Phenquestions
Galutiniai vartotojai gali naudoti SAML SSO tapatybei patvirtinti vienoje ar daugiau AWS paskyrų ir gauti prieigą prie tam tikrų pozicijų dėka „Okta“ integracijos su AWS. „Okta“ administratoriai gali atsisiųsti vaidmenis į „Okta“ iš vienos ar daugiau AWS ir paskirstyti juos vartotojams. Be to, „Okta“ administratoriai taip pat gali nustatyti patvirtinto vartotojo seanso trukmę naudodami „Okta“. Galutiniams vartotojams pateikiami AWS ekranai, kuriuose yra AWS vartotojo vaidmenų sąrašas. Jie gali pasirinkti prisiimti prisijungimo vaidmenį, kuris nustatys jų leidimus tos patvirtintos sesijos trukmei.
Norėdami pridėti vieną AWS paskyrą prie „Okta“, vykdykite šias instrukcijas:
„Okta“ konfigūravimas kaip tapatybės teikėjas:
Visų pirma, jūs turite sukonfigūruoti „Okta“ kaip tapatybės teikėją ir užmegzti SAML ryšį. Prisijunkite prie savo AWS konsolės ir išskleidžiamajame meniu pasirinkite parinktį „Identity and Access Management“. Meniu juostoje atidarykite „Identity Providers“ ir sukurkite naują egzempliorių tapatybės teikėjams spustelėdami „Add Provider.“Atsiras naujas ekranas, žinomas kaip„ Configure Provider “ekranas.
Čia pasirinkite „SAML“ kaip „Provider Type“, įveskite „Okta“ kaip „Provider name“ ir įkelkite metaduomenų dokumentą, kuriame yra ši eilutė:
Baigę konfigūruoti tapatybės teikėją, eikite į tapatybės teikėjų sąrašą ir nukopijuokite ką tik sukurtą tapatybės teikėjo reikšmę „Teikėjo ARN“.
Tapatybės teikėjo pridėjimas kaip patikimo šaltinio:
Sukonfigūravę „Okta“ kaip tapatybės teikėją, kurį „Okta“ gali nuskaityti ir paskirstyti vartotojams, galite sukurti arba atnaujinti esamas IAM pozicijas. „Okta“ SSO vartotojams gali pasiūlyti tik vaidmenis, sukonfigūruotus suteikti prieigą prie anksčiau įdiegto „Okta SAML Identity Provider“.
Norėdami suteikti prieigą prie jau esamų paskyros vaidmenų, pirmiausia meniu juostos parinktyje „Vaidmenys“ pasirinkite vaidmenį, kurį norite naudoti „Okta SSO“. Redaguokite to vaidmens „Pasitikėjimo ryšį“ iš teksto santykių skirtuko. Norėdami leisti SSTA Oktoje naudoti anksčiau sukonfigūruotą SAML tapatybės teikėją, turite pakeisti IAM pasitikėjimo santykių politiką. Jei jūsų politika tuščia, parašykite šį kodą ir perrašykite
Priešingu atveju tiesiog redaguokite jau parašytą dokumentą. Jei norite suteikti prieigą prie naujo vaidmens, skirtuke Vaidmenys eikite į Sukurti vaidmenį. Patikimo subjekto tipui naudokite SAML 2.0 federacijos. Pasirinkę IDP pavadinimą kaip SAML teikėją, tęskite leidimą, t.e., „Okta“ ir leidimas naudotis valdymo ir programinio valdymo galimybėmis. Pasirinkite strategiją, kurią norite priskirti naujam vaidmeniui, ir baigkite konfigūraciją.
„Okta“ API prieigos rakto generavimas, kad būtų galima atsisiųsti vaidmenis:
Kad „Okta“ automatiškai importuotų galimų vaidmenų sąrašą iš jūsų paskyros, sukurkite AWS vartotoją su unikaliais leidimais. Tai leidžia administratoriams greitai ir saugiai deleguoti vartotojus ir grupes į tam tikrus AWS vaidmenis. Norėdami tai padaryti, pirmiausia iš konsolės pasirinkite IAM. Tame sąraše tame skydelyje spustelėkite Vartotojai ir Pridėti vartotoją.
