As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# PingOne
O IAM Identity Center oferece suporte ao provisionamento automático (sincronização) das informações do usuário a partir do produto PingOne do Ping Identity (doravante “Ping“) para o IAM Identity Center. Esse provisionamento usa o protocolo System for Cross-domain Identity Management (SCIM) v2.0. Você configura essa conexão no PingOne usando seu endpoint e token de acesso do IAM Identity Center SCIM. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no PingOne para os atributos nomeados no IAM Identity Center. Isso faz com que os atributos esperados correspondam entre o IAM Identity Center e PingOne.
As etapas a seguir explicam como ativar o provisionamento automático de usuários do PingOne para o IAM Identity Center usando o protocolo SCIM.
**nota**
Antes de começar a implantar o SCIM, é recomendável que você analise [Considerações sobre o uso do provisionamento automático](provision-automatically.md#auto-provisioning-considerations) antes. Em seguida, continue analisando considerações adicionais na próxima seção.
**Topics**
+ [Pré-requisitos](#pingone-prereqs)
+ [Considerações](#pingone-considerations)
+ [Etapa 1: Habilitar provisionamento no IAM Identity Center](#pingone-step1)
+ [Etapa 2: Configure o provisionamento no PingOne](#pingone-step2)
+ [(Opcional) Etapa 3: configure atributos do usuário no PingOne para controle de acesso no IAM Identity Center](#pingone-step3)
+ [(Opcional) Passar atributos para controle de acesso](#pingone-passing-abac)
+ [Solução de problemas](#pingone-troubleshooting)
## Pré-requisitos
Você precisará do seguinte antes de começar:
+ Uma assinatura ou teste gratuito do PingOne, com recursos de autenticação federada e provisionamento. Para obter mais informações sobre como obter um teste gratuito, consulte o site do [https://www.pingidentity.com/en/trials.html](https://www.pingidentity.com/en/trials.html).
+ Uma conta habilitada para o IAM Identity Center ([gratuita](https://aws.amazon.com/single-sign-on/)). Para obter mais informações, consulte [Habilitar o IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html).
+ O aplicativo IAM Identity Center do PingOne foi adicionado ao seu portal de administrador do PingOne. Você pode obter o aplicativo IAM Identity Center do PingOne no catálogo de aplicativos do PingOne. Para obter informações gerais, consulte [Adicionar um aplicativo do catálogo de aplicativos](https://docs.pingidentity.com/pingone/applications/p1_applicationcatalog.html) no site do Ping Identity.
+ Uma conexão SAML da sua instância do PingOne com o IAM Identity Center. Depois que o aplicativo IAM Identity Center do PingOne for adicionado ao seu portal administrativo do PingOne, você deverá usá-lo para configurar uma conexão SAML da sua instância do PingOne com o IAM Identity Center. Use o recurso de “baixar” e “importar” metadados nas duas extremidades para trocar metadados SAML entre o PingOne e o IAM Identity Center. Para obter mais instruções sobre como configurar essa conexão, consulte a documentação PingOne.
+ Se você replicou o IAM Identity Center para regiões adicionais, você deve atualizar a configuração do seu provedor de identidade para permitir o acesso a aplicativos AWS gerenciados e a Contas da AWS partir dessas regiões. Consulte mais detalhes em [Etapa 3: atualizar a configuração do IdP externo](replicate-to-additional-region.md#update-external-idp-setup). Consulte a PingOne documentação para obter detalhes adicionais.
## Considerações
A seguir estão considerações importantes sobre o PingOne que podem afetar a forma como você implementa o provisionamento com o IAM Identity Center.
+ O PingOne não oferece suporte ao provisionamento de grupos por meio do SCIM. Entre em contato com o Ping para obter as informações mais recentes sobre suporte de grupo no SCIM do PingOne.
+ Os usuários podem continuar sendo provisionados no PingOne após a desativação do provisionamento no portal administrativo do PingOne. Se você precisar encerrar o provisionamento imediatamente, exclua o token portador do SCIM relevante e and/or [Provisionar usuários e grupos de um provedor de identidades externo usando o SCIM](provision-automatically.md) desative-o no IAM Identity Center.
+ Se um atributo for removido de um usuário no armazenamento de dados configurado no PingOne, esse atributo não será removido do usuário correspondente no IAM Identity Center. Essa é uma limitação conhecida na implementação do provisionador do PingOne’s. Se um atributo for modificado, a alteração será sincronizada com o IAM Identity Center.
