本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# PingFederate
IAM Identity Center 支援透過 (以下稱「Ping」) 從PingFederate產品自動佈建 Ping Identity(同步) 使用者和群組資訊至 IAM Identity Center。此佈建使用 System for Cross-domain Identity Management (SCIM) v2.0 通訊協定。如需詳細資訊,請參閱[搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。
您可以使用 IAM Identity Center SCIM 端點和存取權杖PingFederate在 中設定此連線。當您設定 SCIM 同步時,您會在 中建立使用者屬性映射PingFederate至 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 之間的預期屬性相符PingFederate。
本指南以 10.2 PingFederate版為基礎。其他版本的步驟可能會有所不同。Ping 如需如何為其他版本的 設定佈建至 IAM Identity Center 的詳細資訊,請聯絡 PingFederate。
下列步驟會逐步解說如何使用 SCIM 通訊協定,將使用者和群組從 自動佈建PingFederate至 IAM Identity Center。
**注意**
在您開始部署 SCIM 之前,建議您先檢閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。然後繼續檢閱下一節的其他考量事項。
**Topics**
+ [先決條件](#pingfederate-prereqs)
+ [考量事項](#pingfederate-considerations)
+ [步驟 1:在 IAM Identity Center 中啟用佈建](#pingfederate-step1)
+ [步驟 2:在 中設定佈建 PingFederate](#pingfederate-step2)
+ [(選用) 步驟 3:在 PingFed erate 中設定使用者屬性,以便在 IAM Identity Center 中進行存取控制](#pingfederate-step3)
+ [(選用) 傳遞屬性以進行存取控制](#pingfederate-passing-abac)
+ [疑難排解](#pingfederate-troubleshooting)
## 先決條件
您需要下列項目才能開始使用:
+ 運作中的PingFederate伺服器。如果您沒有現有的PingFederate伺服器,您可能可以從 [Ping Identity](https://www.pingidentity.com/developer/en/get-started.html#:~:text=Get%20started%20developing%20with%20open,a%20developer%20trial%20of%20PingOne.) 網站取得免費試用或開發人員帳戶。該試驗包括授權和軟體下載以及相關文件。
+ 安裝在PingFederate伺服器上的 PingFederate IAM Identity Center Connector 軟體副本。如需如何取得此軟體的詳細資訊,請參閱 Ping Identity 網站上的 [IAM Identity Center Connector](https://support.pingidentity.com/s/marketplace-integration/a7i1W000000TOZ1/)。
+ 啟用 IAM Identity Center 的帳戶 ([免費](https://aws.amazon.com/single-sign-on/))。如需詳細資訊,請參閱[啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/setup-enable-idc.html)。
+ 從PingFederate執行個體到 IAM Identity Center 的 SAML 連線。如需如何設定此連線的說明,請參閱 PingFederate 文件。總之,建議路徑是使用 IAM Identity Center Connector 在 中設定「瀏覽器 SSO」PingFederate,並使用兩端的「下載」和「匯入」中繼資料功能,在 PingFederate和 IAM Identity Center 之間交換 SAML 中繼資料。
+ 如果您將 IAM Identity Center 複寫到其他區域,則必須更新身分提供者組態,以啟用受 AWS 管應用程式和 AWS 帳戶 來自這些區域的存取。如需詳細資訊,請參閱[步驟 3:更新外部 IdP 設定](replicate-to-additional-region.md#update-external-idp-setup)。如需其他詳細資訊,請參閱 PingFederate 文件。
## 考量事項
以下是有關 的重要考量PingFederate,這可能會影響您使用 IAM Identity Center 實作佈建的方式。
+ 如果從在 中設定的資料存放區中的使用者移除屬性 (例如電話號碼)PingFederate,則不會從 IAM Identity Center 中的對應使用者移除該屬性。這是PingFederate’s佈建器實作的已知限制。如果屬性變更為使用者上的不同 (非空白) 值,則該變更會同步至 IAM Identity Center。
## 步驟 1:在 IAM Identity Center 中啟用佈建
在此第一個步驟中,您可以使用 IAM Identity Center 主控台來啟用自動佈建。
**在 IAM Identity Center 中啟用自動佈建**
1. 完成先決條件後,請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側導覽窗格中選擇**設定**。
