Okta を ID プロバイダーとして構成する (プレビュー)

この記事では、Microsoft Entra Permissions Management で Amazon Web Services (AWS) アカウントの ID プロバイダー (IdP) として Okta を統合する方法について説明します。

必要なアクセス許可:

取引先企業	必要なアクセス許可	その理由は、
権限管理	Permissions Management の管理者	管理者は、AWS 認可システムのオンボード構成を作成および編集できます。
Okta	API Access Management の管理者	管理者は、Okta ポータルでアプリケーションを追加して、API スコープを追加または編集できます。
AWS	明示的な AWS のアクセス許可	管理者は cloudformation スタックを実行して、以下を作成できる必要があります: 1. Secrets Manager の AWS シークレット、2. ロールが AWS シークレットを読み取ることを許可する管理ポリシー。

Note

Okta でアマゾン ウェブ サービス (AWS) アプリを構成する際、推奨される AWS ロール グループの構文は (aws#{account alias]#{role name}#{account #]) です。 グループ フィルター名の RegEx パターンの例を以下に示します。

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Permissions Management は、既定の推奨フィルターを読み取ります。 グループ構文のカスタム RegEx 式はサポートされていません。

Okta を ID プロバイダーとして構成する方法

1. API Access Management の管理者で Okta ポータルにログインします。
2. 新しい Okta API サービス アプリケーションを作成します。
3. 管理コンソールで、[Applications] (アプリケーション) に移動します。
4. [Create a new app integration] (新しいアプリ統合の作成) ページで、[API Services] (API サービス) を選択します。
5. アプリケーション統合の名前を入力して [Save] (保存) をクリックします。
6. 今後の使用のために、クライアント ID をコピーします。
7. [General] (全般) タブの [Client Credentials] (クライアント資格情報) セクションで、[Edit] (編集) をクリックして、クライアント認証方法を変更します。
8. クライアント認証方法として [Public key/Private key] (公開キー/秘密キー) を選択します。
9. [Save keys in Okta] (キーを Okta に保存) を既定のままにして、[Add key] (キーの追加) をクリックします。
10. [Add] (追加) をクリックし、[Add a public key] (公開キーの追加) ダイアログで、独自の公開キーを貼り付けるか、[Generate new key] (新しいキーの生成) をクリックして、新しい 2048 ビット RSA キーを自動生成します。
11. 今後の使用のために、公開キー ID をコピーします。
12. [Generate new key] (新しいキーの生成) をクリックすると、公開および秘密キーが JWK 形式で表示されます。
13. PEM をクリックします。 秘密キーが PEM 形式で表示されます。 これは、秘密キーを保存する唯一の機会です。 [Copy to clipboard] (クリップボードにコピー) をクリックして秘密キーをコピーし、安全な場所に保存します。
14. [Done] をクリックします。 これで、新しい公開キーがアプリに登録され、[General] (全般) タブの [PUBLIC KEYS] (公開キー) セクションのテーブルに表示されます。
15. [Okta API scopes] (Okta API スコープ) タブで、以下のスコープを付与します。
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. 省略可能。 [Application rate limits] (アプリケーションのレート制限) タブをクリックして、このサービス アプリケーションのレート制限容量の割合を調整します。 既定では、新規の各アプリケーションでこの割合が 50% に設定されます。

公開キーを Base64 文字列に変換する

1. 個人用アクセス トークン (PAT) を使用するための手順を参照してください。

Okta URL (Okta ドメインとも呼ばれます) を見つける

この Okta URL/Okta ドメインは AWS シークレットに保存されています。

1. 管理者アカウントを使用して Okta 組織にサインインします。
2. ダッシュボードのグローバル ヘッダーで Okta URL/Okta ドメインを探します。 見つけたら、メモ帳などのアプリで Okta URL を書き留めます。 この URL は、次の手順で必要になります。

AWS スタックの詳細を構成する

1. Okta アプリケーションからの情報を使用して、CloudFormation Template の [Specify stack details] (スタック詳細の指定) 画面で、以下のフィールドに入力します。
   • Stack name (スタックの名前) - 選択した名前
   • Or URL (または URL) 組織の Okta URL。例: https://companyname.okta.com
   • Client Id (クライアント ID) - Okta アプリケーションの [Client Credentials] (クライアント資格情報) セクションからの情報
   • Public Key Id (公開キー ID) - [Add] (追加) > [Generate new key] (新しいキーの生成) をクリックします。 公開キーが生成されます
   • Private Key (in PEM format) (秘密キー (PEM 形式)) - PEM 形式の秘密キーの Base64 でエンコードされた文字列

   Note

   Base64 文字列に変換する前に、フィールド内のすべてのテキストをコピーする必要があります (BEGIN PRIVATE KEY の前と END PRIVATE KEY の後のダッシュを含む)。

2. CloudFormation Template の [Specify stack details] (スタック詳細の指定) 画面が完了したら、[Next] (次へ) をクリックします。.
3. [Configure stack options] (スタック オプションの設定) 画面で [Next] (次へ) をクリックします。
4. 入力した情報を確認してから、[Submit] (送信) をクリックします。
5. [Resources] (リソース) タブを選択し、後で使用するために 物理 ID (この ID はシークレットの ARN です) をコピーします。

Microsoft Entra Permissions Management で Okta を構成する

Note

Okta を ID プロバイダーとして統合することは、省略可能な手順です。 これらの手順に戻って、いつでも ID プロバイダーを構成できます。

1. Permissions Management の起動時に [データ コレクター] ダッシュボードが表示されない場合は、[設定] (歯車アイコン) を選択した後に、[データ コレクター] サブタブを選択します。

2. [データ コレクター] ダッシュボードで、[AWS] を選択し、[構成の作成] を選択します。 Manage Authorization System (認可システムの管理) の手順を完了します。

   Note

   データ コレクターが AWS アカウントに既に存在し、Okta 統合を追加する場合は、こちらの手順に従います。

   1. Okta 統合を追加したいデータ コレクターを選択します。
   2. [Authorization System Status] (認可システムの状態) の横にある省略記号をクリックします。
   3. [ID プロバイダーの統合] を選択します。

3. [Integrate Identity Provider (IdP)] (ID プロバイダー (IdP) の統合)] ページで、[Okta] のボックスを選択します。

4. [Launch CloudFormation Template] (CloudFormation テンプレートの起動) を選択します。 テンプレートが新しいウィンドウで開きます。

   Note

   ここでは、[Integrate Identity Provider (IdP)] (ID プロバイダー (IdP) の統合)] ページで入力するシークレットの Amazon リソース名 (ARN) を作成するための情報を入力します。 Microsoft では、この ARN の読み取りや保存は行いません。

5. Permissions Management の [Integrate Identity Provider (IdP)] (ID プロバイダー (IdP) の統合)] ページに戻り、シークレットの ARN を指定されたフィールドに貼り付けます。

6. [次へ] をクリックして、入力した情報を確認します。

7. [Verify now & save](すぐに確認して保存) をクリックします。 設定された AWS CloudFormation テンプレートがシステムから返されます。

次のステップ

• 既存のロール/ポリシー、要求、およびアクセス許可を表示する方法については、[Remediation](修復) ダッシュボードでのロール/ポリシー、要求、およびアクセス許可の表示に関する記事を参照してください。