión.
1. En la página de **instrucciones de aprovisionamiento**, seleccione **Continuar** con el siguiente paso.
1. En el procedimiento anterior, copió el valor del **punto de conexión de SCIM** en IAM Identity Center. Pegue ese valor en el campo **URL de SCIM** de la aplicación PingOne de IAM Identity Center. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **ACCESS\_TOKEN** en la aplicación de PingOne de IAM Identity Center.
1. Para **REMOVE\_ACTION**, elija **Desactivada** o **Eliminada** (consulte el texto de descripción de la página para obtener más información).
1. En la página de **asignación de atributos**, elija un valor para usarlo en la afirmación **SAML\_SUBJECT** (`NameId`), siguiendo las instrucciones de [Consideraciones](#pingone-considerations) que aparecen anteriormente en esta página. A continuación elija **Continuar con el paso siguiente**.
1. En la página **Personalización de la aplicación IAM Identity Center PingOne**, realice los cambios de personalización que desee (opcional) y haga clic en **Continuar con el siguiente paso**.
1. En la página **Acceso grupal**, seleccione los grupos que contienen los usuarios que desea habilitar para el aprovisionamiento y el inicio de sesión único en IAM Identity Center. Elija **Continuar con el paso siguiente**.
1. Desplácese hasta el final de la página y seleccione **Finalizar** para iniciar el aprovisionamiento.
1. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios.** Los usuarios sincronizados de PingOne aparecerán en la página **Usuarios**. Estos usuarios ahora pueden asignarse a cuentas en IAM Identity Center.
Recuerde que PingOne no admite el aprovisionamiento de grupos o la pertenencia a grupos a través de SCIM. Póngase en contacto con la asistencia de Ping para obtener más información.
## (Opcional) Paso 3: configure los atributos de usuario en PingOne para el control de acceso en IAM Identity Center
Se trata de un procedimiento opcional PingOne si decide configurar los atributos del Centro de Identidad de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en PingOne se transfieren en una aserción de SAML a IAM Identity Center. A continuación, debe crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde PingOne.
Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).
**Cómo configurar atributos de usuario utilizados en PingOne para el control de acceso en IAM Identity Center**
1. Abra la aplicación IAM Identity Center PingOne que instaló como parte de la configuración de SAML para PingOne (**Aplicaciones > Mis aplicaciones**).
1. Elija **Editar** y, a continuación, elija **Continuar con el siguiente paso** hasta llegar a la página **Asignaciones de atributos**.
1. En la página **Asignaciones de atributos**, elija **Añadir nuevo atributo**. A continuación, siga estos pasos para cada atributo que vaya a añadir para su uso en IAM Identity Center para el control de acceso.
1. En el campo **Atributo de la aplicación**, introduzca `https://aws.amazon.com/SAML/Attributes/AccessControl:{{AttributeName}}`. Sustituya {{AttributeName}} por el nombre del atributo que está esperando en IAM Identity Center. Por ejemplo, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.
1. En el campo del **atributo o valor lineal del puente de identidades**, elija los atributos de usuario de su directorio de PingOne. Por ejemplo, **Correo electrónico (trabajo)**.
1. Elija **Siguiente** y, a continuación, haga clic en **Terminar**.
## (Opcional) Paso de atributos para el control de acceso
Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.
Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.
```
blue
```
Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.
## Resolución de problemas
Para saber cómo solucionar problemas generales de SCIM y SAML con PingOne, consulte las secciones siguientes:
+ [Algunos usuarios no logran sincronizarse con IAM Identity Center desde un proveedor de SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados con el contenido de las confirmaciones de SAML creadas por IAM Identity Center](troubleshooting.md#issue1)
+ [Error de usuario o grupo duplicado al aprovisionar usuarios o grupos con un proveedor de identidad externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obtener más información acerca de PingOne, consulte la [documentación de PingOne](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).
Los siguientes recursos pueden ayudarle a solucionar problemas mientras trabaja con: AWS
+ [AWS re:Post](https://repost.aws/)- Busca otros recursos FAQs y enlaces a ellos para ayudarte a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obtenga soporte técnico