Endbenutzer können SOSO SSO verwenden, um sich mit einem oder mehreren AWS-Konten zu authentifizieren und dank der Integration von OKTA in AWS Zugriff auf bestimmte Positionen zu erhalten. OKTA -Administratoren können Rollen von einem oder mehreren AWS in Okta herunterladen und sie den Benutzern zuweisen. Darüber hinaus können OKTA -Administratoren auch die Länge der authentifizierten Benutzersitzung mit Okta festlegen. AWS-Bildschirme mit einer Liste der AWS-Benutzerrollen werden den Endnutzern zur Verfügung gestellt. Sie können eine Anmelderolle auswählen, die übernehmen kann, die ihre Berechtigungen für die Länge dieser authentifizierten Sitzung festlegt.
Um OKTA ein einzelnes AWS -Konto hinzuzufügen, befolgen Sie die folgenden Anweisungen:
Konfigurieren von Okta als Identitätsanbieter:
Zunächst müssen Sie Okta als Identitätsanbieter konfigurieren und eine SAML -Verbindung herstellen. Melden Sie sich bei Ihrer AWS-Konsole an und wählen Sie die Option „Identität und Zugriffsverwaltung“ im Dropdown-Menü aus. Öffnen Sie in der Menüleiste "Identitätsanbieter" und erstellen Sie eine neue Instanz für Identitätsanbieter, indem Sie auf „Anbieter hinzufügen.”Ein neuer Bildschirm wird angezeigt, der als Konfigurationsanbieterbildschirm bezeichnet wird.
Hier wählen Sie "SAML" als "Anbietertyp", geben Sie "OKTA" als "Anbietername" ein und laden Sie das Metadata -Dokument mit der folgenden Zeile hoch:
Nachdem Sie den Identitätsanbieter konfiguriert haben, gehen Sie zur Liste der Identitätsanbieter und kopieren.
Hinzufügen von Identitätsanbietern als vertrauenswürdige Quelle:
Nach dem Konfigurieren von OKTA als Identitätsanbieter, den Okta abrufen und den Benutzern zuweisen kann, können Sie vorhandene IAM -Positionen erstellen oder aktualisieren. OKTA SSO kann Ihren Benutzern nur Rollen bieten, die für den Zugriff auf den zuvor installierten Okta SAML -Identitätsanbieter konfiguriert sind.
Um Zugriff auf bereits vorhandene Rollen im Konto zu erhalten. Bearbeiten Sie die „Vertrauensbeziehung“ für diese Rolle auf der Registerkarte Textbeziehung. Damit SSO in OKTA den zuvor konfigurierten SAML -Identitätsanbieter verwenden kann, müssen Sie die IAM -Vertrauensbeziehungsrichtlinie ändern. Wenn Ihre Richtlinie leer ist, schreiben Sie den folgenden Code und überschreiben Sie Mit dem Wert, den Sie beim Konfigurieren von OKTA kopiert haben:
Ansonsten bearbeiten Sie einfach das bereits geschriebene Dokument. Für den Fall, dass Sie Zugriff auf eine neue Rolle gewähren möchten, gehen Sie auf der Registerkarte "Rollen" eine Rolle. Verwenden Sie für die Art der vertrauenswürdigen Einheit SAML 2.0 Föderation. Fahren Sie mit der Erlaubnis fort, nachdem Sie den Namen IDP als SAML -Anbieter auswählen, i, i.e., Okta und Ermöglichung des Management- und programmatischen Steuerzugriffs. Wählen Sie die Richtlinie aus, die dieser neuen Rolle zugewiesen werden soll, und beenden Sie die Konfiguration.
Generieren des API -Zugriffsschlüssels für OKTA zum Herunterladen von Rollen:
Damit Okta automatisch eine Liste möglicher Rollen aus Ihrem Konto importieren kann, erstellen Sie einen AWS -Benutzer mit eindeutigen Berechtigungen. Dies macht es den Administratoren schnell und sicher, Benutzer und Gruppen an bestimmte AWS -Rollen zu delegieren. Wählen Sie dazu zuerst IAM aus der Konsole aus. Klicken Sie in dieser Liste auf Benutzer und fügen Sie den Benutzer aus diesem Panel hinzu.
