Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# PingOne
<a name="pingone-idp"></a>

IAM Identity Center prend en charge le provisionnement automatique (synchronisation) des informations utilisateur depuis le PingOne produit Ping Identity (ci-après « Ping ») vers IAM Identity Center. Ce provisionnement utilise le protocole SCIM (System for Cross-Domain Identity Management) v2.0. Vous configurez cette connexion à PingOne l'aide de votre point de terminaison SCIM et de votre jeton d'accès IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec PingOne les attributs nommés dans IAM Identity Center. Cela entraîne la correspondance des attributs attendus entre IAM Identity Center etPingOne.

Les étapes suivantes vous expliquent comment activer le provisionnement automatique des utilisateurs depuis IAM Identity Center PingOne à l'aide du protocole SCIM.

**Note**  
Avant de commencer à déployer SCIM, nous vous recommandons de consulter d'abord le[Considérations relatives à l'utilisation du provisionnement automatique](provision-automatically.md#auto-provisioning-considerations). Passez ensuite en revue les autres considérations dans la section suivante.

**Topics**
+ [

## Conditions préalables
](#pingone-prereqs)
+ [

## Considérations
](#pingone-considerations)
+ [

## Étape 1 : activer le provisionnement dans IAM Identity Center
](#pingone-step1)
+ [

## Étape 2 : configurer le provisionnement dans PingOne
](#pingone-step2)
+ [

## (Facultatif) Étape 3 : Configuration des attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center
](#pingone-step3)
+ [

## (Facultatif) Transmission d'attributs pour le contrôle d'accès
](#pingone-passing-abac)
+ [

## Résolution des problèmes
](#pingone-troubleshooting)

## Conditions préalables
<a name="pingone-prereqs"></a>

Vous aurez besoin des éléments suivants avant de pouvoir commencer :
+ Un PingOne abonnement ou un essai gratuit, avec des fonctionnalités d'authentification fédérée et de provisionnement. Pour plus d'informations sur la façon d'obtenir un essai gratuit, consultez le [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html)site Web.
+ [Un compte compatible avec IAM Identity Center (gratuit).](https://aws.amazon.com/single-sign-on/) Pour plus d'informations, voir [Activer le centre d'identité IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ L'application PingOne IAM Identity Center a été ajoutée à votre portail PingOne d'administration. Vous pouvez obtenir l'application PingOne IAM Identity Center à partir du catalogue PingOne d'applications. Pour des informations générales, voir [Ajouter une application depuis le catalogue d'applications](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) sur le Ping Identity site Web.
+ Une connexion SAML entre votre PingOne instance et IAM Identity Center. Une fois que l'application PingOne IAM Identity Center a été ajoutée à votre portail PingOne d'administration, vous devez l'utiliser pour configurer une connexion SAML entre votre PingOne instance et IAM Identity Center. Utilisez les fonctionnalités de « téléchargement » et d' « importation » des métadonnées situées aux deux extrémités pour échanger des métadonnées SAML entre IAM Identity PingOne Center et IAM. Pour obtenir des instructions sur la configuration de cette connexion, consultez la PingOne documentation.
+ Si vous avez répliqué IAM Identity Center vers des régions supplémentaires, vous devez mettre à jour la configuration de votre fournisseur d'identité pour permettre l'accès aux applications AWS gérées et à Comptes AWS partir de ces régions. Pour en savoir plus, consultez [Étape 3 : Mettre à jour la configuration de l'IdP externe](replicate-to-additional-region.md#update-external-idp-setup). Consultez la PingOne documentation pour plus de détails.

