Phenquestions
Koncoví uživatelé mohou pomocí SAML SSO ověřit jeden nebo více účtů AWS a získat přístup k určitým pozicím díky integraci Okty s AWS. Správci systému Okta si mohou stáhnout role do systému Okta z jednoho nebo více AWS a přidělit je uživatelům. Kromě toho mohou správci Okta také nastavit délku relace ověřeného uživatele pomocí Okta. Koncovým uživatelům jsou poskytovány obrazovky AWS obsahující seznam rolí uživatelů AWS. Mohou si vybrat roli přihlášení, kterou převezmou, a která určí jejich oprávnění pro délku této ověřené relace.
Chcete-li do Okty přidat jeden účet AWS, postupujte podle následujících pokynů:
Konfigurace Okta jako poskytovatele identity:
Nejprve musíte nakonfigurovat Okta jako poskytovatele identity a navázat připojení SAML. Přihlaste se do konzoly AWS a v rozevírací nabídce vyberte možnost „Správa identit a přístupu“. Na řádku nabídek otevřete „Poskytovatelé identity“ a kliknutím na „Přidat poskytovatele“ vytvořte novou instanci pro poskytovatele identity.„Objeví se nová obrazovka, známá jako obrazovka Konfigurovat poskytovatele.
Zde vyberte „Typ SAML“ jako „Typ poskytovatele“, zadejte „Okta“ jako „Název poskytovatele“ a nahrajte dokument metadat obsahující následující řádek:
Po dokončení konfigurace poskytovatele identity přejděte do seznamu poskytovatelů identity a zkopírujte hodnotu „Provider ARN“ pro poskytovatele identity, který jste právě vyvinuli.
Přidání poskytovatele identity jako důvěryhodného zdroje:
Po nakonfigurování Okta jako poskytovatele identity, kterého může Okta načíst a přidělit uživatelům, můžete vytvořit nebo aktualizovat stávající pozice IAM. Okta SSO může nabídnout vašim uživatelům pouze role nakonfigurované tak, aby poskytovaly přístup k dříve nainstalovanému poskytovateli identity Okta SAML.
Chcete-li udělit přístup k již přítomným rolím v účtu, nejprve vyberte roli, kterou má Okta SSO používat, z možnosti „Role“ v řádku nabídek. Upravte „Vztah důvěryhodnosti“ pro tuto roli na kartě textový vztah. Chcete-li povolit jednotnému přihlašování v Okta používat poskytovatele identity SAML, kterého jste nakonfigurovali dříve, musíte změnit zásady vztahu důvěryhodnosti IAM. Pokud jsou vaše zásady prázdné, napište následující kód a přepište
Jinak stačí upravit již napsaný dokument. V případě, že chcete udělit přístup nové roli, přejděte na Vytvořit roli na kartě Role. Pro typ důvěryhodné entity použijte SAML 2.0 federace. Pokračujte k povolení po výběru názvu IDP jako poskytovatele SAML, tj.E., Okta a umožnění přístupu pro správu a programové řízení. Vyberte zásadu, která má být přiřazena této nové roli, a dokončete konfiguraci.
Generování přístupového klíče API pro Okta pro stahování rolí:
Aby společnost Okta automaticky importovala seznam možných rolí z vašeho účtu, vytvořte uživatele AWS s jedinečnými oprávněními. Díky tomu mohou správci rychle a bezpečně delegovat uživatele a skupiny na konkrétní role AWS. Nejprve vyberte z konzoly IAM. V tomto seznamu klikněte na Uživatelé a Přidat uživatele z tohoto panelu.
Po přidání uživatelského jména a poskytnutí programatického přístupu klikněte na Oprávnění. Vytvořte zásady po přímém výběru možnosti „Připojit zásady“ a klikněte na „Vytvořit zásady.„Přidejte níže uvedený kód a váš dokument se zásadami bude vypadat takto:
Podrobnosti najdete v dokumentaci AWS, je-li to nutné. Zadejte preferovaný název své zásady. Vraťte se na kartu Přidat uživatele a připojte k ní nedávno vytvořenou zásadu. Vyhledejte a vyberte zásady, které jste právě vytvořili. Nyní uložte zobrazené klíče, tj.E., ID přístupového klíče a tajný přístupový klíč.
Konfigurace federace účtu AWS:
Po dokončení všech výše uvedených kroků otevřete aplikaci federace účtů AWS a změňte některá výchozí nastavení v Okta. Na kartě Přihlášení upravte typ prostředí. ACS URL lze nastavit v oblasti ACS URL. Obecně je oblast ACS URL volitelná; pokud je váš typ prostředí již zadán, nemusíte jej vkládat. Zadejte hodnotu ARN poskytovatele poskytovatele identity, kterého jste vytvořili při konfiguraci Okta, a zadejte také trvání relace. Sloučit všechny dostupné role přiřazené komukoli kliknutím na možnost Připojit se ke všem rolím.
Po uložení všech těchto změn vyberte další kartu, tj.E., Kartu Správa účtů a upravte její specifikace. Integrace aplikace AWS Account Federation nepodporuje zajišťování. Povolte integraci rozhraní API a poskytněte přístup API společnosti Okta ke stažení seznamu rolí AWS použitých během přiřazování uživatelů. Zadejte hodnoty klíčů, které jste uložili po vygenerování přístupových klíčů do příslušných polí. Zadejte ID všech svých připojených účtů a ověřte přihlašovací údaje API kliknutím na možnost Testovat přihlašovací údaje API.
Vytvořit uživatele a změnit atributy účtu aktualizovat všechny funkce a oprávnění. Nyní na obrazovce Assign People vyberte testovacího uživatele, který bude testovat připojení SAML. Vyberte všechna pravidla, která chcete přiřadit tomuto testovanému uživateli, z rolí SAML uživatele, které se nacházejí na obrazovce Přiřazení uživatele. Po dokončení procesu přiřazení se na testovacím panelu Okta zobrazí ikona AWS. Po přihlášení k účtu testovacího uživatele klikněte na tuto možnost. Zobrazí se obrazovka se všemi úkoly, které vám byly přiděleny.
Závěr:
SAML umožňuje uživatelům používat jednu sadu pověření autorizovaných a připojit se k dalším webovým aplikacím a službám podporujícím SAML bez dalších přihlášení. AWS SSO usnadňuje do poloviny dohledu nad federovaným přístupem k různým záznamům, službám a aplikacím AWS a poskytuje klientům jednotné přihlašování ke všem přiřazeným záznamům, službám a aplikacím z jednoho místa. AWS SSO pracuje s poskytovatelem identity podle vlastního výběru, tj.E., Okta nebo Azure prostřednictvím protokolu SAML.
