Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan penyediaan SCIM antara OneLogin dan IAM Identity Center
IAM Identity Center mendukung penyediaan otomatis (sinkronisasi) informasi pengguna dan grup dari OneLogin ke Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk informasi selengkapnya, lihat [Menggunakan federasi identitas SAMP dan SCIM dengan penyedia identitas eksternal](other-idps.md).
**catatan**
OneLoginsaat ini tidak mendukung layanan konsumsi pernyataan ganda SAMP (ACS) URLs dalam aplikasi. AWS IAM Identity Center Fitur SAMP ini diperlukan untuk sepenuhnya memanfaatkan [dukungan Multi-wilayah](multi-region-iam-identity-center.md) di IAM Identity Center. Jika Anda berencana untuk mereplikasi Pusat Identitas IAM ke Wilayah tambahan, ketahuilah bahwa menggunakan satu URL ACS dapat memengaruhi pengalaman pengguna di Wilayah tambahan tersebut. Wilayah utama Anda akan terus berfungsi secara normal. Kami menyarankan Anda bekerja dengan vendor IDP Anda untuk mengaktifkan fitur ini. Untuk informasi selengkapnya tentang pengalaman pengguna di Wilayah tambahan dengan satu URL ACS, lihat [Menggunakan aplikasi AWS terkelola tanpa beberapa ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) dan[Akun AWS ketahanan akses tanpa beberapa ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
Anda mengonfigurasi koneksi iniOneLogin, menggunakan titik akhir SCIM Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna OneLogin ke atribut bernama di Pusat Identitas IAM. Hal ini menyebabkan atribut yang diharapkan cocok antara IAM Identity Center danOneLogin.
Langkah-langkah berikut memandu Anda melalui cara mengaktifkan penyediaan otomatis pengguna dan grup dari OneLogin Pusat Identitas IAM menggunakan protokol SCIM.
**catatan**
Sebelum Anda mulai menerapkan SCIM, kami sarankan Anda terlebih dahulu meninjau. [Pertimbangan untuk menggunakan penyediaan otomatis](provision-automatically.md#auto-provisioning-considerations)
**Topics**
+ [
## Prasyarat
](#onelogin-prereqs)
+ [
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
](#onelogin-step1)
+ [
## Langkah 2: Konfigurasikan penyediaan di OneLogin
](#onelogin-step2)
+ [
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM
](#onelogin-step3)
+ [
## (Opsional) Melewati atribut untuk kontrol akses
](#onelogin-passing-abac)
+ [
## Pemecahan masalah
](#onelogin-troubleshooting)
## Prasyarat
Anda akan memerlukan yang berikut ini sebelum Anda dapat memulai:
+ Sebuah OneLogin akun. Jika Anda tidak memiliki akun yang ada, Anda mungkin dapat memperoleh uji coba gratis atau akun pengembang dari [OneLoginsitus web](https://www.onelogin.com/free-trial).
+ [Akun berkemampuan Pusat Identitas IAM (gratis).](https://aws.amazon.com/single-sign-on/) Untuk informasi selengkapnya, lihat [Mengaktifkan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Koneksi SAMP dari OneLogin akun Anda ke IAM Identity Center. Untuk informasi selengkapnya, lihat [Mengaktifkan Single Sign-On Antara OneLogin dan AWS di Blog](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) Jaringan AWS Mitra.
## Langkah 1: Aktifkan penyediaan di IAM Identity Center
Pada langkah pertama ini, Anda menggunakan konsol IAM Identity Center untuk mengaktifkan penyediaan otomatis.
**Untuk mengaktifkan penyediaan otomatis di Pusat Identitas IAM**
1. Setelah Anda menyelesaikan prasyarat, buka konsol Pusat Identitas [IAM](https://console.aws.amazon.com/singlesignon).
1. Pilih **Pengaturan** di panel navigasi kiri.
1. **Pada halaman **Pengaturan**, cari kotak Informasi **penyediaan otomatis, lalu pilih Aktifkan**.** Ini segera memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.
1. Di kotak dialog **Inbound automatic provisioning**, salin endpoint SCIM dan token akses. Anda harus menempelkannya nanti saat mengonfigurasi penyediaan di iDP Anda.
1. **Titik akhir SCIM** - Misalnya, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Access token** - Pilih **Tampilkan token** untuk menyalin nilainya.
**Awas**
Ini adalah satu-satunya waktu di mana Anda dapat memperoleh titik akhir SCIM dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengkonfigurasi penyediaan otomatis di IDP Anda nanti dalam tutorial ini.
