Phenquestions
A végfelhasználók az SAML SSO használatával hitelesíthetik egy vagy több AWS-fiókot, és hozzáférhetnek bizonyos pozíciókhoz az Okta AWS-sel történő integrációjának köszönhetően. Az Okta rendszergazdái egy vagy több AWS-ből tölthetnek le szerepeket az Okta-ba, és kioszthatják azokat a felhasználók számára. Ezenkívül az Okta rendszergazdái az Okta segítségével beállíthatják a hitelesített felhasználói munkamenet hosszát is. Az AWS-képernyők az AWS felhasználói szerepkörök listáját tartalmazzák a végfelhasználók számára. Választhat egy bejelentkezési szerepet, amelyet felvesz, amely meghatározza az engedélyeket az adott hitelesített munkamenet hosszára.
Egyetlen AWS-fiók hozzáadásához az Oktához kövesse az alábbi utasításokat:
Az Okta beállítása identitásszolgáltatóként:
Először is be kell állítania az Okta-t identitásszolgáltatóként, és létre kell hoznia egy SAML-kapcsolatot. Jelentkezzen be AWS-konzoljára, és válassza a legördülő menü „Identitás és hozzáférés-kezelés” lehetőséget. A menüsoron nyissa meg az „Identity Providers” lehetőséget, és hozzon létre egy új példányt az identitásszolgáltatók számára a „Provider hozzáadása” gombra kattintva.”Megjelenik egy új képernyő, a Szolgáltató konfigurálása képernyő.
Itt válassza a „SAML” lehetőséget „Szolgáltató típusának”, írja be az „Okta” kifejezést a „Szolgáltató neve” névre, és töltse fel a következő sort tartalmazó metaadat-dokumentumot:
Miután befejezte az Identity Provider konfigurálását, lépjen az Identity Providers listára, és másolja az imént kifejlesztett Identity Provider „Provider ARN” értékét.
Azonosító-szolgáltató hozzáadása megbízható forrásként:
Miután konfigurálta az Okta-t azonosságszolgáltatóként, amelyet az Okta be tud szerezni és kiosztani a felhasználóknak, létrehozhatja vagy frissítheti a meglévő IAM-pozíciókat. Az Okta SSO csak olyan szerepeket kínálhat a felhasználóknak, amelyek konfigurálva vannak, hogy hozzáférést adjanak a korábban telepített Okta SAML Identity Providerhez.
A fiókban már meglévő szerepkörökhöz való hozzáférés megadásához először válassza ki azt a szerepet, amelyet az Okta SSO-nak használni szeretne a menüsáv „Szerepek” opciójából. Szerkessze az adott szerepkör „Megbízhatósági viszonyát” a szövegkapcsolat lapon. Ahhoz, hogy az okta SSO-ban használhassa a korábban konfigurált SAML Identity Provider szolgáltatást, módosítania kell az IAM megbízhatósági kapcsolati házirendjét. Ha a házirend üres, írja be a következő kódot, és írja felül
Ellenkező esetben csak szerkessze a már megírt dokumentumot. Abban az esetben, ha új szerepkörhöz szeretne hozzáférést adni, lépjen a Szerepek létrehozása elemre a Szerepek lapon. A megbízható entitás típusához használja a SAML 2-t.0 szövetség. Folytassa az engedélyt, miután kiválasztotta az IDP nevét SAML szolgáltatóként, azaz.e., Okta, és lehetővé teszi a felügyelet és az automatizált vezérlés hozzáférését. Válassza ki az új szerepkörhöz rendelendő házirendet, és fejezze be a konfigurációt.
Az API hozzáférési kulcsának létrehozása az Okta számára a szerepkörök letöltéséhez:
Ahhoz, hogy az Okta automatikusan importálja a lehetséges szerepkörök listáját a fiókjából, hozzon létre egy egyedi engedélyekkel rendelkező AWS-felhasználót. Ezáltal a rendszergazdák gyorsan és biztonságosan delegálhatják a felhasználókat és csoportokat az AWS-szerepkörökbe. Ehhez először válassza ki az IAM-ot a konzolról. Ebben a listában kattintson a Felhasználók és a Felhasználó hozzáadása elemre a panelen.