1. 在**設定**頁面上,找到**自動佈建**資訊方塊,然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。
1. 在**傳入自動佈建**對話方塊中,複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時,您需要將這些項目貼入 。
1. **SCIM 端點** - 例如,https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-444-555555555*/scim/v2
1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。您將在本教學課程稍後輸入這些值,以在 IdP 中設定自動佈建。
1. 選擇**關閉**。
現在您已在 IAM Identity Center 主控台中設定佈建,您必須使用PingFederate管理主控台完成其餘任務。,步驟如下列程序所述。
## 步驟 2:在 中設定佈建 PingFederate
在PingFederate管理主控台中使用下列程序來啟用 IAM Identity Center 與 IAM Identity Center Connector 之間的整合。此程序假設您已安裝 IAM Identity Center Connector 軟體。如果您尚未這麼做,請參閱 [先決條件](#pingfederate-prereqs),然後完成此程序以設定 SCIM 佈建。
**重要**
如果您的PingFederate伺服器先前尚未設定傳出 SCIM 佈建,您可能需要變更組態檔案才能啟用佈建。如需詳細資訊,請參閱Ping文件。總而言之,您必須將 **pingfederate-/pingfederate/bin/run.properties** 檔案中`pf.provisioner.mode`的設定修改為 `OFF`(這是預設值) 以外的值,如果目前正在執行,則重新啟動伺服器。例如,`STANDALONE`如果您目前沒有 的高可用性組態,您可以選擇使用 PingFederate。
**在 中設定佈建 PingFederate**
1. 登入PingFederate管理主控台。
1. 從頁面頂端選取**應用程式**,然後按一下 **SP 連線**。
1. 找到您先前建立以與 IAM Identity Center 建立 SAML 連線的應用程式,然後按一下連線名稱。
1. 從頁面頂端附近的深色導覽標題中選取**連線類型**。您應該會看到**瀏覽器 SSO** 已從先前的 SAML 組態中選取。如果沒有,您必須先完成這些步驟,才能繼續。
1. 選取**傳出佈建**核取方塊,選擇 **IAM Identity Center Cloud Connector** 做為類型,然後按一下**儲存**。如果 **IAM Identity Center Cloud Connector** 未顯示為 選項,請確定您已安裝 IAM Identity Center Connector 並重新啟動PingFederate伺服器。
1. 重複按一下**下一步**,直到您抵達**傳出佈建**頁面,然後按一下**設定佈建**按鈕。
1. 在先前的程序中,您會在 IAM Identity Center 中複製 **SCIM 端點**值。將該值貼到 PingFederate 主控台的 **SCIM URL** 欄位。此外,在先前的程序中,您複製了 IAM Identity Center 中的**存取字符**值。將該值貼到 PingFederate 主控台的**存取字符**欄位。按一下 **Save (儲存)**。
1. 在**頻道組態 (設定頻道)** 頁面上,按一下**建立**。
1. 輸入此新佈建頻道的頻道**名稱** (例如 **AWSIAMIdentityCenterchannel**),然後按一下**下一步**。
1. 在**來源**頁面上,選擇您要用於連線至 IAM Identity Center 的**作用中資料存放**區,然後按一下**下一步**。
**注意**
如果您尚未設定資料來源,您現在必須這麼做。如需如何在 中選擇和設定資料來源的資訊,請參閱Ping產品文件PingFederate。
1. 在**來源設定**頁面上,確認安裝的所有值都正確,然後按一下**下一步**。
1. 在**來源位置**頁面上,輸入適合您資料來源的設定,然後按一下**下一步**。例如,如果使用 Active Directory 做為 LDAP 目錄:
1. 輸入 AD 樹系的基本 **DN** (例如 **DC=myforest,DC=mydomain,DC=com**)。
1. 在**使用者 > 群組 DN** 中,指定單一群組,其中包含您要佈建至 IAM Identity Center 的所有使用者。如果沒有這類單一群組,請在 AD 中建立該群組,返回此設定,然後輸入對應的 DN。
1. 指定是否搜尋子群組 (**巢狀搜尋**) 和任何必要的 LDAP **篩選條件**。
1. 在**群組 > 群組 DN** 中,指定單一群組,其中包含您要佈建至 IAM Identity Center 的所有群組。在許多情況下,這可能會與您在**使用者**區段中指定的 DN 相同。視需要輸入**巢狀搜尋**和**篩選條件**值。
1. 在**屬性映射**頁面上,確保下列事項,然後按一下**下一步**:
1. **userName** 欄位必須對應至格式化為電子郵件的**屬性** (user@domain.com)。它還必須符合使用者用來登入 Ping 的值。此值會在聯合身分驗證期間填入 SAML `nameId`宣告中,並用於比對 IAM Identity Center 中的使用者。例如,使用 Active Directory 時,您可以選擇將 指定`UserPrincipalName`為 **userName**。
1. 尾碼為 **\$1** 的其他欄位必須映射至使用者非 Null 的屬性。
