As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar o provisionamento SCIM entre o OneLogin e o IAM Identity Center
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) de informações de usuários e grupos do seu OneLogin no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Para obter mais informações, consulte [Uso de federação de identidades SAML e SCIM com provedores de identidade externos](other-idps.md).
**nota**
OneLoginatualmente não oferece suporte ao SAML Multiple Assertion Consumer Service (ACS) URLs no aplicativo. Centro de Identidade do AWS IAM Esse recurso SAML é necessário para aproveitar totalmente o [suporte multirregional](multi-region-iam-identity-center.md) no IAM Identity Center. Se você planeja replicar o IAM Identity Center para regiões adicionais, saiba que o uso de uma única URL do ACS pode afetar a experiência do usuário nessas regiões adicionais. Sua região principal continuará funcionando normalmente. Recomendamos que você trabalhe com seu fornecedor de IdP para ativar esse recurso. Para obter mais informações sobre a experiência do usuário em regiões adicionais com um único URL ACS, consulte [Usando aplicativos AWS gerenciados sem vários ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) e. [Conta da AWS resiliência de acesso sem vários ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)
Você configura essa conexão em OneLogin usando seu endpoint SCIM para o IAM Identity Center e um token portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no OneLogin para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e OneLogin.
As etapas a seguir explicam como habilitar o provisionamento automático de usuários e grupos do OneLogin para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes.
**Topics**
+ [Pré-requisitos](#onelogin-prereqs)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#onelogin-step1)
+ [Etapa 2: Configure o provisionamento no OneLogin](#onelogin-step2)
+ [(Opcional) Etapa 3: configure atributos do usuário no OneLogin para controle de acesso no IAM Identity Center](#onelogin-step3)
+ [(Opcional) Passar atributos para controle de acesso](#onelogin-passing-abac)
+ [Solução de problemas](#onelogin-troubleshooting)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Uma conta do OneLogin. Se você não tiver uma conta existente, poderá obter uma conta de teste gratuita ou de desenvolvedor no [site do OneLogin](https://www.onelogin.com/free-trial).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ Uma conexão SAML da sua conta do OneLogin com o IAM Identity Center. Para obter mais informações, consulte [Habilitando o login único entre OneLogin e AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) no blog AWS Partner Network.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Você já configurou provisionamento no console do IAM Identity Center. Agora você precisa executar as tarefas restantes usando o console administrativo OneLogin conforme descrito no procedimento a seguir.
## Etapa 2: Configure o provisionamento no OneLogin
Use o procedimento a seguir no console de admin do OneLogin para permitir a integração entre o IAM Identity Center e o aplicativo IAM Identity Center. Esse procedimento pressupõe que você já tenha configurado o aplicativo AWS Single Sign-On OneLogin para autenticação SAML. Se você ainda não criou essa conexão SAML, faça isso antes de continuar e depois volte aqui para concluir o processo de provisionamento do SCIM. Para obter mais informações sobre como configurar o SAML com OneLogin, consulte [Habilitando o login único entre OneLogin e AWS](https://aws.amazon.com/blogs/apn/enabling-single-sign-on-between-onelogin-and-aws/) no AWS Partner Network Blog.
**Para configurar o provisionamento no OneLogin**
1. Faça login em OneLogin, e em seguida navegue até **Aplicativos > Aplicativos**.
1. Na página **Aplicativos**, pesquise o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center. Escolha isso e depois escolha **Configuração** no painel de navegação.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL base do SCIM** em OneLogin. Além disso, no procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **SCIM Bearer Token** no OneLogin.
1. Ao lado de **Conexão de API**, clique em **Ativar** e, em seguida, clique em **Salvar** para concluir a configuração.
1. No painel de navegação, escolha **Provisioning** (Provisionamento).
1. **Marque as caixas de seleção **Ativar provisionamento**, **Criar usuário**, **Excluir usuário** e **Atualizar usuário** e, em seguida, escolha Salvar.**
1. No painel de navegação, escolha **Users**.
1. Clique em **Mais ações** e escolha **Sincronizar logins**. Você deve receber a mensagem *Sincronizando usuários com AWS login único*.
1. Clique em **Mais ações** novamente e escolha **Reaplicar mapeamentos de direitos**. Você deve receber a mensagem *Mapeamentos estão sendo reaplicados*.
1. Nesse ponto, o processo de provisionamento deve começar. Para confirmar isso, navegue até **Atividade > Eventos** e monitore o progresso. Eventos de provisionamento bem-sucedidos, bem como erros, devem aparecer no fluxo de eventos.