Klicken Sie auf Berechtigungen, nachdem Sie den Benutzernamen hinzugefügt und den programmatischen Zugriff geben. Erstellen Sie Richtlinien nach der direkten Option „Richtlinien anhängen“ und klicken Sie auf „Richtlinie erstellen.Fügen Sie den unten angegebenen Code hinzu, und Ihr Richtliniendokument sieht folgendermaßen aus:
Weitere Informationen finden Sie in der AWS -Dokumentation, falls erforderlich. Geben Sie den bevorzugten Namen Ihrer Richtlinien ein. Gehen Sie zurück zu Ihrer Registerkarte "Benutzer hinzufügen" und fügen Sie die kürzlich erstellte Richtlinie hinzu. Suchen Sie nach der Richtlinie, die Sie gerade erstellt haben. Speichern Sie nun die angezeigten Schlüssel, ich.e., Zugriff auf Schlüssel -ID und Secret Access -Schlüssel zugreifen.
Konfigurieren der AWS -Account Federation:
Öffnen Sie nach Abschluss aller oben genannten Schritte die AWS -Kontoverbund -App und ändern Sie einige Standardeinstellungen in Okta. Bearbeiten Sie im Registerkarte "Anzeichen" Ihren Umgebungstyp. ACS -URL kann im ACS -URL -Bereich eingestellt werden. Im Allgemeinen ist der ACS -URL -Bereich optional; Sie müssen es nicht einfügen, wenn Ihr Umgebungstyp bereits angegeben ist. Geben Sie den Anbieter -ARN -Wert des Identitätsanbieters ein, den Sie beim Konfigurieren von OKTA erstellt haben, und geben Sie auch die Sitzungsdauer an. Führen Sie alle verfügbaren Rollen zusammen, die jedem zugeordnet sind, indem Sie auf die Option "All -Rollen" klicken.
Nachdem Sie all diese Änderungen gespeichert haben, wählen Sie bitte die nächste Registerkarte, ich.e., Bereitstellung der Registerkarte und bearbeiten der Spezifikationen. Die Integration der AWS -Account Federation App unterstützt keine Bereitstellung. Geben Sie den API -Zugriff auf OKTA zum Herunterladen der während der Benutzerzuordnung verwendeten AWS -Rollen, indem Sie die API -Integration aktivieren. Geben Sie die Schlüsselwerte ein, die Sie nach dem Generieren der Zugriffstasten in den jeweiligen Feldern gespeichert haben. Geben Sie IDs aller Ihrer verbundenen Konten an und überprüfen Sie die API -Anmeldeinformationen, indem Sie auf die Option Test API -Anmeldeinformationen klicken.
Erstellen Sie Benutzer und ändern Sie Kontoattribute, um alle Funktionen und Berechtigungen zu aktualisieren. Wählen Sie nun einen Testbenutzer aus dem Bildschirm "Zuordnen" aus, der die SAML -Verbindung testet. Wählen Sie alle Regeln, die Sie diesem Testbenutzer zuweisen möchten. Nach Abschluss des Zuordnungsprozesses zeigt das Dashboard von Test OKTA ein AWS -Symbol an. Klicken Sie auf diese Option, nachdem Sie sich beim Test -Benutzerkonto angemeldet haben. Sie werden einen Bildschirm aller Ihnen zugewiesenen Aufgaben sehen.
Abschluss:
Mit SAML können Benutzer eine Reihe von autorisierten Anmeldeinformationen verwenden und sich mit anderen SAML-fähigen Web-Apps und -Diensten ohne weitere Anmeldungen verbinden. AWS SSO macht es einfach, den Zugang zu verschiedenen AWS, Diensten und Anwendungen auf halber Strecke zu überwachen, und bietet den Kunden einzeln. AWS SSO arbeitet mit einem Identitätsanbieter der eigenen Wahl zusammen, ich.e., Okta oder Azure über SAML -Protokoll.