Konfigurieren von Okta als Identitätsanbieter (Vorschau)

In diesem Artikel wird beschrieben, wie Sie Okta als Identitätsanbieter (IdP) für ein Amazon Web Services (AWS)-Konto in Microsoft Entra Permissions Management integrieren.

Erforderliche Berechtigungen:

Firma	Erforderliche Berechtigungen	Warum?
Verwaltung von Berechtigungen	Berechtigungsverwaltungsadministrator	Der Administrator kann die Konfiguration des AWS-Autorisierungssystems für das Onboarding erstellen und bearbeiten.
Okta	API-Zugriffsverwaltungsadministrator	Der Administrator kann die Anwendung im Okta-Portal hinzufügen und den API-Bereich hinzufügen oder bearbeiten.
AWS	AWS-Berechtigungen explizit	Der Administrator sollte in der Lage sein, den Cloudformationsstapel auszuführen, um 1 zu erstellen. AWS Secret in Secrets Manager; 2. Verwaltete Richtlinie, damit die Rolle den AWS-Geheimschlüssel lesen kann.

Hinweis

Beim Konfigurieren der Amazon Web Services (AWS)-App in Okta lautet die vorgeschlagene AWS-Rollengruppensyntax (aws#{account alias]#{role name}#{account #]). Beispiel-RegEx-Muster für den Gruppenfilternamen sind:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)-Berechtigungsverwaltung liest standardmäßig vorgeschlagene Filter. Benutzerdefinierter RegEx-Ausdruck für die Gruppensyntax wird nicht unterstützt.

Konfigurieren von Okta als Identitätsanbieter

1. Melden Sie sich beim Okta-Portal mit API-Zugriffsverwaltungsadministrator an.
2. Erstellen Sie eine neue Okta API Services-Anwendung.
3. Wechseln Sie in der Administratorkonsole zu Anwendungen.
4. Wählen Sie auf der Seite „Neue App-Integration erstellen“ die Option API-Dienste aus.
5. Geben Sie einen Namen für ihre App-Integration ein, und klicken Sie auf Speichern.
6. Kopieren Sie die Client-ID für die zukünftige Verwendung.
7. Klicken Sie im Abschnitt Clientanmeldeinformationen auf der Registerkarte Allgemein auf Bearbeiten, um die Clientauthentifizierungsmethode zu ändern.
8. Wählen Sie öffentlichen Schlüssel/Privaten Schlüssel als Clientauthentifizierungsmethode aus.
9. Lassen Sie die Standardspeicherschlüssel in Okta, und klicken Sie dann auf Schlüssel hinzufügen.
10. Klicken Sie Hinzufügen und fügen Sie Ihren eigenen öffentlichen Schlüssel ein oder wählen Sie im Dialog öffentlichen Schlüssel hinzufügenneuen Schlüssel generieren aus, um automatisch einen neuen 2048-Bit-RSA-Schlüssel zu generieren.
11. Kopieren Sie die ID des öffentlichen Schlüssels für die zukünftige Verwendung.
12. Klicken Sie auf Neuen Schlüssel generieren, und die öffentlichen und privaten Schlüssel werden im JWK-Format angezeigt.
13. Klicken Sie auf PEM. Der private Schlüssel wird im PEM-Format angezeigt. Dies ist Ihre einzige Möglichkeit, den privaten Schlüssel zu speichern. Klicken Sie auf In Zwischenablage kopieren, um den privaten Schlüssel zu kopieren und an einem sicheren Ort zu speichern.
14. Klicke auf Fertig. Der neue öffentliche Schlüssel ist jetzt bei der App registriert und wird in einer Tabelle im Abschnitt PUBLIC KEYS auf der Registerkarte Allgemein angezeigt.
15. Gewähren Sie auf der Registerkarte Okta-API-Bereiche die folgenden Bereiche:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Optional. Klicken Sie auf die Registerkarte Anwendungsratenbeschränkungen, um den Prozentsatz der Kapazitätsgrenze für diese Dienstanwendung anzupassen. Standardmäßig legt jede neue Anwendung diesen Prozentsatz auf 50 Prozent fest.

Konvertieren eines öffentlichen Schlüssels in eine Base64-Zeichenfolge

1. Schauen Sie in die Anweisungen zur Verwendung eines persönlichen Zugriffstokens (PAT).

Suchen Sie Ihre Okta-URL (auch als Okta-Domäne bezeichnet)

Diese Okta-URL/Okta-Domäne wird im AWS-Geheimnis gespeichert.