1. Pilih **Tutup**.
Anda sekarang telah menyiapkan penyediaan di konsol Pusat Identitas IAM. Sekarang Anda perlu melakukan tugas yang tersisa menggunakan konsol OneLogin admin seperti yang dijelaskan dalam prosedur berikut.
## Langkah 2: Konfigurasikan penyediaan di OneLogin
Gunakan prosedur berikut di konsol OneLogin admin untuk mengaktifkan integrasi antara IAM Identity Center dan aplikasi IAM Identity Center. Prosedur ini mengasumsikan Anda telah mengkonfigurasi aplikasi AWS Single Sign-On OneLogin untuk otentikasi SAMP. Jika Anda belum membuat koneksi SAMP ini, lakukan sebelum melanjutkan dan kemudian kembali ke sini untuk menyelesaikan proses penyediaan SCIM. Untuk informasi selengkapnya tentang mengonfigurasi SAMP denganOneLogin, lihat [Mengaktifkan Single Sign-On Between OneLogin dan AWS di Blog Jaringan Mitra](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/). AWS
**Untuk mengonfigurasi penyediaan di OneLogin**
1. Masuk keOneLogin, lalu arahkan ke **Applications > Applications**.
1. Pada halaman **Aplikasi**, cari aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center. Pilih dan kemudian pilih **Konfigurasi** dari panel navigasi.
1. Pada prosedur sebelumnya, Anda menyalin nilai **endpoint SCIM di IAM** Identity Center. Tempelkan nilai itu ke bidang **URL Dasar SCIM** diOneLogin. Juga, dalam prosedur sebelumnya Anda menyalin nilai **token Access** di IAM Identity Center. Tempelkan nilai itu ke bidang **Token Pembawa SCIM** di. OneLogin
1. Di samping **Koneksi API**, klik **Aktifkan**, lalu klik **Simpan** untuk menyelesaikan konfigurasi.
1. Di panel navigasi, pilih **Penyediaan**.
1. **Pilih kotak centang untuk **Aktifkan penyediaan**, **Buat pengguna**, **Hapus pengguna**, dan **Perbarui pengguna**, lalu pilih Simpan.**
1. Di panel navigasi, pilih **Users** (Pengguna).
1. Klik **Tindakan Lainnya** dan pilih **Sinkronkan login**. Anda harus menerima pesan *Sinkronisasi pengguna dengan AWS Single Sign-On*.
1. Klik **Tindakan Lainnya** lagi, lalu pilih **Terapkan kembali pemetaan hak**. Anda akan menerima pesan *Pemetaan sedang diterapkan kembali*.
1. Pada titik ini, proses penyediaan harus dimulai. Untuk mengonfirmasi hal ini, navigasikan ke **Aktivitas > Acara**, dan pantau kemajuannya. Acara penyediaan yang berhasil, serta kesalahan, akan muncul di aliran acara.
1. **Untuk memverifikasi bahwa semua pengguna dan grup Anda telah berhasil disinkronkan ke Pusat Identitas IAM, kembali ke konsol Pusat Identitas IAM dan pilih Pengguna.** Pengguna Anda yang disinkronkan OneLogin muncul di halaman **Pengguna**. Anda juga dapat melihat grup yang disinkronkan di halaman **Grup**.
1. **Untuk menyinkronkan perubahan pengguna secara otomatis ke Pusat Identitas IAM, arahkan ke halaman **Penyediaan**, cari bagian **Memerlukan persetujuan admin sebelum tindakan ini dilakukan**, hapus pilih **Buat Pengguna, Hapus Pengguna****, and/or **Perbarui Pengguna****, dan klik Simpan.**
## (Opsional) Langkah 3: Konfigurasikan atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM
Ini adalah prosedur opsional OneLogin jika Anda memilih untuk mengkonfigurasi atribut yang akan Anda gunakan di IAM Identity Center untuk mengelola akses ke AWS sumber daya Anda. Atribut yang Anda tentukan OneLogin diteruskan dalam pernyataan SAMP ke IAM Identity Center. Anda kemudian akan membuat set izin di IAM Identity Center untuk mengelola akses berdasarkan atribut yang Anda lewati. OneLogin
Sebelum Anda memulai prosedur ini, Anda harus terlebih dahulu mengaktifkan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur tersebut. Untuk informasi selengkapnya tentang cara melakukan ini, lihat [Aktifkan dan konfigurasikan atribut untuk kontrol akses](configure-abac.md).
**Untuk mengonfigurasi atribut pengguna OneLogin untuk kontrol akses di Pusat Identitas IAM**
1. Masuk keOneLogin, lalu arahkan ke **Applications > Applications**.
1. Pada halaman **Aplikasi**, cari aplikasi yang Anda buat sebelumnya untuk membentuk koneksi SAMP Anda dengan IAM Identity Center. Pilih dan kemudian pilih **Parameter** dari panel navigasi.
