Overslaan naar inhoud
Nederlands
  • Er zijn geen suggesties want het zoekveld is leeg.

KeyHub koppelen aan AWS IAM Identity Center via SCIM

Topicus KeyHub kan gebruikers en groepen rechtstreeks provisionen naar AWS IAM Identity Center via SCIM 2.0. AWS hanteert een eigen SCIM-dialect; KeyHub ondersteunt dit via de leverancier AWS. Deze leverancier is beschikbaar vanaf KeyHub versie 49; op oudere versies werkt de directe koppeling met AWS niet. Bij het kiezen van deze leverancier zet KeyHub automatisch de juiste implementatie-eigenaardigheden, zodat de koppeling aansluit op het gedrag van AWS. In de praktijk vul je zelf alleen de URL, het authenticatieschema en het bearer token in. Dit artikel beschrijft de instellingen aan beide kanten en hoe je de koppeling valideert. Voor een uitgebreide beschrijving van de afzonderlijke velden, zie het hoofdstuk Koppelingen → Koppelen met een SCIM-systeem in de Topicus KeyHub-handleiding.


Voorwaarden

KeyHub draait op versie 49 of hoger. De SCIM-leverancier AWS is op oudere versies niet beschikbaar.

AWS stelt een aantal eisen aan gebruikersgegevens. Wordt hier niet aan voldaan, dan worden accounts stil overgeslagen:

  • Elke gebruiker heeft een voornaam, achternaam, gebruikersnaam én weergavenaam. Ontbreekt een van deze waarden, dan wordt de gebruiker niet geprovisioned.
  • Het primaire e-mailadres is uniek per gebruiker.
  • Na het inschakelen van automatische provisioning in AWS kunnen gebruikers niet meer in de AWS-console worden bewerkt; KeyHub is dan de leidende bron.
Stap 1 — AWS: SCIM-endpoint en access token ophalen
  1. Open de AWS IAM Identity Center console en ga naar Settings.
  2. Zoek het blok Automatic provisioning en kies Enable. Automatische provisioning wordt direct ingeschakeld en AWS toont de benodigde gegevens.
  3. Kopieer in het dialoogvenster Inbound automatic provisioning beide waarden: - SCIM endpoint — vorm: https://scim.<region>.amazonaws.com/<tenant-id>/scim/v2 - Access token — kies Show token om de waarde te kopiëren.

Let op: het access token wordt maar één keer getoond — kopieer het voordat je verdergaat. Het SCIM-endpoint blijft daarna gewoon zichtbaar in Settings. Het access token is één jaar geldig; AWS waarschuwt vanaf 90 dagen vóór expiratie. Roteer het token tijdig, anders stopt de synchronisatie.

Stap 2 — KeyHub: SCIM-koppeling configureren

Maak in KeyHub een nieuwe SCIM-koppeling aan (of bewerk een bestaande) en vul in:

Veld Waarde
Leverancier AWS
URL de volledige AWS SCIM-endpoint, inclusief /scim/v2
Authenticatieschema Bearer token
Bearer Token het AWS access token uit stap 1

Door leverancier AWS te kiezen, stelt KeyHub de implementatie-eigenaardigheden automatisch zo in dat ze aansluiten op AWS. Deze worden vastgezet en kunnen na het kiezen van de leverancier niet handmatig worden aangepast. Ter informatie staan ze hieronder:

Eigenaardigheid AWS-waarde Reden
Ondersteunt wachtwoorden uit AWS accepteert geen wachtwoorden via SCIM
Gebruik application/json+scim MIME-type uit (application/json) AWS gebruikt het niet-standaard MIME-type
Update-strategie PATCH  
Page-grootte 100 maximale paginagrootte van AWS
Cursorgebaseerde paginering aan AWS pagineert met een opaque cursor (RFC 9865)
Ondersteunt filteren op actieve gebruikers uit het Users-endpoint van AWS ondersteunt deze filter niet
Ondersteunt externalId aan  
Ondersteunt groepen aan  

Een uitleg per eigenaardigheid staat in de handleiding bij Koppelen met een SCIM-systeem.

Stap 3 — Koppeling testen en in gebruik nemen

Voer de inrichting indien mogelijk eerst uit in een test- of acceptatieomgeving, tegen een test- of sandbox-instantie van AWS IAM Identity Center.

  1. Vul de koppeling in KeyHub in zoals hierboven beschreven.
  2. Gebruik de testknop bij het aanmaken of bewerken van de koppeling. De stappen Open connection, Read groups en Provision/Deprovision account horen alle te slagen.
  3. Schakel desgewenst trace-logging op de koppeling in om eventuele provisioning-problemen te kunnen herleiden.

KeyHub is de bron: KeyHub maakt de gebruikers en groepen aan in AWS. Pas na een geslaagde test de koppeling in productie nemen.

Veelvoorkomende problemen
Symptoom Oorzaak / oplossing
Gebruiker wordt niet aangemaakt Voornaam, achternaam, gebruikersnaam of weergavenaam ontbreekt.
Provision/deprovision faalt met een type-fout op active Zorg dat KeyHub op versie 49 of hoger draait en dat de leverancier op AWS staat.
Synchronisatie stopt na verloop van tijd Het AWS access token is verlopen (geldig 1 jaar). Roteer het token in de IAM Identity Center console.
Bronnen