Hvordan konfigurere Saml 2.0 for AWS Account Federation
Sluttbrukere kan bruke SAML SSO til å autentisere til en eller flere AWS-kontoer og få tilgang til bestemte stillinger takket være Oktas integrasjon med AWS. Okta -administratorer kan laste ned roller til Okta fra en eller flere AWS og tildele dem til brukere. Dessuten kan Okta -administratorer også angi lengden på den autentiserte brukerøkten ved hjelp av Okta. AWS-skjermer som inneholder en liste over AWS-brukerroller er gitt til sluttbrukerne. De kan velge en påloggingsrolle å påta seg, noe som vil avgjøre deres tillatelser for lengden på den autentiserte økten.
Følg disse instruksjonene gitt nedenfor for å legge til en enkelt AWS -konto til Okta:
Konfigurere Okta som identitetsleverandør:
Først av alt, må du konfigurere Okta som identitetsleverandør og etablere en SAML -tilkobling. Logg inn på AWS-konsollen din og velg alternativet "Identity and Access Management" fra rullegardinmenyen. Fra menylinjen, åpne “Identity Providers” og lag en ny forekomst for identitetsleverandører ved å klikke på “Legg til leverandør.”En ny skjerm vises, kjent som konfigurasjonsskjermbilde.
Her velger du "SAML" som "leverandørtype", skriv "Okta" som "leverandørnavn", og last opp metadatamokumentet som inneholder følgende linje:
Etter at du er ferdig med å konfigurere identitetsleverandøren, kan du gå til identitetsleverandørlisten og kopiere "leverandøren ARN" -verdien for identitetsleverandøren du nettopp utviklet.
Legge til identitetsleverandør som pålitelig kilde:
Etter å ha konfigurert Okta som identitetsleverandør som Okta kan hente og tildele til brukere, kan du bygge eller oppdatere eksisterende IAM -stillinger. Okta SSO kan bare tilby brukere roller konfigurert for å gi tilgang til den tidligere installerte Okta SAML -identitetsleverandøren.
For å gi tilgang til allerede presentere roller i kontoen, velg først den rollen du vil at Okta SSO skal bruke fra alternativet "roller" fra menylinjen. Rediger "tillitsforholdet" for den rollen fra kategorien tekstforhold. For å la SSO i Okta bruke SAML -identitetsleverandøren som du konfigurerte tidligere, må du endre IAM Trust Relationship Policy. Hvis policyen din er tom, skriver du følgende kode og overskriver med verdien du kopierte mens du konfigurerer Okta:
Ellers er det bare å redigere det allerede skrevne dokumentet. I tilfelle du vil gi tilgang til en ny rolle, kan du gå for å skape rolle fra fanen Roller. For den type pålitelige enhet, bruk Saml 2.0 Forbund. Fortsett med tillatelse etter å ha valgt navnet på IDP som SAML -leverandør, jeg.e., Okta, og tillater ledelse og programmatisk kontrolltilgang. Velg policyen som skal tildeles den nye rollen og fullfør konfigurasjonen.
Generering av API -tilgangsnøkkelen for Okta for nedlasting av roller:
For at Okta automatisk skal importere en liste over mulige roller fra kontoen din, oppretter du en AWS -bruker med unike tillatelser. Dette gjør det raskt og trygt for administratorene å delegere brukere og grupper til bestemte AWS -roller. For å gjøre dette, velg først IAM fra konsollen. I den listen klikker du på brukere og legger til bruker fra det panelet.
Klikk på tillatelser etter å ha lagt til brukernavn og gitt den programmatiske tilgangen. Opprett policy etter valg av alternativet "vedlegg policyer" direkte og klikk på "Opprett policy.”Legg til koden gitt nedenfor, og policy -dokumentet ditt vil se slik ut:
For detaljer, se AWS -dokumentasjon om nødvendig. Skriv inn det foretrukne navnet på policyen din. Gå tilbake til din Legg til brukerfanen og legg ved den nylig opprettede policyen til den. Søk etter og velg policyen du nettopp har opprettet. Lagre nå nøklene som vises, jeg.e., Få tilgang til nøkkel -ID og hemmelig tilgangsnøkkel.
Konfigurere AWS Account Federation:
Etter å ha fullført alle trinnene ovenfor, åpner du AWS Account Federation -appen og endrer noen standardinnstillinger i Okta. I tegnet på fanen, rediger du miljøtypen din. ACS URL kan settes i ACS URL -området. Generelt er ACS -URL -området valgfritt; Du trenger ikke å sette den inn hvis miljøtypen din allerede er spesifisert. Skriv inn leverandøren ARN -verdien til identitetsleverandøren du har opprettet mens du konfigurerer Okta og spesifiser også øktvarigheten. Slå sammen alle tilgjengelige roller som er tildelt alle ved å klikke på alternativet Join All Roles.
Etter å ha lagret alle disse endringene, velg neste faner, i.e., Levering av fanen, og redigere spesifikasjonene. AWS Account Federation App Integration støtter ikke bestemmelse. Gi API -tilgang til OKTA for nedlasting av listen over AWS -roller som ble brukt under brukeroppgaven ved å aktivere API -integrasjonen. Skriv inn nøklerverdiene du har lagret etter å ha generert tilgangsnøklene i de respektive feltene. Gi ID -er for alle dine tilkoblede kontoer og verifiser API -legitimasjonen ved å klikke på alternativet Test API -legitimasjon.
Opprett brukere og endre kontoattributter for å oppdatere alle funksjoner og tillatelser. Velg nå en testbruker fra skjermbildet Assord People som vil teste SAML -tilkoblingen. Velg alle reglene du vil tilordne den testbrukeren fra SAML -brukerrollene som finnes på skjermbildet Brukeroppgave. Etter å ha fullført tildelingsprosessen, viser Test Oktas dashbord et AWS -ikon. Klikk på det alternativet etter at du har logget deg på Test -brukerkontoen. Du vil se en skjerm med alle oppgavene som er tildelt deg.
Konklusjon:
SAML lar brukere bruke ett sett med legitimasjon autorisert og koble til andre SAML-aktiverte nettapper og tjenester uten ytterligere pålogginger. AWS SSO gjør det enkelt å føre tilsyn med Federated tilgang til forskjellige AWS-poster, tjenester og applikasjoner halvveis og gir klienter enkeltopplevelse på alle deres tildelte poster, tjenester og applikasjoner fra ett sted. AWS SSO jobber med en identitetsleverandør av eget valg, jeg.e., Okta eller Azure via Saml Protocol.