+ A seguir estão observações importantes sobre sua configuração de SAML no PingOne:
+ O IAM Identity Center é compatível somente como `emailaddress` no formato `NameId`. Isso significa que você precisa escolher um atributo de usuário que seja exclusivo em seu diretório emPingOne, não nulo e formatado como um email/UPN (por exemplo, user@domain.com) para seu mapeamento **SAML\_SUBJECT** em. PingOne **E-mail (comercial)** é um valor razoável para usar em configurações de teste com o diretório integrado do PingOne.
+ Usuários do PingOne com um endereço de e-mail contendo um caractere **\+** podem não conseguir entrar no IAM Identity Center, apresentando erros como `'SAML_215'` ou `'Invalid input'`. Para corrigir isso, no PingOne, escolha a opção **Avançado** para o mapeamento **SAML\_SUBJECT** em **Mapeamentos de atributos**. Em seguida, defina o **Formato de ID do Nome para enviar para SP:** para **urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress** no menu suspenso.
## Etapa 1: Habilitar provisionamento no IAM Identity Center
Nesta primeira etapa, você usa o console do IAM Identity Center para ativar o provisionamento automático.
**Para habilitar o provisionamento automático no IAM Identity Center**
1. Depois de concluir os pré-requisitos, abra o console do [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Escolha **Configurações** no painel de navegação à esquerda.
1. Na página **Configurações**, localize a caixa de informações **Provisionamento automático** e selecione **Habilitar**. Isso habilita imediatamente o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e do token de acesso.
1. Na caixa de diálogo de **Provisionamento automático de entrada**, copie o endpoint e o token de acesso SCIM. Você precisará colá-los posteriormente ao configurar o provisionamento no IdP.
1. **Endpoint SCIM** - Por exemplo, https://scim. {{us-east-2}}.amazonaws.com/ /scim/v2 {{11111111111-2222-3333-4444-555555555555}}
1. **Token de acesso**: escolha **Mostrar token** para copiar o valor.
**Atenção**
Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar provisionamento automático em seu IdP mais adiante neste tutorial.
1. Escolha **Fechar**.
Agora que você configurou o provisionamento no console do IAM Identity Center, precisa concluir as tarefas restantes usando o aplicativo IAM Identity Center do PingOne. Essas etapas são descritas no procedimento a seguir.
## Etapa 2: Configure o provisionamento no PingOne
Use o procedimento a seguir no aplicativo IAM Identity Center do PingOne para habilitar o provisionamento com o IAM Identity Center. Esse procedimento pressupõe que você já tenha adicionado o aplicativo IAM Identity Center do PingOne ao seu console de administração do PingOne. Se você ainda não tiver feito isso, consulte [Pré-requisitos](#pingone-prereqs) e conclua este procedimento para configurar o provisionamento do SCIM.
**Para configurar o provisionamento no PingOne**
1. Abra o aplicativo IAM Identity Center do PingOne que você instalou como parte da configuração do SAML para o PingOne (**Aplicativos** > **Meus aplicativos**). Consulte [Pré-requisitos](#pingone-prereqs).
1. Role até o final da página. Em **Provisionamento de usuários**, escolha o link **completo** para navegar até a configuração de provisionamento de usuários da sua conexão.
1. Na página **Instruções de provisionamento**, escolha **Continuar para a próxima etapa**.
1. No procedimento anterior, você copiou o valor do **endpoint SCIM** do IAM Identity Center. Cole esse valor no campo **URL do SCIM** no aplicativo IAM Identity Center do PingOne. Além disso, no procedimento anterior, você copiou o valor do **Token de acesso** do IAM Identity Center. Cole esse valor no campo **ACCESS\_TOKEN** no aplicativo IAM Identity Center do PingOne.
1. Para **REMOVE\_ACTION**, escolha **Desabilitado** ou **Excluído** (consulte o texto descritivo na página para obter mais detalhes).
1. Na página **Mapeamento de atributos**, escolha um valor a ser usado para a declaração **SAML\_SUBJECT** (`NameId`), seguindo as orientações do [Considerações](#pingone-considerations) no início desta página. Em seguida, selecione **Avançar para a próxima etapa**.
