Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
A partire dal 1° aprile 2025, Microsoft Entra Permissions Management non sarà più disponibile per l'acquisto e il 1° ottobre 2025 verrà ritirato e interrotto il supporto di questo prodotto. Altre informazioni sono disponibili qui.
Questo articolo descrive come integrare Okta come provider di identità (IdP) per un account Amazon Web Services (AWS) in Microsoft Entra Permissions Management.
Autorizzazioni necessarie:
| account | autorizzazioni necessarie | perché? |
|---|---|---|
| Gestione delle autorizzazioni | Amministratore gestione autorizzazioni | L'amministratore può creare e modificare la configurazione di onboarding del sistema di autorizzazione AWS. |
| Okta | Amministratore della gestione degli accessi API | L'amministratore può aggiungere l'applicazione nel portale okta e aggiungere o modificare l'ambito dell'API. |
| AWS | autorizzazioni AWS esplicite | L'amministratore deve essere in grado di eseguire lo stack cloudformation per creare 1. AWS Secret in Secrets Manager; 2. Policy gestita per consentire al ruolo di leggere il segreto AWS. |
Nota
Durante la configurazione dell'app Amazon Web Services (AWS) in Okta, la sintassi consigliata del gruppo di ruoli AWS è (aws#{account alias]#{role name}#{account #]).
Il modello RegEx di esempio per il nome del filtro di gruppo è:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$-
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)Gestione autorizzazioni legge i filtri suggeriti predefiniti. L'espressione RegEx personalizzata per la sintassi del gruppo non è supportata.
Come configurare Okta come fornitore di identità
- Accedere al portale Okta come Amministratore di Gestione Accesso API.
- Crea una nuova applicazione di servizi API Okta.
- Nella Console di amministrazione passare a Applicazioni.
- Nella pagina Crea una nuova app di integrazione selezionare Servizi API.
- Immettere un nome per l'integrazione dell'app e fare clic su Salva.
- Copiare l'ID client per un uso futuro.
- Nella sezione credenziali client della scheda Generale fare clic su Modifica per modificare il metodo di autenticazione client.
- Selezionare chiave pubblica/chiave privata come metodo di autenticazione client.
- Lasciare il valore predefinito Salva chiavi in Okta, quindi fare clic su Aggiungi chiave.
- Fare clic su Aggiungi e nella finestra di dialogo Aggiungi una chiave pubblica incollare la propria chiave pubblica oppure fare clic su Genera nuova chiave per generare automaticamente una nuova chiave RSA a 2048 bit.
- Copiare id chiave pubblica per un uso futuro.
- Fare clic su Genera nuova chiave e le chiavi pubbliche e private vengono visualizzate in formato JWK.
- Fare clic su PEM. La chiave privata viene visualizzata in formato PEM. Questa è l'unica opportunità per salvare la chiave privata. Fare clic Copia negli Appunti per copiare la chiave privata e archiviarla in un punto sicuro.
- Fare clic su Fine. La nuova chiave pubblica viene ora registrata con l'app e viene visualizzata in una tabella nella sezione CHIAVI PUBBLICHE della scheda Generale.
- Nella scheda Ambiti API Okta concedere questi ambiti:
- okta.users.read
- okta.groups.read
- okta.apps.read
- Opzionale. Fare clic sulla scheda Limiti di frequenza dell'applicazione per regolare la percentuale di capacità del limite di frequenza per questa applicazione di servizio. Per impostazione predefinita, ogni nuova applicazione imposta questa percentuale al 50%.
Convertire la chiave pubblica in una stringa Base64
- Consultare le istruzioni per usando un token di accesso personale (PAT).
Trovare l'URL okta (detto anche dominio Okta)
Questo dominio OKTA URL/Okta viene salvato nel segreto AWS.
- Accedi alla tua organizzazione Okta con il tuo account amministratore.
- Cerca l'URL Okta o il dominio Okta nell'intestazione globale del dashboard. Una volta individuato, prendere nota dell'URL Okta in un'app, ad esempio nell'app Blocco note. Questo URL sarà necessario per i passaggi successivi.
Configurare i dettagli dello stack DI AWS
- Compila i campi seguenti nella schermata Modello CloudFormation, specificando i dettagli dello stack, utilizzando le informazioni della tua applicazione Okta.
- Nome stack - Un nome a nostra scelta
- O URL L'URL Okta della tua organizzazione, ad esempio: https://companyname.okta.com
- ID client - Dalla sezione credenziali client dell'applicazione Okta
- ID chiave pubblica: fare clic su Aggiungi > Genera nuova chiave. La chiave pubblica viene generata
- Chiave privata (in formato PEM) - Stringa codificata in Base64 del formato PEM della chiave privata
Nota
È necessario copiare tutto il testo nel campo prima di eseguire la conversione in una stringa Base64, incluso il trattino prima di BEGIN PRIVATE KEY e dopo END PRIVATE KEY.
- Una volta completata la schermata "Modello CloudFormation Specifica i dettagli dello stack", fare clic su Avanti.
- Nella schermata Configura opzioni dello stack fare clic su Avanti.
- Rivedi le informazioni inserite, quindi fai clic su Invia.
- Selezionare la scheda Risorse, quindi copiare il ID fisico (questo ID è l'ARN segreto) per un uso futuro.
Configurare Okta nella gestione delle autorizzazioni di Microsoft Entra
Nota
L'integrazione di Okta come provider di identità è un passaggio facoltativo. È possibile tornare a questi passaggi per configurare un IdP (Provider di identità) in qualsiasi momento.
Se il dashboard agente di raccolta dati non viene visualizzato all'avvio di Gestione autorizzazioni, selezionare Impostazioni (icona a forma di ingranaggio) e quindi selezionare la sottoscheda agente di raccolta dati.
Nel dashboard degli agenti di raccolta dati , selezionare AWS, e quindi selezionare Crea configurazione. Completare i passaggi gestione del sistema di autorizzazione.
Nota
Se un agente di raccolta dati esiste già nell'account AWS e si vuole aggiungere l'integrazione di Okta, seguire questa procedura:
- Selezionare l'agente di raccolta dati per cui si vuole aggiungere l'integrazione di Okta.
- Fare clic sui puntini di sospensione accanto al Stato del sistema di autorizzazione.
- Selezionare Integrare il fornitore di identità.
Nella pagina Integrate Identity Provider (IdP), seleziona la casella di Okta.
Selezionare Avvia modello CloudFormation. Il modello viene aperto in una nuova finestra.
Nota
Qui compilerai le informazioni per creare un nome segreto Amazon Resource Name (ARN) che dovrai inserire nella pagina Integrate Identity Provider (IdP). Microsoft non legge o archivia questa ARN.
Tornare alla pagina Gestione autorizzazioni Integrate Identity Provider (IdP) e incollare il ARN segreto nel campo specificato.
Fare clic su Avanti per esaminare e confermare le informazioni immesse.
Fare clic su Verifica ora & Salva. Il sistema restituisce il modello AWS CloudFormation popolato.
Passaggi successivi
- Per informazioni su come visualizzare ruoli/criteri, richieste e autorizzazioni esistenti, vedere Visualizzare ruoli/criteri, richieste e autorizzazioni nel dashboard di correzione.