Configurare Okta come provider di identità (anteprima)
Questo articolo descrive come integrare Okta come provider di identità (IdP) per un account Amazon Web Services (AWS) in Gestione delle autorizzazioni di Microsoft Entra.
Autorizzazioni necessarie:
| Conto | Autorizzazioni necessarie | Perché? |
|---|---|---|
| Gestione delle autorizzazioni | Amministratore gestione autorizzazioni | Amministrazione possibile creare e modificare la configurazione di onboarding del sistema di autorizzazione AWS. |
| Okta | Gestione accesso API Amministrazione istrator | Amministrazione possibile aggiungere l'applicazione nel portale okta e aggiungere o modificare l'ambito dell'API. |
| AWS | Autorizzazioni DI AWS in modo esplicito | Amministrazione dovrebbe essere in grado di eseguire lo stack cloudformation per creare 1. AWS Secret in Secrets Manager; 2. Criteri gestiti per consentire al ruolo di leggere il segreto AWS. |
Nota
Durante la configurazione dell'app Amazon Web Services (AWS) in Okta, la sintassi consigliata del gruppo di ruoli AWS è (aws#{account alias]#{role name}#{account #]).
Il modello RegEx di esempio per il nome del filtro di gruppo è:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)Gestione autorizzazioni legge i filtri suggeriti predefiniti. L'espressione RegEx personalizzata per la sintassi del gruppo non è supportata.
Come configurare Okta come provider di identità
- Accedere al portale okta con Gestione accesso API Amministrazione istrator.
- Creare una nuova applicazione di Servizi API Okta.
- Nella console Amministrazione passare a Applicazioni.
- Nella pagina Crea una nuova app di integrazione selezionare Servizi API.
- Immettere un nome per l'integrazione dell'app e fare clic su Salva.
- Copiare l'ID client per un uso futuro.
- Nella sezione Credenziali client della scheda Generale fare clic su Modifica per modificare il metodo di autenticazione client.
- Selezionare Chiave pubblica/Chiave privata come metodo di autenticazione client.
- Lasciare le chiavi di salvataggio predefinite in Okta, quindi fare clic su Aggiungi chiave.
- Fare clic su Aggiungi e nella finestra di dialogo Aggiungi una chiave pubblica incollare la propria chiave pubblica oppure fare clic su Genera nuova chiave per generare automaticamente una nuova chiave RSA a 2048 bit.
- Copiare l'ID chiave pubblica per un uso futuro.
- Fare clic su Genera nuova chiave e le chiavi pubbliche e private vengono visualizzate in formato JWK.
- Fare clic su PEM. La chiave privata viene visualizzata in formato PEM. Questa è l'unica opportunità per salvare la chiave privata. Fare clic su Copia negli Appunti per copiare la chiave privata e archiviarla in un punto sicuro.
- Fare clic su Fatto. La nuova chiave pubblica è ora registrata con l'app e viene visualizzata in una tabella nella sezione CHIAVI PUBBLICHE della scheda Generale .
- Nella scheda Ambiti API Okta concedere questi ambiti:
- okta.users.read
- okta.groups.read
- okta.apps.read
- Facoltativo. Fare clic sulla scheda Limiti di frequenza applicazione per modificare la percentuale di capacità limite di velocità per questa applicazione di servizio. Per impostazione predefinita, ogni nuova applicazione imposta questa percentuale al 50%.
Convertire la chiave pubblica in una stringa Base64
- Vedere le istruzioni per l'uso di un token di accesso personale (PAT).
Trovare l'URL okta (detto anche dominio Okta)
Questo dominio OKTA URL/Okta viene salvato nel segreto AWS.
- Accedere all'organizzazione okta con l'account amministratore.
- Cercare il dominio OKTA URL/Okta nell'intestazione globale del dashboard. Una volta individuato, prendere nota dell'URL okta in un'app, ad esempio Blocco note. Questo URL sarà necessario per i passaggi successivi.
Configurare i dettagli dello stack DI AWS
- Compilare i campi seguenti nella schermata CloudFormation Template Specify stack details (Specifica dettagli stack) usando le informazioni dell'applicazione Okta:
- Nome dello stack: nome della scelta
- Oppure URL Okta dell'organizzazione, ad esempio: https://companyname.okta.com
- ID client : dalla sezione Credenziali client dell'applicazione Okta
- ID chiave pubblica: fare clic su Aggiungi > Genera nuova chiave. La chiave pubblica viene generata
- Chiave privata (in formato PEM) - Stringa con codifica Base64 del formato PEM della chiave privata
Nota
È necessario copiare tutto il testo nel campo prima di eseguire la conversione in una stringa Base64, incluso il trattino prima di BEGIN PRIVATE KEY e dopo END PRIVATE KEY.
- Al termine della schermata Specifica dettagli dello stack nel modello CloudFormation, fare clic su Avanti.
- Nella schermata Configura opzioni stack fare clic su Avanti.
- Esaminare le informazioni immesse, quindi fare clic su Invia.
- Selezionare la scheda Risorse, quindi copiare l'ID fisico (questo ID è l'ARN segreto) per un uso futuro.
Configurare Okta in Gestione delle autorizzazioni di Microsoft Entra
Nota
L'integrazione di Okta come provider di identità è un passaggio facoltativo. È possibile tornare a questi passaggi per configurare un Provider di identità in qualsiasi momento.
Se il dashboard Agenti di raccolta dati non viene visualizzato all'avvio di Gestione autorizzazioni, selezionare Impostazioni (icona a forma di ingranaggio) e quindi selezionare la sottoscheda Agenti di raccolta dati.
Nel dashboard Agenti di raccolta dati selezionare AWS e quindi selezionare Crea configurazione. Completare i passaggi gestisci sistema di autorizzazione.
Nota
Se un agente di raccolta dati esiste già nell'account AWS e si vuole aggiungere l'integrazione di Okta, seguire questa procedura:
- Selezionare l'agente di raccolta dati per cui si vuole aggiungere l'integrazione di Okta.
- Fare clic sui puntini di sospensione accanto allo stato del sistema di autorizzazione.
- Selezionare Integrazione provider di identità.
Nella pagina Integrazione provider di identità (IdP) selezionare la casella okta.
Selezionare Avvia modello CloudFormation. Il modello viene aperto in una nuova finestra.
Nota
Qui si compileranno le informazioni per creare un segreto Amazon Resource Name (ARN) che verrà immesso nella pagina Integrazione provider di identità (IdP). Microsoft non legge o archivia questa ARN.
Tornare alla pagina Permissions Management Integrate Identity Provider (IdP) e incollare l'ARNsegreto nel campo specificato.
Fare clic su Avanti per rivedere e confermare le informazioni immesse.
Fare clic su Verifica ora e salva. Il sistema restituisce il modello AWS CloudFormation popolato.
Passaggi successivi
- Per informazioni su come visualizzare ruoli/criteri, richieste e autorizzazioni esistenti, vedere Visualizzare ruoli/criteri, richieste e autorizzazioni esistenti nel dashboard di correzione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per