Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Setting up SCIM provisioning between CyberArk and IAM Identity Center
IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations utilisateur depuis CyberArk Directory Platform IAM Identity Center. Ce provisionnement utilise le protocole SCIM (System for Cross-Domain Identity Management) v2.0. Pour de plus amples informations, veuillez consulter [Utilisation de la fédération d'identité SAML et SCIM avec des fournisseurs d'identité externes](other-idps.md).
**Note**
CyberArkne prend actuellement pas en charge le service de consommation d'assertions multiples (ACS) SAML URLs dans l' AWS IAM Identity Center application. Cette fonctionnalité SAML est requise pour tirer pleinement parti de la prise en [charge multirégionale](multi-region-iam-identity-center.md) dans IAM Identity Center. Si vous envisagez de répliquer IAM Identity Center vers d'autres régions, sachez que l'utilisation d'une seule URL ACS peut affecter l'expérience utilisateur dans ces régions supplémentaires. Votre région principale continuera de fonctionner normalement. Nous vous recommandons de travailler avec votre fournisseur d'IdP pour activer cette fonctionnalité. Pour plus d'informations sur l'expérience utilisateur dans des régions supplémentaires dotées d'une seule URL ACS, consultez [Utilisation d'applications AWS gérées sans plusieurs ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) et[Compte AWS résilience des accès sans plusieurs ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations). Passez ensuite en revue les autres considérations dans la section suivante.
**Topics**
+ [Conditions préalables](#cyberark-prereqs)
+ [Considérations relatives au SCIM](#cyberark-considerations)
+ [Étape 1 : activer le provisionnement dans IAM Identity Center](#cyberark-step1)
+ [Étape 2 : configurer le provisionnement dans CyberArk](#cyberark-step2)
+ [(Facultatif) Étape 3 : Configuration des attributs utilisateur CyberArk pour le contrôle d'accès (ABAC) dans IAM Identity Center](#cyberark-step3)
+ [(Facultatif) Transmission d'attributs pour le contrôle d'accès](#cyberark-passing-abac)
## Conditions préalables
Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ CyberArkabonnement ou essai gratuit. Pour vous inscrire à un essai gratuit, rendez-vous sur [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Un compte compatible avec IAM Identity Center ([gratuit](https://aws.amazon.com/single-sign-on/)). Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Une connexion SAML entre votre CyberArk compte et IAM Identity Center, comme décrit dans la [CyberArkdocumentation d'IAM](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#) Identity Center.
+ Associez le connecteur IAM Identity Center aux rôles, utilisateurs et organisations auxquels vous souhaitez autoriser l'accès Comptes AWS.
## Considérations relatives au SCIM
Voici les points à prendre en compte lors de l'utilisation CyberArk de la fédération pour IAM Identity Center :
+ Seuls les rôles mappés dans la section Provisioning des applications seront synchronisés avec IAM Identity Center.
+ Le script de provisionnement n'est pris en charge que dans son état par défaut. Une fois modifié, le provisionnement SCIM peut échouer.
+ Un seul attribut de numéro de téléphone peut être synchronisé et l'attribut par défaut est « téléphone professionnel ».
+ Si le mappage des rôles dans l'application CyberArk IAM Identity Center est modifié, le comportement ci-dessous est attendu :
+ Si les noms de rôles sont modifiés, aucune modification n'est apportée aux noms de groupes dans IAM Identity Center.
+ Si les noms des groupes sont modifiés, de nouveaux groupes seront créés dans IAM Identity Center, les anciens groupes resteront mais n'auront aucun membre.
+ Le comportement de synchronisation et de déprovisionnement des utilisateurs peut être configuré à partir de l'application CyberArk IAM Identity Center. Assurez-vous de configurer le comportement adapté à votre organisation. Voici les options qui s'offrent à vous :
+ Remplacez (ou non) les utilisateurs du répertoire Identity Center par le même nom principal.
+ Déprovisionnez les utilisateurs du centre d'identité IAM lorsque l'utilisateur est supprimé du CyberArk rôle.
