Phenquestions
Крайните потребители могат да използват SAML SSO за удостоверяване на един или повече AWS акаунти и да получат достъп до определени позиции благодарение на интеграцията на Okta с AWS. Администраторите на Okta могат да изтеглят роли в Okta от един или повече AWS и да ги разпределят между потребителите. Освен това администраторите на Okta могат също да зададат продължителността на удостоверената потребителска сесия, използвайки Okta. Екраните на AWS, съдържащи списък с потребителски роли на AWS, се предоставят на крайните потребители. Те могат да изберат роля за вход, която да поемат, която ще определи техните разрешения за продължителността на тази удостоверена сесия.
За да добавите един акаунт в AWS към Okta, следвайте тези инструкции, дадени по-долу:
Конфигуриране на Okta като доставчик на самоличност:
На първо място, трябва да конфигурирате Okta като доставчик на самоличност и да установите SAML връзка. Влезте в конзолата си на AWS и изберете опцията „Управление на самоличността и достъпа“ от падащото меню. От лентата с менюта отворете „Доставчици на идентичност“ и създайте нов екземпляр за доставчици на идентичност, като щракнете върху „Добавяне на доставчик.”Ще се появи нов екран, известен като екран за конфигуриране на доставчика.
Тук изберете „SAML“ като „Тип доставчик“, въведете „Okta“ като „Име на доставчик“ и качете документа с метаданни, съдържащ следния ред:
След като приключите с конфигурирането на доставчика на самоличност, отидете в списъка на доставчиците на идентичност и копирайте стойността „Доставчик ARN“ за доставчика на самоличност, който току-що сте разработили.
Добавяне на доставчик на самоличност като доверен източник:
След конфигуриране на Okta като доставчик на самоличност, който Okta може да извлече и разпредели на потребителите, можете да изградите или актуализирате съществуващи IAM позиции. Okta SSO може да предложи на вашите потребителски роли, конфигурирани да предоставят достъп до предварително инсталирания доставчик на самоличност на Okta SAML.
За да дадете достъп до вече присъстващи роли в акаунта, първо изберете ролята, която искате Okta SSO да използва от опцията „Роли“ от лентата с менюта. Редактирайте “Trust Relationship” за тази роля от раздела за текстови отношения. За да позволите на SSO в Okta да използва доставчика на самоличност на SAML, който сте конфигурирали по-рано, трябва да промените политиката на IAM доверие. Ако вашата политика е празна, напишете следния код и презапишете
В противен случай просто редактирайте вече написания документ. В случай, че искате да дадете достъп до нова роля, отидете на Създаване на роля от раздела Роли. За типа доверен обект използвайте SAML 2.0 федерация. Пристъпете към разрешение, след като изберете името на IDP като доставчик на SAML, т.е.д., Okta и позволява управление и програмен контрол достъп. Изберете политиката, която ще бъде присвоена на тази нова роля, и завършете конфигурацията.
Генериране на API ключ за достъп за Okta за изтегляне на роли:
За Okta да импортира автоматично списък с възможни роли от вашия акаунт, създайте потребител на AWS с уникални разрешения. Това прави бързо и безопасно за администраторите да делегират потребители и групи на определени роли на AWS. За да направите това, първо изберете IAM от конзолата. В този списък кликнете върху Потребители и Добавяне на потребител от този панел.
Щракнете върху Разрешения след добавяне на потребителско име и предоставяне на програмния достъп. Създайте политика, след като изберете директно опцията „Прикачване на политики“ и кликнете върху „Създаване на политика.”Добавете кода, даден по-долу, и вашият документ за политика ще изглежда така:
За подробности вижте документацията на AWS, ако е необходимо. Въведете предпочитаното име на вашата политика. Върнете се в раздела Добавяне на потребител и прикачете наскоро създадената политика към него. Потърсете и изберете политиката, която току-що сте създали. Сега запазете показаните ключове, т.е.д., Идентификационен ключ за достъп и таен ключ за достъп.
Конфигуриране на федерацията на акаунта в AWS:
След като изпълните всички горепосочени стъпки, отворете приложението за федерация на AWS акаунта и променете някои настройки по подразбиране в Okta. В раздела Sign On редактирайте типа на вашата среда. URL адресът на ACS може да бъде зададен в областта на URL адреса на ACS. По принцип областта на URL адреса на ACS не е задължителна; не е необходимо да го вмъквате, ако вашият тип среда вече е посочен. Въведете ARN стойността на доставчика на доставчика на идентичност, който сте създали, докато конфигурирате Okta, и посочете продължителността на сесията също. Обединете всички налични роли, присвоени на всеки, като кликнете върху опцията Присъединяване към всички роли.
След като запазите всички тези промени, моля, изберете следващия раздел, т.е.д., Раздел за осигуряване и редактирайте неговите спецификации. Интеграцията на приложението AWS Account Federation не поддържа осигуряване. Осигурете достъп до API на Okta за изтегляне на списъка с ролите на AWS, използвани по време на потребителското задание, като активирате интегрирането на API. Въведете стойностите на ключовете, които сте запазили след генериране на ключовете за достъп в съответните полета. Предоставете идентификатори на всички ваши свързани акаунти и проверете идентификационните данни на API, като кликнете върху опцията Тестване на идентификационните данни на API.
Създайте потребители и променете атрибутите на акаунта, за да актуализирате всички функции и разрешения. Сега изберете тестов потребител от екрана Assign People, който ще тества връзката SAML. Изберете всички правила, които искате да присвоите на този тестов потребител, от SAML потребителските роли, намерени в екрана за присвояване на потребители. След приключване на процеса на възлагане, таблото за управление на Okta показва AWS икона. Кликнете върху тази опция, след като влезете в тестовия потребителски акаунт. Ще видите екран с всички възложени задачи.
Заключение:
SAML позволява на потребителите да използват един упълномощен набор от идентификационни данни и да се свързват с други уеб приложения и услуги, поддържащи SAML, без допълнителни влизания. AWS SSO улеснява наполовина надзора на обединения достъп до различни записи, услуги и приложения на AWS и предоставя на клиентите опит за единично влизане във всички възложени им записи, услуги и приложения от едно място. AWS SSO работи с доставчик на самоличност по свой избор, т.е.д., Okta или Azure чрез SAML протокол.
