Okta configureren als id-provider (preview)

In dit artikel wordt beschreven hoe u Okta integreert als id-provider (IdP) voor een Amazon Web Services-account (AWS) in Microsoft Entra-machtigingsbeheer.

Vereiste machtigingen:

Rekening	Vereiste machtigingen	Waarom?
Machtigingenbeheer	Machtigingenbeheer Beheer istrator	Beheer de onboardingconfiguratie van het AWS-autorisatiesysteem kan maken en bewerken.
Okta	API Access Management Beheer istrator	Beheer kunt de toepassing toevoegen in de Okta-portal en het API-bereik toevoegen of bewerken.
AWS	AWS-machtigingen expliciet	Beheer moet de cloudformation-stack kunnen uitvoeren om 1 te maken. AWS Secret in Secrets Manager; 2. Beheerd beleid zodat de rol het AWS-geheim kan lezen.

Notitie

Tijdens het configureren van de AWS-app (Amazon Web Services) in Okta is de voorgestelde syntaxis van de AWS-rollengroep (aws#{account alias]#{role name}#{account #]). Voorbeeld van regex-patroon voor de groepsfilternaam zijn:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Machtigingenbeheer leest standaard voorgestelde filters. Aangepaste RegEx-expressie voor groepssyntaxis wordt niet ondersteund.

Okta configureren als een id-provider

1. Meld u aan bij de Okta-portal met API Access Management Beheer istrator.
2. Maak een nieuwe Okta API Services-toepassing.
3. Ga in de Beheer Console naar Toepassingen.
4. Selecteer API Services op de pagina Een nieuwe app-integratie maken.
5. Voer een naam in voor de integratie van uw app en klik op Opslaan.
6. Kopieer de client-id voor toekomstig gebruik.
7. Klik in de sectie Clientreferenties van het tabblad Algemeen op Bewerken om de clientverificatiemethode te wijzigen.
8. Selecteer Openbare sleutel/persoonlijke sleutel als de clientverificatiemethode.
9. Laat de standaardsleutels opslaan in Okta staan en klik vervolgens op Sleutel toevoegen.
10. Klik op Toevoegen en klik in het dialoogvenster Een openbare sleutel toevoegen uw eigen openbare sleutel of klik op Nieuwe sleutel genereren om een nieuwe 2048-bits RSA-sleutel automatisch te genereren.
11. Kopieer de id van de openbare sleutel voor toekomstig gebruik.
12. Klik op Nieuwe sleutel genereren en de openbare en persoonlijke sleutels worden weergegeven in JWK-indeling.
13. Klik op PEM. De persoonlijke sleutel wordt weergegeven in PEM-indeling. Dit is de enige mogelijkheid om de persoonlijke sleutel op te slaan. Klik op Kopiëren naar klembord om de persoonlijke sleutel te kopiëren en ergens veilig op te slaan.
14. Klik op Gereed. De nieuwe openbare sleutel is nu geregistreerd bij de app en wordt weergegeven in een tabel in de sectie OPENBARE SLEUTELS van het tabblad Algemeen .
15. Op het tabblad Okta API-bereiken kunt u deze bereiken verlenen:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Optioneel. Klik op het tabblad Frequentielimieten van toepassingen om het percentage snelheidslimieten voor deze servicetoepassing aan te passen. Standaard stelt elke nieuwe toepassing dit percentage in op 50 procent.

Openbare sleutel converteren naar een Base64-tekenreeks

1. Zie de instructies voor het gebruik van een persoonlijk toegangstoken (PAT).

Zoek uw Okta-URL (ook wel een Okta-domein genoemd)

Dit Okta URL/Okta-domein wordt opgeslagen in het AWS-geheim.

1. Meld u aan bij uw Okta-organisatie met uw beheerdersaccount.
2. Zoek naar het Okta-URL-/Okta-domein in de globale header van het dashboard. Noteer de Okta-URL in een app, zoals Kladblok. U hebt deze URL nodig voor de volgende stappen.

AWS-stackdetails configureren

1. Vul de volgende velden in op het scherm CloudFormation Template Specify stack details using the information from your Okta application:
   • Stacknaam - Een naam van onze keuze
   • Of URL de Okta-URL van uw organisatie, bijvoorbeeld: https://companyname.okta.com
   • Client-id - Vanuit de sectie Clientreferenties van uw Okta-toepassing
   • Openbare-sleutel-id : klik op Nieuwe sleutel genereren toevoegen>. De openbare sleutel wordt gegenereerd
   • Persoonlijke sleutel (in PEM-indeling) - Met Base64 gecodeerde tekenreeks van de PEM-indeling van de persoonlijke sleutel

   Notitie

   U moet alle tekst in het veld kopiëren voordat u converteert naar een Base64-tekenreeks, inclusief het streepje voor BEGIN PRIVATE KEY en na END PRIVATE KEY.

2. Wanneer het scherm Details van de stack opgeven is voltooid, klikt u op Volgende.
3. Klik in het scherm Stackopties configureren op Volgende.
4. Controleer de gegevens die u hebt ingevoerd en klik vervolgens op Verzenden.
5. Selecteer het tabblad Resources en kopieer vervolgens de fysieke id (deze id is de geheime ARN) voor toekomstig gebruik.

Okta configureren in Microsoft Entra-machtigingsbeheer

Notitie

De integratie van Okta als id-provider is een optionele stap. U kunt op elk gewenst moment terugkeren naar deze stappen om een IdP te configureren.

1. Als het dashboard Gegevensverzamelaars niet wordt weergegeven wanneer Machtigingenbeheer wordt gestart, selecteert u Instellingen (tandwielpictogram) en selecteert u vervolgens het subtabblad Gegevensverzamelaars.

2. Selecteer AWS op het dashboard Gegevensverzamelaars en selecteer vervolgens Configuratie maken. Voer de stappen voor het beheerautorisatiesysteem uit.

   Notitie

   Als er al een Data Collector bestaat in uw AWS-account en u Okta-integratie wilt toevoegen, voert u de volgende stappen uit:

   1. Selecteer de Gegevensverzamelaar waarvoor u Okta-integratie wilt toevoegen.
   2. Klik op het beletselteken naast de status van het autorisatiesysteem.
   3. Selecteer Id-provider integreren.

3. Schakel op de pagina IdP (Integrate Identity Provider) het vakje voor Okta in.

4. Selecteer CloudFormation-sjabloon starten. De sjabloon wordt geopend in een nieuw venster.

   Notitie

   Hier vult u informatie in om een geheime Amazon Resource Name (ARN) te maken die u op de pagina IdP (Integrate Identity Provider) invoert. Microsoft leest of slaat deze ARN niet op.

5. Ga terug naar de pagina Permissions Management Integrate Identity Provider (IdP) en plak de Secret ARN in het opgegeven veld.

6. Klik op Volgende om de gegevens die u hebt ingevoerd te controleren en te bevestigen.

7. Klik op Nu verifiëren en opslaan. Het systeem retourneert de ingevulde AWS CloudFormation-sjabloon.

Volgende stappen

• Zie Rollen/beleid, aanvragen en machtigingen weergeven in het dashboard Herstel voor meer informatie over het weergeven van bestaande rollen/beleid, aanvragen en machtigingen.