+ Déprovisionner le comportement de l'utilisateur : désactiver ou supprimer.
## Étape 1 : activer le provisionnement dans IAM Identity Center
Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.
**Pour activer le provisionnement automatique dans IAM Identity Center**
1. Une fois que vous avez rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.
1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.
1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel.
1. Choisissez **Fermer**.
Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide de l'application CyberArk IAM Identity Center. Ces étapes sont décrites dans la procédure suivante.
## Étape 2 : configurer le provisionnement dans CyberArk
Utilisez la procédure suivante dans l'application CyberArk IAM Identity Center pour activer le provisionnement avec IAM Identity Center. Cette procédure suppose que vous avez déjà ajouté l'application CyberArk IAM Identity Center à votre console CyberArk d'administration sous **Web Apps**. Si vous ne l'avez pas encore fait, reportez-vous au[Conditions préalables](#cyberark-prereqs), puis suivez cette procédure pour configurer le provisionnement SCIM.
**Pour configurer le provisionnement dans CyberArk**
1. Ouvrez l'application CyberArk IAM Identity Center que vous avez ajoutée dans le cadre de la configuration de SAML pour CyberArk (**Apps > Web App**). Consultez [Conditions préalables](#cyberark-prereqs).
1. Choisissez l'application **IAM Identity Center** et accédez à la section **Provisioning**.
1. Cochez la case **Activer le provisionnement pour cette application** et choisissez **Live Mode.**
1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** depuis IAM Identity Center. Collez cette valeur dans le champ **URL du service SCIM**. Dans l'application CyberArk IAM Identity Center, définissez le **type d'autorisation** comme en-tête d'**autorisation**.
1. Définissez le **type d'en-tête** sur **Bearer Token**.
1. À partir de la procédure précédente, vous avez copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **Bearer Token** de l'application CyberArk IAM Identity Center.
1. Cliquez sur **Vérifier** pour tester et appliquer la configuration.
1. Dans les **options de synchronisation**, choisissez le comportement approprié pour lequel vous souhaitez que le provisionnement sortant fonctionneCyberArk. Vous pouvez choisir de remplacer (ou non) les utilisateurs IAM Identity Center existants par un nom principal et un comportement de déprovisionnement similaires.
1. Sous **Mappage des rôles**, configurez le mappage à partir CyberArk des rôles, dans le champ **Nom**, vers le groupe IAM Identity Center, sous le **groupe de destination**.
1. Cliquez sur **Enregistrer** en bas de page une fois que vous avez terminé.
1. **Pour vérifier que les utilisateurs ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Les utilisateurs synchronisés depuis CyberArk apparaîtront sur la page **Utilisateurs**. Ces utilisateurs peuvent désormais être affectés à des comptes et peuvent se connecter au sein d'IAM Identity Center.
## (Facultatif) Étape 3 : Configuration des attributs utilisateur CyberArk pour le contrôle d'accès (ABAC) dans IAM Identity Center
Il s'agit d'une procédure facultative CyberArk si vous choisissez de configurer des attributs pour IAM Identity Center afin de gérer l'accès à vos AWS ressources. Les attributs que vous définissez CyberArk sont transmis dans une assertion SAML à IAM Identity Center. Vous créez ensuite un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisCyberArk.
Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).
**Pour configurer les attributs utilisateur CyberArk pour le contrôle d'accès dans IAM Identity Center**
1. Ouvrez l'application CyberArk IAM Identity Center que vous avez installée dans le cadre de la configuration de SAML pour CyberArk (**Apps > Web Apps**).
1. Accédez à l'option **SAML Response**.
1. Sous **Attributs**, ajoutez les attributs appropriés au tableau en suivant la logique ci-dessous :
1. Le **nom de l'attribut** est le nom d'attribut d'origine deCyberArk.
1. La **valeur d'attribut** est le nom d'attribut envoyé dans l'assertion SAML à IAM Identity Center.
1. Choisissez **Enregistrer**.
## (Facultatif) Transmission d'attributs pour le contrôle d'accès
Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.
Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.
```
blue
```
Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise.