As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário a partir CyberArk Directory Platform para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).

**nota**  
CyberArkatualmente não oferece suporte ao SAML Multiple Assertion Consumer Service (ACS) URLs no aplicativo. Centro de Identidade do AWS IAM Esse recurso SAML é necessário para aproveitar totalmente o [suporte multirregional](multi-region-iam-identity-center.md) no IAM Identity Center. Se você planeja replicar o IAM Identity Center para regiões adicionais, saiba que o uso de uma única URL do ACS pode afetar a experiência do usuário nessas regiões adicionais. Sua região principal continuará funcionando normalmente. Recomendamos que você trabalhe com seu fornecedor de IdP para ativar esse recurso. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte [Usando aplicativos AWS gerenciados sem vários ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e. [Conta da AWS resiliência de acesso sem vários ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)

Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.

**Topics**
+ [Pré-requisitos](#cyberark-prereqs)
+ [Considerações SCIM](#cyberark-considerations)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#cyberark-step1)
+ [Etapa 2: Configure o provisionamento no CyberArk](#cyberark-step2)
+ [(Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center](#cyberark-step3)
+ [(Opcional) Passar atributos para controle de acesso](#cyberark-passing-abac)

## Pré-requisitos
<a name="cyberark-prereqs"></a>

Você precisará do seguinte antes de começar:
+ Assinatura ou teste gratuito do CyberArk. Para se inscrever para um teste gratuito, acesse [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua conta do CyberArk com o IAM Identity Center, conforme descrito na [documentação do CyberArk do IAM Identity Center](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#).
+ Associe o conector do IAM Identity Center às funções, usuários e organizações às quais você deseja permitir acesso a Contas da AWS.

## Considerações SCIM
<a name="cyberark-considerations"></a>

As seguintes considerações devem ser observadas ao usar a federação do CyberArk para o IAM Identity Center:
+ Somente as funções mapeadas na seção Provisionamento do aplicativo serão sincronizadas com o IAM Identity Center.
+ O script de provisionamento é suportado somente em seu estado padrão. Uma vez alterado, o provisionamento do SCIM pode falhar.
  + Somente um atributo de número de telefone pode ser sincronizado e o padrão é “telefone comercial”.
+ Se o mapeamento de funções no aplicativo IAM Identity Center do CyberArk for alterado, o comportamento abaixo é esperado:
  + Se os nomes das funções forem alterados, não haverá alterações nos nomes dos grupos no IAM Identity Center.
  + Se os nomes dos grupos forem alterados, novos grupos serão criados no IAM Identity Center, os grupos antigos permanecerão, mas não terão membros.
+ O comportamento de sincronização e desprovisionamento do usuário pode ser configurado a partir do aplicativo IAM Identity Center do CyberArk. Certifique-se de configurar o comportamento certo para sua organização. Estas são as opções que você tem:
  + Substitua (ou não) usuários no diretório do Identity Center com o mesmo nome de entidade principal.
  + Desprovisione usuários do IAM Identity Center quando o usuário for removido da função CyberArk.
  + Desprovisione o comportamento do usuário – desative ou exclua.

## Etapa 1: Habilitar provisionamento no IAM Identity Center
<a name="cyberark-step1"></a>

Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.

**Para habilitar o provisionamento automático no IAM Identity Center**

1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Escolha **Configurações** no painel de navegação à esquerda.

1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.

1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.

   1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**  
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial. 

1. Escolha **Fechar**.

Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o aplicativo IAM Identity Center do CyberArk. Essas etapas são descritas no procedimento a seguir.

## Etapa 2: Configure o provisionamento no CyberArk
<a name="cyberark-step2"></a>

 Use o procedimento a seguir no aplicativo IAM Identity Center do CyberArk para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o aplicativo IAM Identity Center do CyberArk ao seu console de administração do CyberArk em **Aplicativos Web**. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#cyberark-prereqs) e, em seguida, conclua este procedimento para configurar o provisionamento do SCIM. 

**Para configurar o provisionamento no CyberArk**

1. Abra o aplicativo IAM Identity Center do CyberArk que você adicionou como parte da configuração do SAML para o CyberArk (**Aplicativos > Aplicativo Web**). Consulte [Pré-requisitos](#cyberark-prereqs).

1. Escolha o aplicativo **IAM Identity Center** e vá para a seção **Provisionamento.**

1. Marque a caixa **Ativar provisionamento para este aplicativo** e escolha **Modo em tempo real**.

1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL do serviço SCIM**, no aplicativo CyberArk IAM Identity Center, defina o **Tipo de autorização** como **Cabeçalho de autorização**.

1. Defina o **Tipo de cabeçalho** como **Token do portador**.

1. No procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **Token do portador** no aplicativo IAM Identity Center do CyberArk.

1. Clique em **Verificar** para testar e aplicar a configuração.

1. Em **Opções de sincronização**, escolha o comportamento correto para o qual você deseja que o provisionamento de saída do CyberArk funcione. Você pode optar por substituir (ou não) os usuários existentes do IAM Identity Center por um nome de entidade principal semelhante e pelo comportamento de desprovisionamento.

1. Em **Mapeamento de funções**, configure o mapeamento das funções do CyberArk, no campo **Nome**, para o grupo do IAM Identity Center, no **Grupo de destino**.

1. Clique em **Salvar** na parte inferior quando terminar.

1. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do CyberArk aparecerão na página **Usuários**. Agora, esses usuários podem ser atribuídos a contas e se conectar ao IAM Identity Center.

## (Opcional) Etapa 3: Configure os atributos do usuário CyberArk para controle de acesso (ABAC) no IAM Identity Center
<a name="cyberark-step3"></a>

Esse é um procedimento opcional CyberArk caso você opte por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus AWS recursos. Os atributos que você define no CyberArk são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do ‭CyberArk. 

Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).

**Para configurar atributos do usuário emCyberArk para controle de acesso no IAM Identity Center**

1. Abra o aplicativo IAM Identity Center do CyberArk que você instalou como parte da configuração do SAML para o CyberArk (**Aplicativos > Aplicativo Web**).

1. Acesse a opção **Resposta SAML**.

1. Em **Atributos**, adicione os atributos relevantes à tabela seguindo a lógica abaixo:

   1. **Nome do atributo** é o nome do atributo original do CyberArk.

   1. O **Valor do atributo** é o nome do atributo enviado na declaração SAML para o IAM Identity Center.

1. Escolha **Salvar**.

## (Opcional) Passar atributos para controle de acesso
<a name="cyberark-passing-abac"></a>

Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.

Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.