## Considérations
<a name="pingone-considerations"></a>

Voici des considérations importantes PingOne qui peuvent affecter la manière dont vous implémentez le provisionnement avec IAM Identity Center.
+ PingOnene prend pas en charge le provisionnement de groupes via SCIM. Contactez-nous Ping pour obtenir les dernières informations sur le soutien aux groupes dans SCIM forPingOne.
+ Les utilisateurs peuvent continuer à être approvisionnés PingOne après avoir désactivé le provisionnement dans le PingOne portail d'administration. Si vous devez mettre fin au provisionnement immédiatement, supprimez le jeton porteur SCIM approprié, and/or désactivez-le [Provisionner des utilisateurs et des groupes à partir d'un fournisseur d'identité externe à l'aide de SCIM](provision-automatically.md) dans IAM Identity Center.
+ Si un attribut d'un utilisateur est supprimé du magasin de données configuré dansPingOne, cet attribut ne sera pas supprimé de l'utilisateur correspondant dans IAM Identity Center. Il s'agit d'une limitation connue dans la mise en PingOne’s œuvre du fournisseur. Si un attribut est modifié, le changement sera synchronisé avec IAM Identity Center.
+ Voici quelques remarques importantes concernant votre configuration SAML dans PingOne :
  + IAM Identity Center ne prend en charge `emailaddress` que le `NameId` format. Cela signifie que vous devez choisir un attribut utilisateur unique dans votre répertoire dansPingOne, non nul et formaté sous la forme d'un email/UPN (par exemple, user@domain.com) pour votre mappage **SAML\$1SUBJECT** dans. PingOne **Email (Work)** est une valeur raisonnable à utiliser pour tester les configurations avec le répertoire PingOne intégré.
  + Les utilisateurs qui se connectent PingOne avec une adresse e-mail contenant un caractère **\$1** peuvent ne pas être en mesure de se connecter à IAM Identity Center en raison d'erreurs telles que `'SAML_215'` ou`'Invalid input'`. **Pour résoudre ce problèmePingOne, choisissez l'option **Advanced** pour le mappage **SAML\$1SUBJECT dans les mappages** d'attributs.** Définissez ensuite le **format Name ID à envoyer à SP :** to **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress**dans le menu déroulant.

## Étape 1 : activer le provisionnement dans IAM Identity Center
<a name="pingone-step1"></a>

Dans cette première étape, vous utilisez la console IAM Identity Center pour activer le provisionnement automatique.

**Pour activer le provisionnement automatique dans IAM Identity Center**

1. Après avoir rempli les conditions requises, ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Choisissez **Paramètres** dans le volet de navigation de gauche.

1. Sur la page **Paramètres**, recherchez la zone Informations de **provisionnement automatique**, puis choisissez **Activer**. Cela active immédiatement le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.

1. Dans la boîte de dialogue de **provisionnement automatique entrant**, copiez le point de terminaison SCIM et le jeton d'accès. Vous devrez les coller ultérieurement lorsque vous configurerez le provisionnement dans votre IdP.

   1. Point de **terminaison SCIM** : par exemple, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **Jeton d'accès** : choisissez **Afficher le jeton** pour copier la valeur.
**Avertissement**  
C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique dans votre IdP plus loin dans ce didacticiel. 

1. Choisissez **Fermer**.

Maintenant que vous avez configuré le provisionnement dans la console IAM Identity Center, vous devez effectuer les tâches restantes à l'aide de l'application PingOne IAM Identity Center. Ces étapes sont décrites dans la procédure suivante. 

## Étape 2 : configurer le provisionnement dans PingOne
<a name="pingone-step2"></a>

Utilisez la procédure suivante dans l'application PingOne IAM Identity Center pour activer le provisionnement avec IAM Identity Center. Cette procédure suppose que vous avez déjà ajouté l'application PingOne IAM Identity Center à votre portail PingOne d'administration. Si vous ne l'avez pas encore fait, reportez-vous à cette procédure[Conditions préalables](#pingone-prereqs), puis exécutez-la pour configurer le provisionnement SCIM. 

**Pour configurer le provisionnement dans PingOne**

1. Ouvrez l'application PingOne IAM Identity Center que vous avez installée dans le cadre de la configuration de SAML pour PingOne (**Applications** > **Mes applications**). Consultez [Conditions préalables](#pingone-prereqs).

1. Faites défiler la page vers le bas. Sous Configuration **utilisateur, choisissez** le lien **complet** pour accéder à la configuration de configuration de configuration utilisateur de votre connexion.

1. Sur la page **Instructions de provisionnement**, choisissez **Passer à l'étape suivante**.

1. Dans la procédure précédente, vous avez copié la valeur du point de **terminaison SCIM** dans IAM Identity Center. Collez cette valeur dans le champ **URL SCIM** de l'application PingOne IAM Identity Center. Dans la procédure précédente, vous avez également copié la valeur du **jeton d'accès** dans IAM Identity Center. Collez cette valeur dans le champ **ACCESS\$1TOKEN** de l'application PingOne IAM Identity Center.

1. Pour **REMOVE\$1ACTION**, choisissez **Désactivé** ou **Supprimé** (voir le texte de description sur la page pour plus de détails).

1. Sur la page **Mappage des attributs**, choisissez une valeur à utiliser pour l'assertion **SAML\$1SUBJECT** (`NameId`), en suivant les instructions données [Considérations](#pingone-considerations) plus haut sur cette page. Choisissez ensuite **Passer à l'étape suivante**.

1. Sur la page **Personnalisation des PingOne applications - IAM Identity Center**, apportez les modifications de personnalisation souhaitées (facultatif), puis cliquez sur **Passer à l'étape suivante**.