1. 在**啟用與摘要**頁面上,將**頻道狀態**設定為**作用中**,讓同步在儲存組態後立即開始。
1. 確認頁面上的所有組態值都正確,然後按一下**完成**。
1. 在**管理頻道**頁面上,按一下**儲存**。
1. 此時,佈建會開始。若要確認活動,您可以檢視 **provisioner.log** 檔案,預設位於您PingFederate伺服器上的 **pingfederate-/pingfederate/log**目錄中。
1. 若要確認使用者和群組已成功同步至 IAM Identity Center,請返回 IAM Identity Center 主控台並選擇**使用者**。來自 的同步**使用者**PingFederate會出現在使用者頁面上。您也可以在群組頁面上檢視同步的**群組**。
## (選用) 步驟 3:在 PingFed erate 中設定使用者屬性,以便在 IAM Identity Center 中進行存取控制
PingFederate 如果您選擇設定要在 IAM Identity Center 中用來管理 AWS 資源存取的屬性,這是 的選用程序。您在 中定義的屬性PingFederate會在 SAML 聲明中傳遞至 IAM Identity Center。然後,您將在 IAM Identity Center 中建立許可集,以根據您從 傳遞的屬性來管理存取權PingFederate。
開始此程序之前,您必須先啟用[存取控制的屬性](attributesforaccesscontrol.md)此功能。如需如何進行該服務的詳細資訊,請參閱[啟用和設定存取控制的屬性](configure-abac.md)。
**在 中設定使用者屬性PingFederate,以在 IAM Identity Center 中進行存取控制**
1. 登入PingFederate管理主控台。
1. 從頁面頂端選擇**應用程式**,然後按一下 **SP 連線**。
1. 找到您先前建立以與 IAM Identity Center 建立 SAML 連線的應用程式,然後按一下連線名稱。
1. 從頁面頂端附近的深色導覽標題中選擇**瀏覽器 SSO**。然後按一下**設定瀏覽器 SSO**。
1. 在**設定瀏覽器 SSO** 頁面上,選擇**宣告建立**,然後按一下**設定宣告建立**。
1. 在**設定宣告建立**頁面上,選擇**屬性合約**。
1. 在**屬性合約**頁面**的延伸合約**區段下,執行下列步驟來新增屬性:
1. 在文字方塊中,輸入 `https://aws.amazon.com/SAML/Attributes/AccessControl:AttributeName`,**AttributeName**以您在 IAM Identity Center 中預期的屬性名稱取代 。例如 `https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。
1. 針對**屬性名稱格式**,選擇 **urn:oasis:names:tc:SAML:2.0:attrname-format:uri**。
1. 選擇**新增**,然後選擇**下一步**。
1. 在**身分驗證來源映射**頁面上,選擇使用應用程式設定的轉接器執行個體。
1. 在**屬性合約履行**頁面上,選擇**屬性合約** 的**來源** (*資料存放*區) 和**值** (*資料存放區屬性*)`https://aws.amazon.com/SAML/Attributes/AccessControl:Department`。
**注意**
如果您尚未設定資料來源,則需要現在這麼做。如需如何在 中選擇和設定資料來源的資訊,請參閱Ping產品文件PingFederate。
1. 重複按一下**下一步**,直到您抵達**啟用與摘要**頁面,然後按一下**儲存**。
## (選用) 傳遞屬性以進行存取控制
您可以選擇性地使用 IAM Identity Center 中的 [存取控制的屬性](attributesforaccesscontrol.md)功能,傳遞 `Name` 屬性設為 的 `Attribute`元素`https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}`。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的在 [中傳遞工作階段標籤 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 `AttributeValue` 元素。例如,若要傳遞標籤鍵值對 `CostCenter = blue`,請使用下列屬性。
```
blue
```
如果您需要新增多個屬性,請為每個標籤加入個別的`Attribute`元素。
## 疑難排解
如需使用 進行一般 SCIM 和 SAML 疑難排解PingFederate,請參閱下列章節:
+ [特定使用者無法從外部 SCIM 供應商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [IAM Identity Center 建立的 SAML 聲明內容相關問題](troubleshooting.md#issue1)
+ [使用外部身分提供者佈建使用者或群組時重複的使用者或群組錯誤](troubleshooting.md#duplicate-user-group-idp)
+ 如需 的詳細資訊PingFederate,請參閱 [PingFederate 文件](https://docs.pingidentity.com/pingfederate/latest/pf_pf_landing_page.html)。
下列資源可協助您在使用 時進行故障診斷 AWS:
+ [AWS re:Post](https://repost.aws/) - 尋找FAQs和其他資源的連結,以協助您疑難排解問題。
+ [AWS 支援](https://aws.amazon.com/premiumsupport/) - 取得技術支援