Gli utenti finali possono utilizzare SAML SSO per autenticarsi su uno o più account AWS e ottenere l'accesso a posizioni particolari grazie all'integrazione di Okta con AWS. Gli amministratori di Okta possono scaricare ruoli in Okta da uno o più AWS e allocarli agli utenti. Inoltre, gli amministratori di Okta possono anche impostare la lunghezza della sessione utente autenticata utilizzando OKTA. Gli schermi AWS contenenti un elenco di ruoli utente AWS sono forniti agli utenti finali. Possono scegliere un ruolo di accesso da assumere, che determinerà le loro autorizzazioni per la lunghezza di quella sessione autenticata.
Per aggiungere un singolo account AWS a Okta, segui queste istruzioni riportate di seguito:
Configurazione di Okta come fornitore di identità:
Prima di tutto, devi configurare Okta come fornitore di identità e stabilire una connessione SAML. Accedi alla console AWS e seleziona l'opzione "Identity and Access Management" dal menu a discesa. Dalla barra dei menu, apri "Provider di identità" e crea una nuova istanza per i fornitori di identità facendo clic su "Aggiungi provider."Verrà visualizzata una nuova schermata, nota come schermata del provider di configurazione.
Qui selezionare "SAML" come "Tipo di provider", immettere "Okta" come "nome del provider" e caricare il documento metadati contenente la seguente riga:
Dopo aver finito di configurare il provider di identità, vai all'elenco dei provider di identità e copia il valore "provider arn" per il provider di identità appena sviluppato.
Aggiunta di un fornitore di identità come fonte di fiducia:
Dopo aver configurato Okta come fornitore di identità che Okta può recuperare e allocare agli utenti, è possibile creare o aggiornare le posizioni IAM esistenti. OKTA SSO può offrire solo ruoli per gli utenti configurati per concedere l'accesso al provider di identità SAML precedentemente installato.
Per dare accesso a ruoli già presenti nell'account, prima scegli il ruolo che desideri utilizzare Okta SSO dall'opzione "Ruoli" dalla barra dei menu. Modifica la "relazione fiducia" per quel ruolo dalla scheda Relazione di testo. Per consentire a SSO in Okta di utilizzare il provider di identità SAML configurata in precedenza, è necessario modificare la politica di relazione Trust IAM. Se la tua politica è vuota, scrivi il seguente codice e sovrascrivi Con il valore che hai copiato durante la configurazione di Okta:
Altrimenti, basta modificare il documento già scritto. Nel caso in cui desideri dare accesso a un nuovo ruolo, vai a creare un ruolo dalla scheda Ruoli. Per il tipo di entità affidabile, utilizzare SAML 2.0 Federazione. Procedere all'autorizzazione dopo aver selezionato il nome di IDP come provider SAML, i.e., Okta e consentire l'accesso alla gestione e al controllo programmatico. Seleziona il criterio da assegnare a quel nuovo ruolo e completare la configurazione.
Generare la chiave di accesso API per Okta per il download di ruoli:
Per Okta importare automaticamente un elenco di possibili ruoli dal tuo account, crea un utente AWS con autorizzazioni uniche. Ciò rende rapido e sicuro per gli amministratori delegare utenti e gruppi a particolari ruoli AWS. Per fare questo, prima seleziona IAM dalla console. In quell'elenco, fai clic su utenti e aggiungi l'utente da quel pannello.
Fare clic sulle autorizzazioni dopo l'aggiunta del nome utente e l'accesso programmatico. Creare la politica dopo aver selezionato l'opzione "Allega politiche" direttamente e fare clic su "Crea la politica."Aggiungi il codice indicato di seguito e il tuo documento politico sarà simile a questo:
Per i dettagli, consultare la documentazione AWS se necessario. Inserisci il nome preferito della tua politica. Torna alla scheda Aggiungi utente e allega la politica creata di recente. Cerca e scegli la politica che hai appena creato. Ora salva i tasti visualizzati, io.e., ID chiave di accesso e chiave di accesso segreto.
Configurazione della Federazione AWS Account:
Dopo aver completato tutti i passaggi di cui sopra, aprire l'app AWS Account Federation e modificare alcune impostazioni predefinite in Okta. Nella scheda Sign On, modifica il tipo di ambiente. L'URL ACS può essere impostato nell'area URL ACS. Generalmente, l'area URL ACS è facoltativa; Non è necessario inserirlo se il tipo di ambiente è già specificato. Immettere il valore ARN del provider del provider di identità creato durante la configurazione di Okta e specificare anche la durata della sessione. Unisci tutti i ruoli disponibili assegnati a chiunque facendo clic sull'opzione di join a tutti i ruoli.
Dopo aver salvato tutte queste modifiche, scegli la scheda successiva, io.e., Scheda di provisioning e modifica le sue specifiche. L'integrazione dell'app AWS Account Federation non supporta il provisioning. Fornire l'accesso API a OKTA per il download dell'elenco dei ruoli AWS utilizzati durante l'assegnazione dell'utente consentendo l'integrazione API. Immettere i valori delle chiavi che hai salvato dopo aver generato le chiavi di accesso nei rispettivi campi. Fornisci ID di tutti i tuoi account connessi e verifica le credenziali API facendo clic sull'opzione Credenziali API Test.
Crea utenti e modifica gli attributi account per aggiornare tutte le funzioni e le autorizzazioni. Ora, seleziona un utente di prova dalla schermata Assegna People che testerà la connessione SAML. Seleziona tutte le regole che si desidera assegnare a quell'utente di prova dai ruoli utente SAML trovati nella schermata Assegnazione dell'utente. Dopo aver completato il processo di assegnazione, la dashboard di Test Okta visualizza un'icona AWS. Fare clic su quell'opzione dopo l'accesso all'account utente di prova. Vedrai uno schermo di tutte le attività assegnate a te.
Conclusione:
SAML consente agli utenti di utilizzare un set di credenziali autorizzate e connettersi con altre app e servizi Web abilitati SAML senza ulteriori insegne. AWS SSO rende semplice a metà strada supervisionare l'accesso federato a vari record, servizi e applicazioni AWS e offre ai clienti un'esperienza di accesso singolo a tutti i loro record, servizi e applicazioni assegnati da un punto. AWS SSO lavora con un fornitore di identità della propria scelta, io.e., Okta o Azure tramite protocollo SAML.