1. Sur la page **Accès aux groupes**, choisissez les groupes contenant les utilisateurs que vous souhaitez activer pour le provisionnement et l'authentification unique à IAM Identity Center. Choisissez **Passer à l'étape suivante**.

1. Faites défiler la page vers le bas et choisissez **Terminer** pour commencer le provisionnement.

1. **Pour vérifier que les utilisateurs ont été correctement synchronisés avec IAM Identity Center, revenez à la console IAM Identity Center et sélectionnez Utilisateurs.** Les utilisateurs synchronisés depuis PingOne apparaîtront sur la page **Utilisateurs**. Ces utilisateurs peuvent désormais être affectés à des comptes et à des applications au sein d'IAM Identity Center.

   N'oubliez pas que PingOne cela ne prend pas en charge le provisionnement de groupes ou d'adhésions à des groupes via SCIM. Contactez-nous Ping pour plus d'informations.

## (Facultatif) Étape 3 : Configuration des attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center
<a name="pingone-step3"></a>

Il s'agit d'une procédure facultative PingOne si vous choisissez de configurer des attributs pour IAM Identity Center afin de gérer l'accès à vos AWS ressources. Les attributs que vous définissez PingOne sont transmis dans une assertion SAML à IAM Identity Center. Vous créez ensuite un ensemble d'autorisations dans IAM Identity Center pour gérer l'accès en fonction des attributs que vous avez transmisPingOne.

Avant de commencer cette procédure, vous devez d'abord activer la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité. Pour plus d'informations sur cette étape, consultez [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md).

**Pour configurer les attributs utilisateur PingOne pour le contrôle d'accès dans IAM Identity Center**

1. Ouvrez l'application PingOne IAM Identity Center que vous avez installée dans le cadre de la configuration de SAML pour PingOne (**Applications > Mes applications**).

1. Choisissez **Modifier**, puis **passez à l'étape suivante jusqu'à** ce que vous arriviez à la page **Mappages d'attributs**. 

1. Sur la page **Mappages d'attributs**, choisissez **Ajouter un nouvel attribut**, puis procédez comme suit. Vous devez effectuer ces étapes pour chaque attribut que vous ajouterez pour être utilisé dans IAM Identity Center à des fins de contrôle d'accès.

   1. Dans le champ **Attribut de l'application**, entrez`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`. *AttributeName*Remplacez-le par le nom de l'attribut que vous attendez dans IAM Identity Center. Par exemple, `https://aws.amazon.com/SAML/Attributes/AccessControl:Email`.

   1. Dans le champ **Attribut ou valeur littérale d'Identity Bridge**, sélectionnez les attributs utilisateur PingOne dans votre annuaire. Par exemple, **Email (Work)**.

1. Cliquez sur **Suivant** à quelques reprises, puis sur **Terminer**.

## (Facultatif) Transmission d'attributs pour le contrôle d'accès
<a name="pingone-passing-abac"></a>

Vous pouvez éventuellement utiliser la [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) fonctionnalité d'IAM Identity Center pour transmettre un `Attribute` élément dont l'`Name`attribut est défini sur. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section [Transmission de balises de session AWS STS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) le *guide de l'utilisateur IAM*.

Pour transmettre des attributs en tant que balises de session, incluez l'élément `AttributeValue` qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tag`CostCenter = blue`, utilisez l'attribut suivant.

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

Si vous devez ajouter plusieurs attributs, incluez un `Attribute` élément distinct pour chaque balise. 

## Résolution des problèmes
<a name="pingone-troubleshooting"></a>

Pour le dépannage général des systèmes SCIM et SAMLPingOne, consultez les sections suivantes :
+ [Des utilisateurs spécifiques ne parviennent pas à se synchroniser avec IAM Identity Center à partir d'un fournisseur SCIM externe](troubleshooting.md#issue2)
+ [Problèmes relatifs au contenu des assertions SAML créées par IAM Identity Center](troubleshooting.md#issue1)
+ [Erreur d'utilisateur ou de groupe dupliquée lors du provisionnement d'utilisateurs ou de groupes avec un fournisseur d'identité externe](troubleshooting.md#duplicate-user-group-idp)
+ Pour plus d'informationsPingOne, consultez [PingOnela documentation](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).

Les ressources suivantes peuvent vous aider à résoudre les problèmes lorsque vous travaillez avec AWS :
+ [AWS re:Post](https://repost.aws/)- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.
+ [AWS Support](https://aws.amazon.com/premiumsupport/)- Bénéficiez d'un support technique