Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center admite el aprovisionamiento automático (sincronización) de la información de los usuarios de CyberArk Directory Platform a IAM Identity Center. Este aprovisionamiento utiliza el protocolo sistema de administración de identidades entre dominios (SCIM) v2.0. Para obtener más información, consulte [Uso de la federación de identidades SAML y SCIM con proveedores de identidad externos](other-idps.md).

**nota**  
CyberArkactualmente no admite el servicio de consumo de aserciones múltiples (ACS) de SAML URLs en la AWS IAM Identity Center aplicación. Esta función de SAML es necesaria para aprovechar al máximo el [soporte multirregional del IAM Identity Center](multi-region-iam-identity-center.md). Si planea replicar el Centro de Identidad de IAM en otras regiones, tenga en cuenta que el uso de una sola URL de ACS puede afectar a la experiencia del usuario en esas regiones adicionales. Su región principal seguirá funcionando con normalidad. Le recomendamos que trabaje con su proveedor de IdP para habilitar esta función. Para obtener más información sobre la experiencia del usuario en otras regiones con una única URL de ACS, consulte [Uso de aplicaciones AWS gestionadas sin varios ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) y[Cuenta de AWS resiliencia de acceso sin varios ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).

Antes de comenzar a implementar SCIM, le recomendamos que revise las [Consideraciones para utilizar el aprovisionamiento automático](provision-automatically.md#auto-provisioning-considerations). A continuación, continúe con las consideraciones adicionales que se indican en la siguiente sección.

**Topics**
+ [Requisitos previos](#cyberark-prereqs)
+ [Consideraciones de SCIM](#cyberark-considerations)
+ [Paso 1: habilite el aprovisionamiento en IAM Identity Center](#cyberark-step1)
+ [Paso 2: configure el aprovisionamiento en CyberArk](#cyberark-step2)
+ [(Opcional) Paso 3: configure los atributos de usuario en CyberArk para el control de acceso (ABAC) en IAM Identity Center](#cyberark-step3)
+ [(Opcional) Paso de atributos para el control de acceso](#cyberark-passing-abac)

## Requisitos previos
<a name="cyberark-prereqs"></a>

Antes de comenzar, necesitará lo siguiente:
+ Suscripción a CyberArk o prueba gratuita. Para suscribirse a una versión de prueba gratuita, vaya a [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Una cuenta habilitada para IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para más información, consulte [Activar IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Una conexión SAML desde su cuenta de CyberArk a IAM Identity Center, tal y como se describe en la [documentación de IAM Identity Center CyberArk](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Asocie el conector de IAM Identity Center a los roles, usuarios y organizaciones a los que desee permitir el acceso a las Cuentas de AWS.

## Consideraciones de SCIM
<a name="cyberark-considerations"></a>

A continuación, se presentan las consideraciones a tener en cuenta al utilizar la federación de CyberArk para IAM Identity Center:
+ Solo los roles asignados en la sección de aprovisionamiento de aplicaciones se sincronizarán con IAM Identity Center.
+ El script de aprovisionamiento solo se admite en su estado predeterminado; una vez modificado, el aprovisionamiento de SCIM podría fallar.
  + Solo se puede sincronizar un atributo de número de teléfono y el valor predeterminado es “teléfono del trabajo”.
+ Si se cambia la asignación de roles en la aplicación de IAM Identity Center CyberArk, se espera el siguiente comportamiento:
  + Si se cambian los nombres de los roles, no habrá cambios en los nombres de los grupos en IAM Identity Center.
  + Si se cambian los nombres de los grupos, se crearán nuevos grupos en IAM Identity Center y los grupos antiguos permanecerán sin miembros.
+ El comportamiento de sincronización y desaprovisionamiento de los usuarios se puede configurar desde la aplicación de IAM Identity Center CyberArk. Asegúrese de configurar el comportamiento correcto para su organización. Estas son las opciones:
  + Sobrescriba (o no) a los usuarios del directorio de Identity Center con el mismo nombre principal.
  + Cancele el aprovisionamiento de usuarios de IAM Identity Center cuando se elimine al usuario del rol de CyberArk.
  + Cancele el aprovisionamiento de usuarios: deshabilite o elimine.

## Paso 1: habilite el aprovisionamiento en IAM Identity Center
<a name="cyberark-step1"></a>

En este primer paso, utilizará la consola de IAM Identity Center para habilitar el aprovisionamiento automático.

**Cómo habilitar el aprovisionamiento automático en IAM Identity Center**

1. Una vez que haya completado los requisitos previos, abra la consola de [IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. En el panel de navegación izquierdo, elija **Configuración**.

1. En la página de **configuración**, busque el cuadro de información sobre el **aprovisionamiento automático** y, a continuación, seleccione **Habilitar.** Esto habilita inmediatamente el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión del SCIM y el token de acceso.

1. En el cuadro de diálogo **Aprovisionamiento automático de entrada**, copie el punto de conexión de SCIM y el token de acceso. Deberá pegarlos más adelante cuando configure el aprovisionamiento en su IdP.