1. Na página **PingOne App Customization - IAM Identity Center**, faça as alterações de personalização desejadas (opcional) e clique em **Continuar para a próxima etapa**.
1. Na página **Acesso ao grupo**, escolha os grupos que contêm os usuários que você gostaria de habilitar para provisionamento e login único no IAM Identity Center. Selecione **Avançar para a próxima etapa**.
1. Navegue até o final da página e escolha **Finalizar** para iniciar o provisionamento.
1. Para verificar se os usuários foram sincronizados com sucesso com o IAM Identity Center, retorne ao console do IAM Identity Center e escolha **Usuários**. Os usuários sincronizados do PingOne aparecerão na página **Usuários**. Agora, esses usuários podem ser atribuídos a contas e e aplicativos no IAM Identity Center.
Lembre-se de que o PingOne não oferece suporte ao provisionamento de grupos ou associações de grupos por meio do SCIM. Entre em contato Ping para obter mais informações.
## (Opcional) Etapa 3: configure atributos do usuário no PingOne para controle de acesso no IAM Identity Center
Esse é um procedimento opcional PingOne se você optar por configurar atributos para o IAM Identity Center gerenciar o acesso aos seus AWS recursos. Os atributos que você define no PingOne são passados em uma declaração de SAML para o IAM Identity Center. Em seguida, você cria um conjunto de permissões no IAM Identity Center para gerenciar o acesso com base nos atributos dos quais você passou do PingOne.
Antes de iniciar este procedimento, você deve primeiro habilitar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md). Para obter mais informações sobre como fazer isso, consulte [Habilite e configure atributos para controle de acesso](configure-abac.md).
**Para configurar atributos do usuário em PingOne para controle de acesso no IAM Identity Center**
1. Abra o aplicativo IAM Identity Center do PingOne que você instalou como parte da configuração do SAML para o PingOne (**Aplicativos > Meus aplicativos**).
1. Escolha **Editar** e, em seguida, escolha **Avançar para a próxima etapa** até chegar à página **Mapeamentos de atributos**.
1. Na página **Mapeamentos de atributos**, escolha **Adicionar novo atributo** e faça o seguinte. Você deve executar essas etapas para cada atributo que adicionar para usar no IAM Identity Center para controle de acesso.
1. No campo **Atributo do aplicativo**, insira `https://aws.amazon.com/SAML/Attributes/AccessControl:{{AttributeName}}`. Substitua {{AttributeName}} pelo nome do atributo que você espera no IAM Identity Center. Por exemplo, .`https://aws.amazon.com/SAML/Attributes/AccessControl:Email`
1. No campo **Atributo da ponte de identidade ou Valor literal**, escolha os atributos do usuário em seu diretório do PingOne. Por exemplo, **E-mail (trabalho)**.
1. Escolha **Próximo** algumas vezes e, em seguida, escolha **Finalizar**.
## (Opcional) Passar atributos para controle de acesso
Opcionalmente, você pode usar o atributo [Atributos para controle de acesso](attributesforaccesscontrol.md) no IAM Identity Center para passar um elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte [Passar tags de sessão AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) no *Guia de usuário do IAM*.
Para passar atributos como tags de sessão, inclua o elemento `AttributeValue` que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag `CostCenter = blue`, use o atributo a seguir.
```
blue
```
Se você precisar adicionar vários atributos, inclua um elemento separado `Attribute` para cada tag.
## Solução de problemas
Para solucionar problemas gerais de SCIM e SAML com o PingOne, consulte as seguintes seções:
+ [Usuários específicos não conseguem sincronizar com o IAM Identity Center a partir de um provedor SCIM externo](troubleshooting.md#issue2)
+ [Problemas relacionados ao conteúdo das asserções SAML criadas pelo IAM Identity Center](troubleshooting.md#issue1)
+ [Erro de usuário ou grupo duplicado ao provisionar usuários ou grupos com um provedor de identidades externo](troubleshooting.md#duplicate-user-group-idp)
+ Para obter mais informações sobre o PingOne, consulte a [documentação do PingOne](https://docs.pingidentity.com/pingone/p1_cloud__platform_main_landing_page.html).
Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:
+ [AWS re:Post](https://repost.aws/)- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.
+ [AWS Support](https://aws.amazon.com/premiumsupport/): obter suporte técnico