Pridėję vartotojo vardą ir suteikę programinę prieigą spustelėkite Leidimai. Sukurti politiką pasirinkę parinktį „Pridėti politiką“ tiesiogiai ir spustelėkite „Kurti politiką.“Pridėkite toliau pateiktą kodą, ir jūsų politikos dokumentas atrodys taip:
Jei reikia daugiau informacijos, žr. AWS dokumentaciją. Įveskite pageidaujamą savo politikos pavadinimą. Grįžkite į skirtuką Pridėti vartotoją ir prie jo pridėkite neseniai sukurtą politiką. Ieškokite ir pasirinkite ką tik sukurtą politiką. Dabar išsaugokite rodomus klavišus, t.e., Prieigos rakto ID ir slapto prieigos rakto.
AWS paskyros sujungimo konfigūravimas:
Atlikę visus anksčiau nurodytus veiksmus, atidarykite „AWS“ paskyros federacijos programą ir pakeiskite kai kuriuos numatytuosius „Okta“ nustatymus. Skirtuke Prisijungti redaguokite aplinkos tipą. ACS URL galima nustatyti ACS URL srityje. Paprastai ACS URL sritis yra neprivaloma; jums nereikia jo įterpti, jei jūsų aplinkos tipas jau nurodytas. Įveskite tapatybės teikėjo, kurį sukūrėte sukonfigūruodami „Okta“, teikėjo ARN vertę, taip pat nurodykite sesijos trukmę. Sujunkite visus galimus vaidmenis, priskirtus visiems, spustelėdami parinktį Prisijungti prie visų vaidmenų.
Išsaugoję visus šiuos pakeitimus, pasirinkite kitą skirtuką, t.e., „Provisioning“ skirtukas ir redaguokite jo specifikacijas. Programos „AWS Account Federation“ integravimas nepalaiko teikimo. Suteikite API prieigą prie „Okta“, kad atsisiųstumėte AWS vaidmenų, naudojamų atliekant vartotojo priskyrimą, sąrašą įgalinant API integravimą. Įveskite raktų reikšmes, kurias išsaugojote sugeneravę prieigos raktus atitinkamuose laukuose. Pateikite visų savo susietų paskyrų ID ir patikrinkite API kredencialus spustelėdami parinktį Tikrinti API kredencialus.
Kurkite vartotojus ir keiskite paskyros atributus, kad atnaujintumėte visas funkcijas ir leidimus. Dabar priskirkite žmones ekrane pasirinkite bandomąjį vartotoją, kuris išbandys SAML ryšį. Pasirinkite visas taisykles, kurias norite priskirti tam bandomam vartotojui, iš SAML vartotojo vaidmenų, rastų Vartotojo priskyrimo ekrane. Atlikus priskyrimo procesą, bandomojoje „Okta“ informacijos suvestinėje rodoma AWS piktograma. Spustelėkite šią parinktį, prisijungę prie bandomosios vartotojo paskyros. Pamatysite visų jums skirtų užduočių ekraną.
Išvada:
SAML leidžia vartotojams naudoti vieną autorizuotų prisijungimų rinkinį ir prisijungti prie kitų SAML palaikančių žiniatinklio programų ir paslaugų be papildomų prisijungimų. „AWS SSO“ leidžia pusiaukelėje stebėti federalinę prieigą prie įvairių AWS įrašų, paslaugų ir programų ir suteikia klientams galimybę prisijungti prie visų jiems priskirtų įrašų, paslaugų ir programų iš vienos vietos. AWS SSO dirba su savo pasirinktu asmens tapatybės teikėju, t.e., „Okta“ arba „Azure“ per SAML protokolą.