   1. **Punto final de SCIM**: por ejemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **Token de acceso**: seleccione **Mostrar token** para copiar el valor.
**aviso**  
Esta es la única vez en la que puede obtener el punto de conexión y el token de acceso de SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático en su IdP más adelante en este tutorial. 

1. Seleccione **Cerrar**.

Ahora que ha configurado el aprovisionamiento en la consola de IAM Identity Center, debe completar las tareas restantes con la aplicación IAM Identity Center de CyberArk. Estos pasos se explican en el procedimiento siguiente.

## Paso 2: configure el aprovisionamiento en CyberArk
<a name="cyberark-step2"></a>

 Utilice el siguiente procedimiento en la aplicación IAM Identity Center CyberArk para habilitar el aprovisionamiento con IAM Identity Center. En este procedimiento se presupone que ya ha añadido la aplicación IAM Identity Center CyberArk a la consola de administración de CyberArk en la sección **Aplicaciones web.** Si aún no lo ha hecho, consulte los [Requisitos previos](#cyberark-prereqs) y complete este procedimiento para configurar el aprovisionamiento de SCIM. 

**Cómo configurar el aprovisionamiento en CyberArk**

1. Abra la aplicación IAM Identity Center CyberArk que agregó como parte de la configuración de SAML CyberArk (**Aplicaciones > Aplicación web**). Consulte [Requisitos previos](#cyberark-prereqs).

1. Elija la aplicación **IAM Identity Center** y vaya a la sección **Aprovisionamiento.**

1. Marque la casilla **Habilitar el aprovisionamiento para esta aplicación** y elija **Live Mode.**

1. En el procedimiento anterior, copió el valor del **punto de conexión del SCIM** de IAM Identity Center. Pegue ese valor en el campo **URL del servicio SCIM**, en la aplicación IAM Identity Center CyberArk, defina el **tipo de autorización** como **encabezado de autorización**.

1. Configure el **tipo de encabezado** como **token al portador**.

1. En el procedimiento anterior, copió el valor del **token de acceso** en IAM Identity Center. Pegue ese valor en el campo **Token al portador** de la aplicación IAM Identity Center CyberArk.

1. Haga clic en **Verificar** para probar y aplicar la configuración.

1. En **Opciones de sincronización**, elija el comportamiento correcto para el que desee que funcione el aprovisionamiento saliente de CyberArk. Puede optar por sobrescribir (o no) a los usuarios actuales de IAM Identity Center con un nombre principal y un comportamiento de desaprovisionamiento similares.

1. En **Asignación de roles**, adapte el mapeo de los roles desde CyberArk, en el campo **Nombre** al grupo de IAM Identity Center, en **Grupo de destino**.

1. Cuando haya terminado, haga clic en **Guardar**, en la parte inferior.

1. Para comprobar que los usuarios se han sincronizado correctamente con IAM Identity Center, vuelva a la consola de IAM Identity Center y seleccione **Usuarios**. Los usuarios sincronizados de CyberArk aparecerán en la página **Usuarios**. Estos usuarios ya pueden asignarse a cuentas y conectarse dentro de IAM Identity Center.

## (Opcional) Paso 3: configure los atributos de usuario en CyberArk para el control de acceso (ABAC) en IAM Identity Center
<a name="cyberark-step3"></a>

Se trata de un procedimiento opcional si CyberArk decide configurar los atributos del Centro de Identidad de IAM para gestionar el acceso a sus recursos. AWS Los atributos que defina en CyberArk se transfieren en una aserción de SAML al IAM Identity Center. A continuación, debe crear un conjunto de permisos en IAM Identity Center para administrar el acceso en función de los atributos que transfirió desde CyberArk. 

Antes de comenzar con este procedimiento, debe habilitar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md). Para obtener más información acerca de cómo hacerlo, consulte [Habilitación y configuración de atributos para el control de acceso](configure-abac.md).

**Cómo configurar atributos de usuario utilizados en CyberArk para el control de acceso en IAM Identity Center**

1. Abra la aplicación IAM Identity Center CyberArk que instaló como parte de la configuración de SAML para CyberArk (**Aplicaciones > Aplicaciones web**).

1. Vaya a la opción **Respuesta SAML**.

1. En **Atributos**, añada los atributos relevantes a la tabla siguiendo la siguiente lógica:

   1. El **Nombre del atributo** es el nombre del atributo original de CyberArk.

   1. El **Valor del atributo** es el nombre del atributo que se envía en la aserción SAML a IAM Identity Center.

1. Seleccione **Save**.

## (Opcional) Paso de atributos para el control de acceso
<a name="cyberark-passing-abac"></a>

Si lo desea, puede utilizar la característica [Atributos para controlar el acceso](attributesforaccesscontrol.md) de IAM Identity Center para transferir un elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) en la *Guía del usuario de IAM*.

Para pasar atributos como etiquetas de sesión, incluya el elemento `AttributeValue` que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas `CostCenter = blue`.

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

Si necesita añadir varios atributos, incluya un elemento `Attribute` independiente para cada etiqueta.