本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center 支持将用户信息从 CyberArk Directory Platform 自动预置（同步）到 IAM Identity Center。此预置使用跨域身份管理系统 (SCIM) v2.0 协议。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

**注意**  
CyberArk目前不支持应用程序 URLs中的 SAML 多重断言使用服务 (ACS)。 AWS IAM Identity Center 要充分利用 IAM 身份中心中的[多区域支持](multi-region-iam-identity-center.md)，必须使用此 SAML 功能。如果您计划将 IAM Identity Center 复制到其他区域，请注意，使用单个 ACS URL 可能会影响这些其他区域的用户体验。您的主要区域将继续正常运行。我们建议您与 IdP 供应商合作以启用此功能。有关使用单个 ACS URL 在其他区域的用户体验的更多信息，请参阅[使用没有多个 ACS 的 AWS 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[AWS 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。然后继续查看下一部分中的其他注意事项。

**Topics**
+ [先决条件](#cyberark-prereqs)
+ [SCIM 注意事项](#cyberark-considerations)
+ [步骤 1：在 IAM Identity Center 中启用预置](#cyberark-step1)
+ [步骤2：在 CyberArk 中配置预置](#cyberark-step2)
+ [（可选）步骤 3：在 CyberArk 中配置用户属性以在 IAM Identity Center 中进行访问控制 (ABAC)](#cyberark-step3)
+ [（可选）传递访问控制属性](#cyberark-passing-abac)

## 先决条件
<a name="cyberark-prereqs"></a>

在开始之前，您将需要以下内容：
+ CyberArk 订阅或免费试用。报名参加免费试用访问 [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/)。
+ 支持 IAM Identity Center 的帐户（[免费](https://aws.amazon.com/single-sign-on/)）。有关更多信息，请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 从您的 CyberArk 帐户到 IAM Identity Center 的 SAML 连接，如 [IAM Identity Center CyberArk 文档](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)中所述。
+ 将 IAM Identity Center 连接器与您想要允许访问 AWS 账户的角色、用户和组织相关联。

## SCIM 注意事项
<a name="cyberark-considerations"></a>

以下是对 IAM Identity Center 使用 CyberArk 联合身份验证时的注意事项：
+ 只有应用程序预置部分中映射的角色才会同步到 IAM Identity Center。
+ 配置脚本仅在默认状态下受支持，一旦更改，SCIM 预置可能会失败。
  + 只能同步一种电话号码属性，默认为“工作电话”。
+ 如果 CyberArk IAM Identity Center 应用程序中的角色映射发生更改，则预计会出现以下行为：
  + 如果角色名称发生更改——IAM Identity Center 中的组名称不会发生更改。
  + 如果组名称发生更改——将在 IAM Identity Center 中创建新组，旧组将保留，但没有成员。
+ 用户同步和取消预置行为可以从 CyberArk IAM Identity Center 应用程序进行设置，请确保为您的组织设置正确的行为。您可以选择以下选项：
  + 覆盖（或不覆盖）Identity Center 目录中具有相同主体名称的用户。
  + 从 CyberArk 角色中移除用户后，从 IAM Identity Center 取消对该用户的配置。
  + 取消配置用户行为——禁用或删除。

## 步骤 1：在 IAM Identity Center 中启用预置
<a name="cyberark-step1"></a>

在第一步中，您使用 IAM Identity Center 控制台启用自动预置。

**在 IAM Identity Center 中启用自动预置**

1. 完成先决条件后，打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在左侧导航窗格中选择**设置**。

1. 在**设置**页面上，找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时，您需要粘贴这些内容。

   1. **SCIM 端点** ——例如，https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。本教程的后续步骤需要输入这些值，以便在 IdP 中配置自动预置。

1. 选择**关闭**。

现在您已在 IAM Identity Center 控制台中设置了预置，您需要使用 CyberArk IAM Identity Center 应用程序完成其余任务。以下过程中描述了这些步骤。

## 步骤2：在 CyberArk 中配置预置
<a name="cyberark-step2"></a>

 在 CyberArk IAM Identity Center 应用程序中使用以下过程来启用 IAM Identity Center 的预置。此过程假设您已将 CyberArk IAM Identity Center 应用程序添加到 **Web 应用程序**下的 CyberArk 管理控制台。如果您尚未执行此操作，请参阅 [先决条件](#cyberark-prereqs)，然后完成此过程以配置 SCIM 预置。

**要在 CyberArk 中配置预置**

1. 打开您在为 CyberArk 配置 SAML 过程中添加的 CyberArk IAM Identity Center 应用程序（**应用程序 > Web 应用程序**）。请参阅 [先决条件](#cyberark-prereqs)。

1. 选择 **IAM Identity Center** 应用程序并转到**预置**部分。

1. 选中**启用此应用程序的预置**框并选择**实时模式**。

1. 在前面的过程中，您从 IAM Identity Center 复制了 **SCIM 端点**值。将该值粘贴到 **SCIM 服务 URL** 字段中，在 CyberArk IAM Identity Center 应用程序中将**授权类型**设置为 **Authorization 标头**。

1. 将**标头类型**设置为**持有者令牌**。

1. 在上一过程中，您复制了 IAM Identity Center 中的**访问令牌**值。将该值粘贴到 CyberArk IAM Identity Center 应用程序中的**持有者令牌**字段中。

1. 单击**验证**以测试和应用配置。

1. 在**同步选项**下，选择您希望 CyberArk 中的出站预置发挥作用的正确行为。您可以选择覆盖（或不覆盖）具有相似主体名称和取消预置行为的现有 IAM Identity Center 用户。

1. 在**角色映射**下，设置从**名称**字段下的 CyberArk 角色到**目标组**下的 IAM Identity Center 组的映射。

1. 完成后点击底部的**保存**。

1. 要验证用户是否已成功同步到 IAM Identity Center，请返回 IAM Identity Center 控制台并选择**用户**。来自 CyberArk 的同步用户将显示在**用户**页面上。现在可以将这些用户分配给帐户并可以在 IAM Identity Center 中进行连接。

## （可选）步骤 3：在 CyberArk 中配置用户属性以在 IAM Identity Center 中进行访问控制 (ABAC)
<a name="cyberark-step3"></a>

如果您选择为 IAM Identity Center 配置属性以管理对 AWS 资源的访问权限，则这是一个可选过程。CyberArk您在 CyberArk 中定义的属性将在 SAML 断言中传递到 IAM Identity Center。然后，您在 IAM Identity Center 中创建权限集，以根据您从 CyberArk 传递的属性管理访问权限。

在开始此过程之前，您必须首先启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

**要在 CyberArk 中配置用户属性，用于 IAM Identity Center 的访问控制**

1. 打开您在为 CyberArk 配置 SAML 过程中安装的 CyberArk IAM Identity Center 应用程序（**应用程序 > Web 应用程序**）。

1. 转至 **SAML 响应**选项。

1. 在**属性**下，按照以下逻辑将相关属性添加到表中：

   1. **属性名称**是来自 CyberArk 的原始属性名称。

   1. **属性值**是在 SAML 断言中发送到 IAM Identity Center 的属性名称。

1. 选择**保存**。

## （可选）传递访问控制属性
<a name="cyberark-passing-abac"></a>

您可以选择使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对`CostCenter = blue`，请使用以下属性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。