Konfigurace Okty jako zprostředkovatele identity (Preview)
Tento článek popisuje, jak integrovat Okta jako zprostředkovatele identity (IDP) pro účet Amazon Web Services (AWS) v Správa oprávnění Microsoft Entra.
Požadovaná oprávnění:
Obchodní vztah | Požadovaná oprávnění | Proč? |
---|---|---|
Správa oprávnění | Správa oprávnění Správa istrator | Správa může vytvořit a upravit konfiguraci onboardingu autorizačního systému AWS. |
Okta | Api Access Management Správa istrator | Správa může aplikaci přidat na portál Okta a přidat nebo upravit obor rozhraní API. |
AWS | Explicitně oprávnění AWS | Správa by měl být schopný spustit zásobník cloudformation a vytvořit 1. Tajný kód AWS ve Správci tajných kódů; 2. Spravované zásady umožňující roli číst tajný klíč AWS. |
Poznámka:
Při konfiguraci aplikace Amazon Web Services (AWS) v Oktě je navržená syntaxe skupiny rolí AWS (aws#{account alias]#{role name}#{account #]
).
Vzor ukázkového regulárního výrazu pro název filtru skupiny:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
Správa oprávnění čte výchozí navrhované filtry. Vlastní výraz RegEx pro syntaxi skupiny se nepodporuje.
Jak nakonfigurovat Okta jako zprostředkovatele identity
- Přihlaste se k portálu Okta pomocí služby API Access Management Správa istrator.
- Vytvořte novou aplikaci služeb API Okta.
- V konzole Správa přejděte do části Aplikace.
- Na stránce Vytvořit novou integraci aplikace vyberte služby API.
- Zadejte název integrace aplikace a klikněte na Uložit.
- Zkopírujte ID klienta pro budoucí použití.
- V části Přihlašovací údaje klienta na kartě Obecné klikněte na tlačítko Upravit a změňte metodu ověřování klienta.
- Jako metodu ověřování klienta vyberte veřejný klíč nebo privátní klíč .
- V oktě ponechte výchozí klávesy Uložit a klikněte na Tlačítko Přidat klíč.
- Klepněte na tlačítko Přidat a v dialogovém okně Přidat veřejný klíč vložte vlastní veřejný klíč nebo klepněte na tlačítko Vygenerovat nový klíč pro automatické vygenerování nového 2048bitového klíče RSA.
- Zkopírujte ID veřejného klíče pro budoucí použití.
- Klepněte na tlačítko Generovat nový klíč a veřejné a privátní klíče se zobrazí ve formátu JWK.
- Klikněte na PEM. Privátní klíč se zobrazí ve formátu PEM. Toto je jediná příležitost k uložení privátního klíče. Kliknutím na Kopírovat do schránky zkopírujte privátní klíč a uložte ho někam do bezpečí.
- Klikněte na tlačítko Hotovo. Nový veřejný klíč je teď zaregistrovaný v aplikaci a zobrazí se v tabulce v části VEŘEJNÉ KLÍČE na kartě Obecné .
- Na kartě Obory rozhraní API Okta udělte tyto obory:
- okta.users.read
- okta.groups.read
- okta.apps.read
- Nepovinné. Klikněte na kartu Omezení rychlosti aplikace a upravte procento kapacity pro tuto aplikaci služby. Ve výchozím nastavení nastaví každá nová aplikace toto procento na 50 procent.
Převod veřejného klíče na řetězec Base64
- Přečtěte si pokyny pro použití tokenu PAT (Personal Access Token).
Vyhledání adresy URL okty (označované také jako doména Okta)
Tato doména Okta URL/Okta je uložena v tajném kódu AWS.
- Přihlaste se ke své organizaci Okta pomocí účtu správce.
- V globální hlavičce řídicího panelu vyhledejte doménu Okta URL/Okta. Po umístění si poznamenejte adresu URL Okta v aplikaci, jako je například Poznámkový blok. Tuto adresu URL budete potřebovat pro další kroky.
Konfigurace podrobností zásobníku AWS
- V šabloně CloudFormation Zadejte obrazovku podrobností zásobníku pomocí informací z aplikace Okta vyplňte následující pole:
- Název zásobníku – název našeho výběru
- Nebo adresa URL adresy URL Okta vaší organizace, například: https://companyname.okta.com
- ID klienta – v části Přihlašovací údaje klienta aplikace Okta
- ID veřejného klíče – klikněte na přidat > nový klíč. Vygeneruje se veřejný klíč.
- Privátní klíč (ve formátu PEM) – řetězec kódovaný v base64 formátu PEM privátního klíče
Poznámka:
Před převodem na řetězec Base64 musíte zkopírovat veškerý text v poli, včetně pomlčky před BEGIN PRIVATE KEY a za KONCOVÝM PRIVÁTNÍM KLÍČEM.
- Po dokončení obrazovky Zadat podrobnosti zásobníku šablony Formuláře cloudu klepněte na tlačítko Další.
- Na obrazovce Konfigurovat možnosti zásobníku klikněte na Další.
- Zkontrolujte zadané informace a klikněte na Odeslat.
- Vyberte kartu Prostředky a pak zkopírujte fyzické ID (toto ID je tajný klíč ARN) pro budoucí použití.
Konfigurace Okty v Správa oprávnění Microsoft Entra
Poznámka:
Integrace okty jako zprostředkovatele identity je volitelný krok. K těmto krokům se můžete kdykoli vrátit a nakonfigurovat zprostředkovatele identity.
Pokud se při spuštění správy oprávnění nezobrazí řídicí panel Kolektory dat, vyberte Nastavení (ikona ozubeného kola) a pak vyberte podtabutu Kolekce dat.
Na řídicím panelu Kolektory dat vyberte AWS a pak vyberte Vytvořit konfiguraci. Dokončete kroky správy systému autorizace .
Poznámka:
Pokud už kolekce dat ve vašem účtu AWS existuje a chcete přidat integraci Okta, postupujte takto:
- Vyberte kolekci dat, pro kterou chcete přidat integraci Okta.
- Klikněte na tři tečky vedle stavu systému autorizace.
- Vyberte Integrovat zprostředkovatele identity.
Na stránce Integrace zprostředkovatele identity (IdP) vyberte pole okta.
Vyberte Spustit šablonu CloudFormation. Šablona se otevře v novém okně.
Poznámka:
Tady vyplníte informace, abyste vytvořili tajný název ARN (Amazon Resource Name), který zadáte na stránce Integrace zprostředkovatele identity (IdP ). Společnost Microsoft tuto službu ARN nečte ani neukládá.
Vraťte se na stránku Integrace zprostředkovatele identity (IdP) správy oprávnění a vložte tajný klíč ARN do zadaného pole.
Kliknutím na Tlačítko Další zkontrolujte a potvrďte zadané informace.
Klikněte na Ověřit a uložit. Systém vrátí vyplněnou šablonu AWS CloudFormation.
Další kroky
- Informace o tom, jak zobrazit existující role/ zásady, požadavky a oprávnění, najdete v tématu Zobrazení rolí/zásad, žádostí a oprávnění na řídicím panelu Náprava.