1. Di bagian **Parameter yang Diperlukan**, lakukan hal berikut untuk setiap atribut yang ingin Anda gunakan di Pusat Identitas IAM:
1. Pilih **\$1**.
1. Di **Nama bidang**, masukkan`https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, dan ganti **AttributeName** dengan nama atribut yang Anda harapkan di Pusat Identitas IAM. Misalnya, `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`.
1. **Di bawah **Bendera**, centang kotak di samping **Sertakan dalam pernyataan SAMP, dan pilih Simpan**.**
1. Di bidang **Nilai**, gunakan daftar drop-down untuk memilih atribut OneLogin pengguna. Misalnya, **Departemen**.
1. Pilih **Simpan**.
## (Opsional) Melewati atribut untuk kontrol akses
Anda dapat secara opsional menggunakan [Atribut untuk kontrol akses](attributesforaccesscontrol.md) fitur di IAM Identity Center untuk meneruskan `Attribute` elemen dengan `Name` atribut yang disetel ke. `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat [Melewati tag sesi AWS STS di](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) *Panduan Pengguna IAM*.
Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen `AttributeValue` yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tag`CostCenter = blue`, gunakan atribut berikut.
```
blue
```
Jika Anda perlu menambahkan beberapa atribut, sertakan `Attribute` elemen terpisah untuk setiap tag.
## Pemecahan masalah
Berikut ini dapat membantu Anda memecahkan masalah umum yang mungkin Anda temui saat menyiapkan penyediaan otomatis. OneLogin
**Grup tidak disediakan untuk IAM Identity Center**
Secara default, grup mungkin tidak disediakan dari OneLogin Pusat Identitas IAM. Pastikan Anda telah mengaktifkan penyediaan grup untuk aplikasi Pusat Identitas IAM Anda di. OneLogin Untuk melakukannya, masuk ke konsol OneLogin admin, dan periksa untuk memastikan bahwa opsi **Sertakan dalam Penyediaan Pengguna dipilih di** bawah properti aplikasi Pusat Identitas IAM (aplikasi Pusat Identitas **IAM > Parameter> Grup**). [Untuk detail selengkapnya tentang cara membuat grupOneLogin, termasuk cara menyinkronkan OneLogin peran sebagai grup di SCIM, silakan lihat situs web. OneLogin](https://onelogin.service-now.com/support)
**Tidak ada yang OneLogin disinkronkan dari Pusat Identitas IAM, meskipun semua pengaturan sudah benar**
Selain catatan di atas mengenai persetujuan admin, Anda perlu **Menerapkan kembali pemetaan hak** agar banyak perubahan konfigurasi diterapkan. Ini dapat ditemukan di **Applications > Applications > Aplikasi IAM Identity Center > More Actions**. Anda dapat melihat detail dan log untuk sebagian besar tindakanOneLogin, termasuk peristiwa sinkronisasi, di bawah **Aktivitas > Acara**.
**Saya telah menghapus atau menonaktifkan grup diOneLogin, tetapi masih muncul di Pusat Identitas IAM**
OneLoginsaat ini tidak mendukung operasi SCIM DELETE untuk grup, yang berarti bahwa grup terus ada di IAM Identity Center. Oleh karena itu, Anda harus menghapus grup dari Pusat Identitas IAM secara langsung untuk memastikan bahwa izin yang sesuai di Pusat Identitas IAM untuk grup tersebut dihapus.
**Saya menghapus grup di Pusat Identitas IAM tanpa terlebih dahulu menghapusnya OneLogin dan sekarang saya mengalami user/group masalah sinkronisasi**
Untuk memperbaiki situasi ini, pertama-tama pastikan bahwa Anda tidak memiliki aturan atau konfigurasi penyediaan grup yang berlebihan. OneLogin Misalnya, grup yang langsung ditugaskan ke aplikasi bersama dengan aturan yang menerbitkan ke grup yang sama. Selanjutnya, hapus grup yang tidak diinginkan di Pusat Identitas IAM. Terakhir, diOneLogin, **Segarkan kembali** hak (**Aplikasi Pusat Identitas IAM > Penyediaan> Hak), lalu **Terapkan kembali pemetaan hak (Aplikasi Pusat Identitas IAM** >** Tindakan Lainnya). Untuk menghindari masalah ini di masa mendatang, pertama-tama lakukan perubahan untuk menghentikan penyediaan grupOneLogin, lalu hapus grup dari IAM Identity Center.