A felhasználónév hozzáadása és az automatizált hozzáférés megadása után kattintson az Engedélyek elemre. Létrehozhat házirendet, miután kiválasztotta a „Házirendek csatolása” lehetőséget, majd kattintson a „Házirend létrehozása” gombra.”Add hozzá az alább megadott kódot, és a házirenddokumentum a következőképpen fog kinézni:
Részletekért lásd az AWS dokumentációját, ha szükséges. Írja be a házirend előnyben részesített nevét. Térjen vissza a Felhasználó hozzáadása fülre, és csatolja hozzá a nemrégiben létrehozott házirendet. Keresse meg és válassza ki az imént létrehozott házirendet. Most mentse el a megjelenített kulcsokat, azaz.e., Hozzáférési kulcs azonosítója és titkos hozzáférési kulcs.
Az AWS-fiók összevonásának konfigurálása:
A fenti lépések végrehajtása után nyissa meg az AWS-fiók összevonási alkalmazást, és módosítson néhány alapértelmezett beállítást az Okta alkalmazásban. A Bejelentkezés lapon módosítsa a környezettípust. Az ACS URL az ACS URL területen állítható be. Általában az ACS URL-terület választható; akkor nem kell behelyeznie, ha már meg van adva a környezettípusa. Írja be annak az identitásszolgáltatónak a Provider ARN értékét, amelyet az Okta konfigurálása közben hozott létre, és adja meg a munkamenet időtartamát is. A Csatlakozás az összes szerephez lehetőségre kattintva egyesítse az összes elérhető szerepkört.
Miután elmentette ezeket a módosításokat, kérjük, válassza a következő lapot, azaz.e., Kiépítés lap, és szerkesztheti annak specifikációit. Az AWS Account Federation alkalmazásintegráció nem támogatja a kiépítést. Az API integrációjának engedélyezésével biztosítson API-hozzáférést az Okta számára a felhasználói hozzárendelés során használt AWS-szerepkörök listájának letöltéséhez. Írja be azokat a kulcsértékeket, amelyeket a megfelelő mezőkben a hozzáférési kulcsok létrehozása után mentett el. Adja meg az összes csatlakoztatott fiók azonosítóját, és ellenőrizze az API hitelesítő adatait az API hitelesítő adatok tesztelése lehetőségre kattintva.
Hozzon létre felhasználókat és módosítsa a fiókattribútumokat az összes funkció és engedély frissítéséhez. Most válasszon ki egy tesztfelhasználót az Emberek hozzárendelése képernyőről, aki tesztelni fogja a SAML kapcsolatot. Válassza ki az összes olyan szabályt, amelyet hozzá kíván rendelni az adott tesztfelhasználóhoz a SAML felhasználói szerepek közül a Felhasználó hozzárendelés képernyőn. A hozzárendelési folyamat befejezése után a teszt Okta irányítópultján megjelenik egy AWS ikon. Kattintson a lehetőségre, miután bejelentkezett a teszt felhasználói fiókba. Ekkor megjelenik az összes kiosztott feladat képernyője.
Következtetés:
A SAML lehetővé teszi a felhasználók számára, hogy egyetlen bejelentkezési adatsort használhassanak, és további bejelentkezés nélkül csatlakozzanak más SAML-kompatibilis webalkalmazásokhoz és -szolgáltatásokhoz. Az AWS SSO megkönnyíti a különböző AWS-rekordok, -szolgáltatások és -alkalmazások egyesített hozzáférésének félúton történő felügyeletét, és egyszeri bejelentkezési élményt nyújt az ügyfeleknek az összes hozzárendelt iratukhoz, szolgáltatásukhoz és alkalmazásukhoz egy helyszínről. Az AWS SSO a saját maga által választott identitásszolgáltatóval működik együtt, azaz.e., Okta vagy Azure SAML protokollon keresztül.
