Phenquestions
Sluttbrukere kan bruke SAML SSO til å autentisere til en eller flere AWS-kontoer og få tilgang til bestemte posisjoner takket være Oktas integrasjon med AWS. Okta-administratorer kan laste ned roller til Okta fra en eller flere AWS og tildele dem til brukere. Videre kan Okta-administratorer også angi lengden på den autentiserte brukersesjonen ved hjelp av Okta. AWS-skjermer som inneholder en liste over AWS-brukerroller, blir gitt til sluttbrukerne. De kan velge en påloggingsrolle å anta, som vil bestemme deres tillatelser for lengden på den autentiserte økten.
For å legge til en enkelt AWS-konto i Okta, følg disse instruksjonene nedenfor:
Konfigurere Okta som identitetsleverandør:
Først og fremst må du konfigurere Okta som en identitetsleverandør og etablere en SAML-forbindelse. Logg deg på AWS-konsollen din og velg alternativet "Identitets- og tilgangsadministrasjon" fra rullegardinmenyen. Fra menylinjen, åpne “Identity Providers” og opprett en ny forekomst for identitetsleverandører ved å klikke på “Add Provider.”Det vises et nytt skjermbilde, kjent som skjermbildet Konfigurer leverandør.
Velg her “SAML” som “Leverandørtype”, skriv inn “Okta” som “Leverandørnavn”, og last opp metadatadokumentet som inneholder følgende linje:
Når du er ferdig med å konfigurere identitetsleverandøren, går du til listen over identitetsleverandører og kopierer "leverandør-ARN" -verdien for identitetsleverandøren du nettopp har utviklet.
Legge til identitetsleverandør som klarert kilde:
Etter å ha konfigurert Okta som identitetsleverandør som Okta kan hente og tildele til brukere, kan du bygge eller oppdatere eksisterende IAM-posisjoner. Okta SSO kan bare tilby brukerne roller som er konfigurert for å gi tilgang til den tidligere installerte Okta SAML Identity Provider.
For å gi tilgang til allerede tilstedeværende roller i kontoen, velg først rollen du vil at Okta SSO skal bruke fra “Roller” -alternativet fra menylinjen. Rediger "Tillitsforhold" for den rollen fra fanen tekstforhold. For å la SSO i Okta bruke SAML Identity Provider som du konfigurerte tidligere, må du endre policyen for IAM-tillitsforhold. Hvis policyen din er tom, skriver du følgende kode og overskriver
Ellers er det bare å redigere det allerede skrevne dokumentet. Hvis du vil gi tilgang til en ny rolle, går du til Opprett rolle fra Roller-fanen. Bruk SAML 2 for typen pålitelig enhet.0 føderasjon. Fortsett med tillatelse etter å ha valgt navnet på IDP som SAML-leverandør, i.e., Okta, og tillater ledelse og programmatisk tilgang. Velg policyen som skal tildeles den nye rollen, og fullfør konfigurasjonen.
Genererer API-tilgangsnøkkelen for Okta for nedlasting av roller:
For at Okta automatisk skal importere en liste over mulige roller fra kontoen din, må du opprette en AWS-bruker med unike tillatelser. Dette gjør det raskt og trygt for administratorene å delegere brukere og grupper til bestemte AWS-roller. For å gjøre dette, velg først IAM fra konsollen. I den listen klikker du på Brukere og Legg til bruker fra panelet.
Klikk på Tillatelser etter å ha lagt til brukernavn og gitt programmatisk tilgang. Opprett policy etter å ha valgt "Legg til policyer" direkte og klikk på "Opprett policy.”Legg til koden nedenfor, og policy-dokumentet ditt vil se slik ut:
For detaljer, se om nødvendig AWS-dokumentasjon. Skriv inn det foretrukne navnet på policyen din. Gå tilbake til fanen Legg til bruker, og legg til den nylig opprettede policyen. Søk etter og velg policyen du nettopp har opprettet. Lagre nå tastene som vises, i.e., Access Key Id og Secret Access Key.
Konfigurere AWS-kontoforbundet:
Når du har fullført alle trinnene ovenfor, åpner du AWS-kontoforbundet-appen og endrer noen standardinnstillinger i Okta. I kategorien Pålogg redigerer du miljøtypen. ACS URL kan angis i ACS URL-området. Generelt er ACS URL-området valgfritt; du trenger ikke å sette den inn hvis miljøtypen din allerede er spesifisert. Angi leverandørens ARN-verdi for identitetsleverandøren du har opprettet mens du konfigurerer Okta, og angi også øktvarigheten. Slå sammen alle tilgjengelige roller tildelt hvem som helst ved å klikke på alternativet Bli med i alle roller.
Når du har lagret alle disse endringene, velger du neste fane, i.e., Kategorien Provisioning og rediger spesifikasjonene. AWS Account Federation app-integrasjon støtter ikke klargjøring. Gi API-tilgang til Okta for nedlasting av listen over AWS-roller som brukes under brukeroppgaven ved å aktivere API-integrering. Angi nøkkelverdiene du har lagret etter å ha generert tilgangstastene i de respektive feltene. Oppgi ID-er for alle dine tilkoblede kontoer og bekreft API-legitimasjonen ved å klikke på alternativet Test API-legitimasjon.
Opprett brukere og endre kontoattributter for å oppdatere alle funksjoner og tillatelser. Velg nå en testbruker fra skjermbildet Tildel personer som vil teste SAML-tilkoblingen. Velg alle reglene du vil tilordne den testbrukeren fra SAML-brukerrollene som finnes i skjermbildet Brukertilordning. Etter å ha fullført oppgaveprosessen, viser Oktas dashbord et AWS-ikon. Klikk på det alternativet etter at du har logget på testbrukerkontoen. Du får se et skjermbilde med alle oppgavene som er tildelt deg.
Konklusjon:
SAML tillater brukere å bruke ett sett autorisasjoner og koble til andre SAML-aktiverte nettapper og -tjenester uten ytterligere pålogginger. AWS SSO gjør det enkelt å halvveis føre tilsyn med forent tilgang til forskjellige AWS-poster, tjenester og applikasjoner, og gir klienter enkel påloggingserfaring til alle tildelte poster, tjenester og applikasjoner fra ett sted. AWS SSO samarbeider med en identitetsleverandør etter eget valg, i.e., Okta eller Azure via SAML-protokoll.