1. Melden Sie sich mit Ihrem Administratorkonto bei Ihrer Okta-Organisation an.
2. Suchen Sie im globalen Header des Dashboards nach der Okta-URL/Okta-Domäne. Wenn Sie sie gefunden haben, notieren Sie sich die OKTA-URL in einer App, z. B. Editor. Sie benötigen diese URL für die nächsten Schritte.

Konfigurieren von AWS-Stapeldetails

1. Füllen Sie die folgenden Felder auf dem Bildschirm CloudFormation Template Specify-Stapeldetails aus, indem Sie die Informationen aus Ihrer Okta-Anwendung verwenden:
   • Stapelname - Ein Name unserer Wahl
   • Oder URL Die Okta-URL Ihrer Organisation, zum Beispiel: https://companyname.okta.com
   • Client-ID – Aus dem Abschnitt Clientanmeldeinformationen Ihrer Okta-Anwendung
   • Id des öffentlichen Schlüssels – Klicken Sie auf Neuen Schlüssel generieren>. Der öffentliche Schlüssel wird generiert
   • Privater Schlüssel (im PEM-Format) – Base64-codierte Zeichenfolge des PEM-Formats des privaten Schlüssels

   Hinweis

   Sie müssen den gesamten Text im Feld kopieren, bevor Sie ihn in eine Base64-Zeichenfolge konvertieren, einschließlich des Bindestrichs vor BEGIN PRIVATE KEY und nach END PRIVATE KEY.

2. Wenn der Bildschirm mit der CloudFormation-Vorlage „Stapeldetails angeben“ abgeschlossen ist, klicken Sie auf Weiter.
3. Klicken Sie im Bildschirm Stapeloptionen konfigurieren auf Weiter.
4. Überprüfen Sie die eingegebenen Informationen, und klicken Sie dann auf Absenden.
5. Wählen Sie die Registerkarte Ressourcen aus, und kopieren Sie dann die Physische ID (diese ID ist der geheime ARN) für die zukünftige Verwendung.

Konfigurieren von Okta in der Verwaltung von Microsoft Entra-Berechtigungen

Hinweis

Die Integration von Okta als Identitätsanbieter ist ein optionaler Schritt. Sie können jederzeit zu diesen Schritten zurückkehren, um einen Identitätsanbieter zu konfigurieren.

1. Wenn das Dashboard Datensammler beim Starten der Berechtigungsverwaltung nicht angezeigt wird, wählen Sie Einstellungen (Zahnradsymbol) und dann die Unterregisterkarte Datensammler aus.

2. Wählen Sie auf dem Dashboard Data Collectors (Datensammler) die Option AWS und anschließend Create Configuration (Konfiguration erstellen) aus. Führen Sie die Schritte zum Verwalten des Autorisierungssystems aus.

   Hinweis

   Wenn in Ihrem AWS-Konto bereits ein Datensammler vorhanden ist und Sie die AWS IAM-Integration hinzufügen möchten, gehen Sie wie folgt vor:

   1. Wählen Sie den Datensammler aus, für den Sie die Okta-Integration hinzufügen möchten.
   2. Klicken Sie auf die Auslassungspunkte neben Status der Autorisierungssysteme.
   3. Wählen Sie Identitätsanbieter integrieren aus.

3. Wählen Sie auf der Seite Identitätsanbieter integrieren (IdP) das Kontrollkästchen für Okta aus.

4. Wählen Sie CloudFormation-Vorlage starten aus. Die Vorlage wird in einem neuen Fenster geöffnet.

   Hinweis

   Hier geben Sie Informationen ein, um einen geheimen Amazon Resource Name (ARN) zu erstellen, den Sie auf der Seite Identitätsanbieter integrieren (IdP) eingeben. Microsoft liest oder speichert dieses ARN nicht.

5. Kehren Sie zur Seite Berechtigungsverwaltung IdP (Identitätsanbieter) integrieren zurück, und fügen Sie die geheimen ARN in das angegebene Feld ein.

6. Klicken Sie auf Weiter, um die eingegebenen Informationen zu überprüfen und zu bestätigen.

7. Wählen Sie Jetzt überprüfen und speichern aus. Das System gibt die ausgefüllte AWS CloudFormation-Vorlage zurück.

Nächste Schritte

• Informationen zum Anzeigen vorhandener Rollen/Richtlinien, Anforderungen und Berechtigungen finden Sie unter Anzeigen von Rollen/Richtlinien, Anforderungen und Berechtigungen auf dem Wartungsdashboard.