Phenquestions
Končni uporabniki lahko uporabljajo SAML SSO za avtentikacijo enega ali več računov AWS in dostop do določenih položajev zahvaljujoč Oktaovi integraciji z AWS. Skrbniki sistema Okta lahko prenesejo vloge v sistem Okta iz enega ali več sistemov AWS in jih dodelijo uporabnikom. Poleg tega lahko skrbniki Okta tudi določijo dolžino overjene uporabniške seje z uporabo Okta. Končni uporabniki so na voljo zasloni AWS, ki vsebujejo seznam uporabniških vlog AWS. Izberejo lahko vlogo za prijavo, ki bo prevzela vlogo, ki bo določila njihova dovoljenja za dolžino te overjene seje.
Če želite dodati en račun AWS v Okta, sledite spodnjim navodilom:
Konfiguriranje Okta kot ponudnika identitete:
Najprej morate Okta konfigurirati kot ponudnika identitete in vzpostaviti povezavo SAML. Prijavite se v konzolo AWS in v spustnem meniju izberite možnost »Identity and Access Management«. V menijski vrstici odprite »Ponudniki identitet« in ustvarite nov primerek za ponudnike identitet, tako da kliknete »Dodaj ponudnika.”Pojavi se nov zaslon, znan kot zaslon Konfiguriraj ponudnika.
Tu izberite »SAML« kot »vrsto ponudnika«, vnesite »Okta« kot »ime ponudnika« in naložite dokument z metapodatki, ki vsebuje naslednjo vrstico:
Ko končate s konfiguriranjem ponudnika identitete, pojdite na seznam ponudnikov identitete in kopirajte vrednost »Provider ARN« za ponudnika identitete, ki ste ga pravkar razvili.
Dodajanje ponudnika identitete kot zaupanja vrednega vira:
Po konfiguraciji Okte kot ponudnika identitete, ki jo lahko Okta pridobi in dodeli uporabnikom, lahko zgradite ali posodobite obstoječe položaje IAM. Okta SSO lahko vašim uporabnikom ponudi samo vloge, konfigurirane za odobritev dostopa do prej nameščenega ponudnika identitete Okta SAML.
Če želite omogočiti dostop do že obstoječih vlog v računu, najprej izberite vlogo, ki jo želite, da Okta SSO uporablja v možnosti »Vloge« v menijski vrstici. Na zavihku odnosov z besedilom uredite "Trust Relationship" za to vlogo. Če želite SSO v Okti omogočiti uporabo ponudnika identitete SAML, ki ste ga konfigurirali prej, morate spremeniti pravilnik o zaupanju IAM. Če je pravilnik prazen, napišite naslednjo kodo in jo prepišite
V nasprotnem primeru samo uredite že napisani dokument. Če želite omogočiti dostop do nove vloge, pojdite na Ustvari vlogo na zavihku Vloge. Za vrsto zaupanja vredne entitete uporabite SAML 2.0 zveza. Nadaljujte z dovoljenjem, potem ko izberete ime IDP kot ponudnika SAML, tj.e., Okta ter omogoča upravljanje in programski nadzor. Izberite pravilnik, ki bo dodeljen tej novi vlogi, in dokončajte konfiguracijo.
Ustvarjanje ključa za dostop API za Okta za prenos vlog:
Če bo Okta samodejno uvozila seznam možnih vlog iz vašega računa, ustvarite uporabnika AWS z edinstvenimi dovoljenji. S tem skrbniki hitro in varno prenesejo uporabnike in skupine na določene vloge AWS. Če želite to narediti, najprej v konzoli izberite IAM. Na tem seznamu kliknite Uporabniki in Dodaj uporabnika na tej plošči.
Po dodajanju uporabniškega imena in programskem dostopu kliknite Dovoljenja. Ustvari pravilnik, potem ko izbereš neposredno možnost »Priloži pravilnike« in klikni »Ustvari pravilnik.”Dodajte spodnjo kodo in vaš pravilnik bo videti tako:
Za podrobnosti glejte dokumentacijo AWS, če je potrebno. Vnesite želeno ime pravilnika. Vrnite se na zavihek Dodaj uporabnika in mu pripnite nedavno ustvarjeni pravilnik. Poiščite in izberite pravilnik, ki ste ga pravkar ustvarili. Zdaj shranite prikazane tipke, tj.e., Id ključa za dostop in tajni ključ za dostop.
Konfiguriranje federacije računa AWS:
Po dokončanju vseh zgornjih korakov odprite aplikacijo za združitev računa AWS in spremenite nekatere privzete nastavitve v Okta. Na zavihku Prijava se uredite v okolju. URL ACS lahko nastavite v območju URL-ja ACS. Na splošno je območje URL-ja ACS neobvezno; vam ga ni treba vstavljati, če je vrsta okolja že določena. Vnesite vrednost ARN ponudnika ponudnika identitete, ki ste ga ustvarili med konfiguriranjem Okta, in določite tudi trajanje seje. Združite vse razpoložljive vloge, dodeljene vsem, tako da kliknete možnost Pridruži se vsem vlogam.
Ko shranite vse te spremembe, izberite naslednji zavihek, tj.e., Zavihek za zagotavljanje in uredite njegove specifikacije. Integracija aplikacije AWS Account Federation ne podpira zagotavljanja. Omogočite dostop do API-ja Okta za prenos seznama vlog AWS, uporabljenih med dodelitvijo uporabnika, tako da omogočite integracijo API-ja. V ustrezna polja vnesite vrednosti ključev, ki ste jih shranili po ustvarjanju dostopnih ključev. Navedite ID-je vseh povezanih računov in preverite poverilnice API-ja, tako da kliknete možnost Preizkusi poverilnice API-ja.
Ustvarite uporabnike in spremenite atribute računa, da posodobite vse funkcije in dovoljenja. Zdaj na zaslonu Assign People izberite preizkusnega uporabnika, ki bo preizkusil povezavo SAML. Izberite vsa pravila, ki jih želite dodeliti temu preizkusnemu uporabniku, med vlogami SAML User, ki jih najdete na zaslonu za dodelitev uporabnika. Po končanem postopku dodelitve se na testni nadzorni plošči Okta prikaže ikona AWS. Po prijavi v testni uporabniški račun kliknite to možnost. Videli boste zaslon vseh nalog, ki so vam dodeljene.
Zaključek:
SAML uporabnikom omogoča uporabo enega dovoljenega nabora poverilnic in povezovanje z drugimi spletnimi aplikacijami in storitvami, ki podpirajo SAML, brez nadaljnje prijave. AWS SSO omogoča polovičen nadzor nad zveznim dostopom do različnih zapisov, storitev in aplikacij AWS ter strankam omogoča enotno prijavo na vse dodeljene zapise, storitve in aplikacije z enega mesta. AWS SSO sodeluje s ponudnikom identitete po lastni izbiri, tj.e., Okta ali Azure prek protokola SAML.
