KeyHub koppelen aan AWS IAM Identity Center via SCIM
Topicus KeyHub kan gebruikers en groepen rechtstreeks provisionen naar AWS IAM Identity Center via SCIM 2.0. AWS hanteert een eigen SCIM-dialect; KeyHub ondersteunt dit via de leverancier AWS. Deze leverancier is beschikbaar vanaf KeyHub versie 49; op oudere versies werkt de directe koppeling met AWS niet. Bij het kiezen van deze leverancier zet KeyHub automatisch de juiste implementatie-eigenaardigheden, zodat de koppeling aansluit op het gedrag van AWS. In de praktijk vul je zelf alleen de URL, het authenticatieschema en het bearer token in. Dit artikel beschrijft de instellingen aan beide kanten en hoe je de koppeling valideert. Voor een uitgebreide beschrijving van de afzonderlijke velden, zie het hoofdstuk Koppelingen → Koppelen met een SCIM-systeem in de Topicus KeyHub-handleiding.
Voorwaarden
KeyHub draait op versie 49 of hoger. De SCIM-leverancier AWS is op oudere versies niet beschikbaar.
AWS stelt een aantal eisen aan gebruikersgegevens. Wordt hier niet aan voldaan, dan worden accounts stil overgeslagen:
- Elke gebruiker heeft een voornaam, achternaam, gebruikersnaam én weergavenaam. Ontbreekt een van deze waarden, dan wordt de gebruiker niet geprovisioned.
- Het primaire e-mailadres is uniek per gebruiker.
- Na het inschakelen van automatische provisioning in AWS kunnen gebruikers niet meer in de AWS-console worden bewerkt; KeyHub is dan de leidende bron.
- Open de AWS IAM Identity Center console en ga naar Settings.
- Zoek het blok Automatic provisioning en kies Enable. Automatische provisioning wordt direct ingeschakeld en AWS toont de benodigde gegevens.
- Kopieer in het dialoogvenster Inbound automatic provisioning beide waarden: - SCIM endpoint — vorm:
https://scim.<region>.amazonaws.com/<tenant-id>/scim/v2- Access token — kies Show token om de waarde te kopiëren.
Let op: het access token wordt maar één keer getoond — kopieer het voordat je verdergaat. Het SCIM-endpoint blijft daarna gewoon zichtbaar in Settings. Het access token is één jaar geldig; AWS waarschuwt vanaf 90 dagen vóór expiratie. Roteer het token tijdig, anders stopt de synchronisatie.
Stap 2 — KeyHub: SCIM-koppeling configurerenMaak in KeyHub een nieuwe SCIM-koppeling aan (of bewerk een bestaande) en vul in:
| Veld | Waarde |
|---|---|
| Leverancier | AWS |
| URL | de volledige AWS SCIM-endpoint, inclusief /scim/v2 |
| Authenticatieschema | Bearer token |
| Bearer Token | het AWS access token uit stap 1 |
Door leverancier AWS te kiezen, stelt KeyHub de implementatie-eigenaardigheden automatisch zo in dat ze aansluiten op AWS. Deze worden vastgezet en kunnen na het kiezen van de leverancier niet handmatig worden aangepast. Ter informatie staan ze hieronder:
| Eigenaardigheid | AWS-waarde | Reden |
|---|---|---|
| Ondersteunt wachtwoorden | uit | AWS accepteert geen wachtwoorden via SCIM |
| Gebruik application/json+scim MIME-type | uit (application/json) |
AWS gebruikt het niet-standaard MIME-type |
| Update-strategie | PATCH | |
| Page-grootte | 100 | maximale paginagrootte van AWS |
| Cursorgebaseerde paginering | aan | AWS pagineert met een opaque cursor (RFC 9865) |
| Ondersteunt filteren op actieve gebruikers | uit | het Users-endpoint van AWS ondersteunt deze filter niet |
| Ondersteunt externalId | aan | |
| Ondersteunt groepen | aan |
Een uitleg per eigenaardigheid staat in de handleiding bij Koppelen met een SCIM-systeem.
Stap 3 — Koppeling testen en in gebruik nemenVoer de inrichting indien mogelijk eerst uit in een test- of acceptatieomgeving, tegen een test- of sandbox-instantie van AWS IAM Identity Center.
- Vul de koppeling in KeyHub in zoals hierboven beschreven.
- Gebruik de testknop bij het aanmaken of bewerken van de koppeling. De stappen Open connection, Read groups en Provision/Deprovision account horen alle te slagen.
- Schakel desgewenst trace-logging op de koppeling in om eventuele provisioning-problemen te kunnen herleiden.
KeyHub is de bron: KeyHub maakt de gebruikers en groepen aan in AWS. Pas na een geslaagde test de koppeling in productie nemen.
Veelvoorkomende problemen| Symptoom | Oorzaak / oplossing |
|---|---|
| Gebruiker wordt niet aangemaakt | Voornaam, achternaam, gebruikersnaam of weergavenaam ontbreekt. |
Provision/deprovision faalt met een type-fout op active |
Zorg dat KeyHub op versie 49 of hoger draait en dat de leverancier op AWS staat. |
| Synchronisatie stopt na verloop van tijd | Het AWS access token is verlopen (geldig 1 jaar). Roteer het token in de IAM Identity Center console. |
- Topicus KeyHub-handleiding — hoofdstuk Koppelingen, paragraaf Koppelen met een SCIM-systeem.
- AWS — Provision users and groups using SCIM (overzicht en aandachtspunten): https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html
- AWS — Enable automatic provisioning (SCIM-endpoint en access token): https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-with-scim.html