本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Setting up SCIM provisioning between CyberArk and IAM Identity Center
<a name="cyberark-idp"></a>

IAM Identity Center 支援將使用者資訊從 自動佈建 （同步） CyberArk Directory Platform到 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。如需詳細資訊，請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

**注意**  
CyberArk 目前不支援 AWS IAM Identity Center 應用程式中的 SAML 多聲明使用服務 (ACS) URLs。需要此 SAML 功能才能充分利用 IAM Identity Center 中的[多區域支援](multi-region-iam-identity-center.md)。如果您打算將 IAM Identity Center 複寫到其他區域，請注意，使用單一 ACS URL 可能會影響這些其他區域中的使用者體驗。您的主要區域會繼續正常運作。我們建議您與 IdP 廠商合作，以啟用此功能。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。

在您開始部署 SCIM 之前，建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。

**Topics**
+ [先決條件](#cyberark-prereqs)
+ [SCIM 考量事項](#cyberark-considerations)
+ [步驟 1：在 IAM Identity Center 中啟用佈建](#cyberark-step1)
+ [步驟 2：在 中設定佈建 CyberArk](#cyberark-step2)
+ [（選用） 步驟 3：在 IAM Identity Center 中設定CyberArk存取控制 (ABAC) 的使用者屬性](#cyberark-step3)
+ [（選用） 傳遞屬性以進行存取控制](#cyberark-passing-abac)

## 先決條件
<a name="cyberark-prereqs"></a>

您將需要下列項目才能開始使用：
+ CyberArk 訂閱或免費試用。若要註冊免費試用，請造訪 [https://www.cyberark.com/try-buy/](https://www.cyberark.com/try-buy/)。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊，請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從CyberArk您的帳戶到 IAM Identity Center 的 SAML 連線，如 [CyberArkIAM Identity Center 文件](https://docs.cyberark.com/identity/Latest/en/Content/Applications/AppsWeb/AWS_SAML_SSO.htm#)中所述。
+ 將 IAM Identity Center 連接器與您要允許存取的角色、使用者和組織建立關聯 AWS 帳戶。

## SCIM 考量事項
<a name="cyberark-considerations"></a>

以下是對 CyberArk IAM Identity Center 使用聯合時的考量：
+ 只有應用程式佈建區段中映射的角色才會同步到 IAM Identity Center。
+ 佈建指令碼僅支援預設狀態，一旦變更，SCIM 佈建可能會失敗。
  + 只能同步一個電話號碼屬性，預設值為「工作電話」。
+ 如果 IAM Identity Center CyberArk 應用程式中的角色映射已變更，則預期下列行為：
  + 如果角色名稱已變更 - IAM Identity Center 中的群組名稱沒有變更。
  + 如果群組名稱已變更 - 新的群組將在 IAM Identity Center 中建立，則舊群組會保留，但不會有任何成員。
+ 您可以從 CyberArk IAM Identity Center 應用程式設定使用者同步和取消佈建行為，確保您為組織設定正確的行為。以下是您擁有的選項：
  + 以相同的委託人名稱覆寫 （或不覆寫） Identity Center 目錄中的使用者。
  + 從CyberArk角色移除使用者時，從 IAM Identity Center 取消佈建使用者。
  + 取消佈建使用者行為 - 停用或刪除。

## 步驟 1：在 IAM Identity Center 中啟用佈建
<a name="cyberark-step1"></a>

在此第一個步驟中，您可以使用 IAM Identity Center 主控台來啟用自動佈建。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學課程稍後輸入這些值，以在 IdP 中設定自動佈建。

1. 選擇**關閉**。

現在您已在 IAM Identity Center 主控台中設定佈建，您需要使用 CyberArk IAM Identity Center 應用程式完成其餘任務。這些步驟會在下列程序中說明。

## 步驟 2：在 中設定佈建 CyberArk
<a name="cyberark-step2"></a>

 在 CyberArk IAM Identity Center 應用程式中使用下列程序來啟用使用 IAM Identity Center 的佈建。此程序假設您已將 CyberArk IAM Identity Center 應用程式新增至 **Web 應用程式**下的CyberArk管理員主控台。如果您尚未這麼做，請參閱 [先決條件](#cyberark-prereqs)，然後完成此程序以設定 SCIM 佈建。

**在 中設定佈建 CyberArk**

1. 開啟您在設定 SAML for CyberArk CyberArk(**應用程式 > Web 應用程式） 時新增的 IAM Identity Center 應用程式**。請參閱 [先決條件](#cyberark-prereqs)。

1. 選擇 **IAM Identity Center** 應用程式，然後前往**佈建**區段。

1. 勾選**啟用此應用程式的佈建**方塊，然後選擇**即時模式**。

1. 在先前的程序中，您會從 IAM Identity Center 複製 **SCIM 端點**值。將該值貼到 **SCIM 服務 URL** 欄位中，在 CyberArk IAM Identity Center 應用程式中，將**授權類型**設定為**授權標頭**。

1. 將**標頭類型**設定為**承載字符**。

1. 從先前的程序中，您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 IAM Identity Center CyberArk 應用程式的**承載權杖**欄位。

1. 按一下**驗證**以測試和套用組態。

1. 在**同步選項**下，選擇您要傳出佈建從中CyberArk運作的正確行為。您可以選擇覆寫 （或不覆寫） 具有類似主體名稱的現有 IAM Identity Center 使用者，以及取消佈建行為。

1. 在**角色映射**下，設定從CyberArk角色到**目的地**群組下 IAM Identity Center 群組**的名稱**欄位下的映射。

1. 完成後，按一下底部的**儲存**。

1. 若要確認使用者已成功同步至 IAM Identity Center，請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步使用者CyberArk會出現在**使用者**頁面上。這些使用者現在可以指派給 帳戶，並且可以在 IAM Identity Center 中連線。

## （選用） 步驟 3：在 IAM Identity Center 中設定CyberArk存取控制 (ABAC) 的使用者屬性
<a name="cyberark-step3"></a>

如果您選擇CyberArk設定 IAM Identity Center 的屬性來管理對 AWS 資源的存取，這是 的選用程序。您在 中定義的屬性CyberArk會在 SAML 聲明中傳遞至 IAM Identity Center。然後，您可以在 IAM Identity Center 中建立許可集，以根據您從 傳遞的屬性來管理存取權CyberArk。

開始此程序之前，您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊，請參閱[啟用和設定存取控制的屬性](configure-abac.md)。

**在 中設定使用者屬性CyberArk，以在 IAM Identity Center 中進行存取控制**

1. 開啟您在為 CyberArk 設定 SAML 時安裝的 IAM Identity Center 應用程式 CyberArk（應用程式 > Web 應用程式）。****

1. 前往 **SAML 回應**選項。

1. 在**屬性**下，依照下列邏輯將相關屬性新增至資料表：

   1. **屬性名稱**是來自 的原始屬性名稱CyberArk。

   1. **屬性值**是在 SAML 聲明中傳送至 IAM Identity Center 的屬性名稱。

1. 選擇**儲存**。

## （選用） 傳遞屬性以進行存取控制
<a name="cyberark-passing-abac"></a>

您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能，傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 `AttributeValue` 元素。例如，若要傳遞標籤鍵值對 `CostCenter = blue`，請使用下列屬性。

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要新增多個屬性，請為每個標籤加入個別的`Attribute`元素。