Jak skonfigurować SAML 2.0 dla federacji konta AWS
Użytkownicy końcowi mogą używać SAML SSO do uwierzytelnienia na jeden lub więcej kont AWS i uzyskać dostęp do określonych pozycji dzięki integracji Okta z AWS. Administratorzy OKTA mogą pobierać role do OKTA z jednego lub więcej AWS i alokować je użytkownikom. Ponadto administratorzy OKTA mogą również ustawić długość uwierzytelnionej sesji użytkownika za pomocą OKTA. Ekrany AWS zawierające listę ról użytkowników AWS są przekazywane użytkownikom końcowym. Mogą wybrać rolę logowania do założenia, co określi ich uprawnienia na długość tej uwierzytelnionej sesji.
Aby dodać jedno konto AWS do OKTA, postępuj zgodnie z instrukcjami podanymi poniżej:
Konfigurowanie OKTA jako dostawcy tożsamości:
Przede wszystkim musisz skonfigurować OKTA jako dostawca tożsamości i ustalić połączenie SAML. Zaloguj się do konsoli AWS i wybierz opcję „Zarządzanie tożsamością i dostępem” z menu rozwijanego. Z paska menu otwórz „dostawców tożsamości” i utwórz nową instancję dla dostawców tożsamości, klikając „Dodaj dostawcę.„Pojawi się nowy ekran, znany jako ekran Configure Provider.
Tutaj wybierz „SAML” jako „typ dostawcy”, wprowadź „Okta” jako „nazwę dostawcy” i prześlij dokument metadanych zawierający następujący wiersz:
Po zakończeniu konfiguracji dostawcy tożsamości przejdź do listy dostawców tożsamości i skopiuj wartość „dostawcy ARN” dla właśnie opracowanego dostawcy tożsamości.
Dodanie dostawcy tożsamości jako zaufanego źródła:
Po skonfigurowaniu OKTA jako dostawcy tożsamości, którego OKTA może pobierać i przydzielić użytkownikom, możesz budować lub aktualizować istniejące pozycje IAM. OKTA SSO może zaoferować tylko role użytkowników skonfigurowane tak, aby zapewnić dostęp do wcześniej zainstalowanego dostawcy tożsamości OKTA SAML.
Aby zapewnić dostęp do już obecnych ról na koncie, najpierw wybierz rolę, którą możesz użyć OKTA SSO z opcji „Role” z paska menu. Edytuj „związek zaufania” dla tej roli z zakładki relacji tekstowych. Aby umożliwić SSO w OKTA korzystać z dostawcy tożsamości SAML, którego wcześniej skonfigurowałeś, musisz zmienić politykę relacji IAM. Jeśli polityka jest pusta, napisz następujący kod i zastąpuj z wartością skopiowaną podczas konfigurowania OKTA:
W przeciwnym razie po prostu edytuj już napisany dokument. W przypadku, gdy chcesz zapewnić dostęp do nowej roli, przejdź do roli z zakładki Role. Dla rodzaju zaufanego bytu użyj SAML 2.0 Federacja. Przejdź do zgody po wybraniu nazwy IDP jako dostawcy SAML, i.mi., OKTA i umożliwianie zarządzania i programu kontroli programowej. Wybierz zasady, które mają zostać przypisane do tej nowej roli i zakończ konfigurację.
Generowanie klucza dostępu do API dla OKTA do pobierania ról:
Aby OKTA automatycznie zaimportować listę możliwych ról z konta, utwórz użytkownika AWS z unikalnymi uprawnieniami. To sprawia, że administratorom jest szybkie i bezpieczne delegowanie użytkowników i grup do poszczególnych ról AWS. Aby to zrobić, najpierw wybierz IAM z konsoli. Na tej liście kliknij użytkowników i dodaj użytkownika z tego panelu.
Kliknij uprawnienia po dodaniu nazwy użytkownika i podaniu programu programowego. Utwórz zasady po wybraniu opcji bezpośrednio „Załącz zasady” i kliknij „Utwórz zasady.„Dodaj kod podany poniżej, a dokument zasad będzie wyglądał tak:
Aby uzyskać szczegółowe informacje, w razie potrzeby można znaleźć w dokumentacji AWS. Wprowadź preferowaną nazwę swojej polityki. Wróć do zakładki Dodaj użytkownika i załącz do niej niedawno utworzone zasady. Wyszukaj i wybierz zasady, które właśnie utworzyłeś. Teraz zapisz wyświetlane klucze, ja.mi., Identyfikator klucza dostępu i tajny klucz dostępu.
Konfigurowanie Federacji Konta AWS:
Po wykonaniu wszystkich powyższych kroków otwórz aplikację Federacji Konta AWS i zmień niektóre ustawienia domyślne w Okta. Na karcie Edytuj typ środowiska. URL ACS można ustawić w obszarze URL ACS. Zasadniczo obszar URL ACS jest opcjonalny; Nie musisz go wstawić, jeśli typ środowiska jest już określony. Wprowadź wartość dostawcy ARN utworzonego dostawcy tożsamości podczas konfigurowania OKTA i określ czas trwania sesji. Scal wszystkie dostępne role przypisane każdemu, klikając opcję Włącz wszystkie role.
Po zapisaniu wszystkich tych zmian wybierz następną kartę, ja.mi., Zakładka Provisioning i edytuj jej specyfikacje. Integracja aplikacji Federacji AWS nie obsługuje udostępniania. Zapewnij dostęp API do OKTA do pobrania listy ról AWS używanych podczas przypisania użytkownika, włączając integrację API. Wprowadź wartości kluczy, które zapisałeś po wygenerowaniu kluczy dostępu w odpowiednich polach. Podaj identyfikatory wszystkich połączonych kont i sprawdź poświadczenia API, klikając opcję testu API.
Utwórz użytkowników i zmień atrybuty konta, aby zaktualizować wszystkie funkcje i uprawnienia. Teraz wybierz użytkownika testowego z ekranu przypisania osób, który przetestuje połączenie SAML. Wybierz wszystkie reguły, które chcesz przypisać do tego użytkownika testowego z ról użytkowników SAML znalezionych na ekranie przypisania użytkownika. Po zakończeniu procesu przypisania test pulpitowy OKTA wyświetla ikonę AWS. Kliknij tę opcję po zalogowaniu się na konto użytkownika testu. Zobaczysz ekran wszystkich zadań przydzielonych.
Wniosek:
SAML umożliwia użytkownikom korzystanie z jednego zestawu poświadczeń autoryzowanych i łączenia się z innymi aplikacjami i usługami internetowymi z obsługą SAML bez dalszych podpisów. AWS SSO ułatwia nadzorowanie w połowie nadzorowania federalnego dostępu do różnych rekordów, usług i aplikacji AWS oraz daje klientom pojedyncze zapisywanie się do wszystkich przypisanych rekordów, usług i aplikacji z jednego miejsca. AWS SSO współpracuje z dostawcą tożsamości własnego wyboru.mi., OKTA lub Azure za pośrednictwem protokołu SAML.