Mengonfigurasi Okta sebagai penyedia identitas (pratinjau)

  • Artikel

Artikel ini menjelaskan cara mengintegrasikan Okta sebagai Penyedia Identitas (IdP) untuk akun Amazon Web Services (AWS) di Manajemen Izin Microsoft Entra.

Izin Diperlukan:

Rekening Izin yang Diperlukan Mengapa?
Pengelolaan Izin Administrator Manajemen Izin Admin dapat membuat dan mengedit konfigurasi onboarding sistem otorisasi AWS.
Okta Administrator MANAJEMEN Akses API Admin dapat menambahkan aplikasi di portal Okta dan menambahkan atau mengedit cakupan API.
AWS Izin AWS secara eksplisit Admin harus dapat menjalankan tumpukan cloudformation untuk membuat 1. Rahasia AWS di Secrets Manager; 2. Kebijakan terkelola untuk memungkinkan peran membaca rahasia AWS.

Catatan

Saat mengonfigurasi aplikasi Amazon Web Services (AWS) di Okta, sintaks grup peran AWS yang disarankan adalah (aws#{account alias]#{role name}#{account #]). Pola RegEx sampel untuk nama filter grup adalah:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Manajemen Izin membaca filter default yang disarankan. Ekspresi RegEx kustom untuk sintaks grup tidak didukung.

Cara mengonfigurasi Okta sebagai penyedia identitas

  1. Masuk ke portal Okta dengan Administrator MANAJEMEN Akses API.
  2. Buat Aplikasi Okta API Services baru.
  3. Di Konsol Admin, buka Aplikasi.
  4. Pada halaman Buat integrasi aplikasi baru, pilih Layanan API.
  5. Masukkan nama untuk integrasi aplikasi Anda dan klik Simpan.
  6. Salin ID Klien untuk digunakan di masa mendatang.
  7. Di bagian Kredensial Klien pada tab Umum, klik Edit untuk mengubah metode autentikasi klien.
  8. Pilih Kunci publik/Kunci privat sebagai metode autentikasi Klien.
  9. Biarkan tombol Simpan default di Okta, lalu klik Tambahkan kunci.
  10. Klik Tambahkan dan dalam dialog Tambahkan kunci publik, tempelkan kunci publik Anda sendiri atau klik Buat kunci baru untuk membuat kunci RSA 2048-bit baru secara otomatis.
  11. Salin Id Kunci Publik untuk digunakan di masa mendatang.
  12. Klik Buat kunci baru dan kunci publik dan privat muncul dalam format JWK.
  13. Klik PEM. Kunci privat muncul dalam format PEM. Ini adalah satu-satunya kesempatan Anda untuk menyimpan kunci privat. Klik Salin ke clipboard untuk menyalin kunci privat dan menyimpannya di tempat yang aman.
  14. Klik Selesai. Kunci publik baru sekarang terdaftar dengan aplikasi dan muncul dalam tabel di bagian KUNCI PUBLIK pada tab Umum .
  15. Dari tab cakupan OKTA API, berikan cakupan ini:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. Opsional. Klik tab Batas tarif aplikasi untuk menyesuaikan persentase kapasitas batas tarif untuk aplikasi layanan ini. Secara default, setiap aplikasi baru menetapkan persentase ini pada 50 persen.

Mengonversi kunci publik ke string Base64

  1. Lihat instruksi untuk menggunakan token akses pribadi (PAT).

Temukan URL Okta Anda (juga disebut domain Okta)

Domain OKTA URL/Okta ini disimpan dalam rahasia AWS.

  1. Masuk ke organisasi Okta Anda dengan akun administrator Anda.
  2. Cari domain OKTA URL/Okta di header global dasbor. Setelah ditemukan, perhatikan URL Okta di aplikasi seperti Notepad. Anda akan memerlukan URL ini untuk langkah Berikutnya.

Mengonfigurasi detail tumpukan AWS

  1. Isi bidang berikut pada layar Detail tumpukan Tentukan Templat CloudFormation menggunakan informasi dari aplikasi Okta Anda:
    • Nama tumpukan - Nama yang kami pilih
    • Atau URL URL Okta organisasi Anda, misalnya: https://companyname.okta.com
    • Id Klien - Dari bagian Kredensial Klien dari aplikasi Okta Anda
    • Id Kunci Publik - Klik Tambahkan > Hasilkan kunci baru. Kunci publik dihasilkan
    • Kunci Privat (dalam format PEM) - String yang dikodekan Base64 dari format PEM kunci Privat

    Catatan

    Anda harus menyalin semua teks di bidang sebelum mengonversi ke string Base64, termasuk tanda hubung sebelum BEGIN PRIVATE KEY dan setelah END PRIVATE KEY.

  2. Saat layar Detail tumpukan Penentuan Templat CloudFormation selesai, klik Berikutnya.
  3. Pada layar Konfigurasi opsi tumpukan, klik Berikutnya.
  4. Tinjau informasi yang telah Anda masukkan, lalu klik Kirim.
  5. Pilih tab Sumber Daya , lalu salin ID Fisik (ID ini adalah ARN Rahasia) untuk digunakan di masa mendatang.

Mengonfigurasi Okta di Manajemen Izin Microsoft Entra

Catatan

Mengintegrasikan Okta sebagai penyedia identitas adalah langkah opsional. Anda dapat kembali ke langkah-langkah ini untuk mengonfigurasi IdP kapan saja.

  1. Jika dasbor Pengumpul Data tidak ditampilkan saat Manajemen Izin diluncurkan, pilih Pengaturan (ikon gerigi), lalu pilih subtab Pengumpul Data.

  2. Di dasbor Pengumpul Data, pilih AWS, lalu pilih Buat Konfigurasi. Selesaikan langkah-langkah Kelola Sistem Otorisasi.

    Catatan

    Jika Pengumpul Data sudah ada di akun AWS dan Anda ingin menambahkan integrasi Okta, ikuti langkah-langkah berikut:

    1. Pilih Pengumpul Data yang ingin Anda tambahkan integrasi Oktanya.
    2. Klik elipsis di samping Status Sistem Otorisasi.
    3. Pilih Integrasikan Penyedia Identitas.

  3. Pada halaman Integrasikan Penyedia Identitas (IdP), pilih kotak untuk Okta.

  4. Pilih Luncurkan Templat CloudFormation. Templat terbuka di jendela baru.

    Catatan

    Di sini Anda akan mengisi informasi untuk membuat Amazon Resource Name (ARN) rahasia yang akan Anda masukkan di halaman Integrate Identity Provider (IdP). Microsoft tidak membaca atau menyimpan ARN ini.

  5. Kembali ke halaman Manajemen Izin Mengintegrasikan Penyedia Identitas (IdP) dan tempelkan ARN Rahasia di bidang yang disediakan.

  6. Klik Berikutnya untuk meninjau dan mengonfirmasi informasi yang telah Anda masukkan.

  7. Klik Verifikasi Sekarang & Simpan. Sistem mengembalikan Templat AWS CloudFormation yang diisi.

Langkah berikutnya