1. Para verificar se seus usuários e grupos foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Seus usuários sincronizados do OneLogin aparecem na página **Usuários**. Você também pode ver seus grupos sincronizados na página **Grupos**.
1. **Para sincronizar automaticamente as alterações do usuário no IAM Identity Center, navegue até a página **Provisionamento**, localize a seção **Exigir aprovação do administrador antes que essa ação seja executada**, desmarque **Criar usuário, Excluir usuário****, and/or **Atualizar usuário**** e clique em Salvar.**
## (Opcional) Etapa 3: configure atributos do usuário no OneLogin para controle de acesso no IAM Identity Center
Esse é um procedimento opcional OneLogin se você optar por configurar atributos que usará no IAM Identity Center para gerenciar o acesso aos seus AWS recursos. Os atributos que você define no OneLogin são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você criará um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos que você passou do OneLogin.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário em OneLogin para controle de acesso no IAM Identity Center**
1. Faça login em OneLogin, e em seguida navegue até **Aplicativos > Aplicativos**.
1. Na página **Aplicativos**, pesquise o aplicativo que você criou anteriormente para formar sua conexão SAML com o IAM Identity Center. Selecione e, depois, escolha **Parâmetros** na barra de navegação à esquerda.
1. Na seção **Parâmetros obrigatórios**, faça o seguinte para cada atributo que você deseja usar no IAM Identity Center:
1. Escolha **\$1**.
1. Em **Nome do campo**, insira `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`, e substitua **AttributeName** pelo nome do atributo que você está esperando no IAM Identity Center. Por exemplo, .`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`
1. Em **Sinalizadores**, marque a caixa ao lado de **Incluir na declaração SAML** e escolha **Salvar**.
1. No campo **Valor**, use a lista suspensa para escolher os atributos do usuário OneLogin. Por exemplo, **Departamento**.
1. Escolha **Salvar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Solução de problemas
O seguinte pode ajudá-lo a solucionar alguns problemas comuns que você pode encontrar ao configurar o provisionamento automático com o OneLogin.
**Os grupos não são provisionados para o IAM Identity Center**
Por padrão, os grupos não podem ser provisionados a partir do IAM Identity Center do OneLogin. Certifique-se de ter habilitado o provisionamento de grupos para seu aplicativo IAM Identity Center no OneLogin. Para fazer isso, faça login no console de administrador do OneLogin e verifique se a opção **Incluir no provisionamento de usuários** está selecionada nas propriedades do aplicativo IAM Identity Center (aplicativo IAM Identity Center **> Parâmetros > Grupos**). [Para obter mais detalhes sobre como criar grupos no OneLogin, incluindo como sincronizar funções do OneLogin como grupos no SCIM, consulte o site do OneLogin site.](https://onelogin.service-now.com/support)
**Nada é sincronizado do OneLogin para o IAM Identity Center, apesar de todas as configurações estarem corretas**
Além da observação acima sobre a aprovação do administrador, você precisará **reaplicar os mapeamentos de direitos** para que muitas alterações de configuração entrem em vigor. Isso pode ser encontrado em **Aplicativos > Aplicativos > Aplicativo IAM Identity Center > Mais ações**. Você pode ver detalhes e registros da maioria das ações no OneLogin, incluindo eventos de sincronização, em **Atividade > Eventos**.
**Excluí ou desativei um grupo no OneLogin, mas ele ainda aparece no IAM Identity Center**
Atualmente, o OneLogin não suporta a operação SCIM DELETE para grupos, o que significa que o grupo continua existindo no IAM Identity Center. Portanto, você deve remover o grupo diretamente do IAM Identity Center para garantir que todas as permissões correspondentes no IAM Identity Center desse grupo sejam removidas.
**Excluí um grupo no IAM Identity Center sem primeiro excluí-lo OneLogin e agora estou tendo problemas de user/group sincronização**
Para corrigir essa situação, primeiro verifique se você não tem nenhuma regra ou configuração redundante de provisionamento de grupos. no OneLogin Por exemplo, um grupo atribuído diretamente a um aplicativo junto com uma regra que publica no mesmo grupo. Em seguida, exclua todos os grupos indesejáveis no IAM Identity Center. Por fim, no OneLogin, **atualize** os direitos (**aplicativo IAM Identity Center > Provisionamento > Direitos**) e, em seguida, **reaplique os mapeamentos de direitos (Aplicativo IAM Identity Center > Mais ações)**. Para evitar esse problema no futuro, primeiro faça a alteração para parar de provisionar o grupo no OneLogin, em seguida, exclua o grupo do IAM Identity Center.