Udostępnij za pośrednictwem


Konfigurowanie usługi Okta jako dostawcy tożsamości (wersja zapoznawcza)

W tym artykule opisano sposób integracji usługi Okta jako dostawcy tożsamości dla konta usług Amazon Web Services (AWS) w Zarządzanie uprawnieniami Microsoft Entra.

Wymagane uprawnienia:

Klient Wymagane uprawnienia Dlaczego?
Zarządzanie uprawnieniami Administracja istrator zarządzania uprawnieniami Administracja może tworzyć i edytować konfigurację dołączania systemu autoryzacji platformy AWS.
Okta Administracja istrator usługi API Access Management Administracja można dodać aplikację w portalu Okta i dodać lub edytować zakres interfejsu API.
AWS Uprawnienia platformy AWS jawnie Administracja powinien być w stanie uruchomić stos cloudformation w celu utworzenia 1. Wpis tajny platformy AWS w menedżerze wpisów tajnych; 2. Zasady zarządzane umożliwiające roli odczytywanie wpisu tajnego platformy AWS.

Uwaga

Podczas konfigurowania aplikacji Amazon Web Services (AWS) w usłudze Okta sugerowana składnia grupy ról platformy AWS to (aws#{account alias]#{role name}#{account #]). Przykładowy wzorzec wyrażeń regularnych dla nazwy filtru grupy to:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Zarządzanie uprawnieniami odczytuje domyślne sugerowane filtry. Niestandardowe wyrażenie wyrażenia regex dla składni grupy nie jest obsługiwane.

Jak skonfigurować usługę Okta jako dostawcę tożsamości

  1. Zaloguj się do portalu Okta przy użyciu usługi API Access Management Administracja istrator.
  2. Utwórz nową aplikację usług API Okta.
  3. W konsoli Administracja przejdź do pozycji Aplikacje.
  4. Na stronie Tworzenie nowej integracji aplikacji wybierz pozycję Usługi interfejsu API.
  5. Wprowadź nazwę integracji aplikacji i kliknij przycisk Zapisz.
  6. Skopiuj identyfikator klienta do użycia w przyszłości.
  7. W sekcji Poświadczenia klienta na karcie Ogólne kliknij przycisk Edytuj, aby zmienić metodę uwierzytelniania klienta.
  8. Wybierz pozycję Klucz publiczny/Klucz prywatny jako metodę uwierzytelniania klienta.
  9. Pozostaw wartość domyślną Zapisz klucze w usłudze Okta, a następnie kliknij pozycję Dodaj klucz.
  10. Kliknij przycisk Dodaj i w oknie dialogowym Dodawanie klucza publicznego wklej własny klucz publiczny lub kliknij pozycję Generuj nowy klucz, aby automatycznie wygenerować nowy klucz RSA 2048-bitowy.
  11. Skopiuj identyfikator klucza publicznego do użycia w przyszłości.
  12. Kliknij pozycję Generuj nowy klucz , a klucze publiczne i prywatne są wyświetlane w formacie JWK.
  13. Kliknij pozycję PEM. Klucz prywatny jest wyświetlany w formacie PEM. Jest to jedyna okazja do zapisania klucza prywatnego. Kliknij przycisk Kopiuj do schowka , aby skopiować klucz prywatny i zapisać go w bezpiecznym miejscu.
  14. Kliknij Gotowe. Nowy klucz publiczny jest teraz zarejestrowany w aplikacji i pojawia się w tabeli w sekcji KLUCZE PUBLICZNE na karcie Ogólne .
  15. Na karcie Zakresy interfejsu API usługi Okta przyznaj następujące zakresy:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. Opcjonalny. Kliknij kartę Limity szybkości aplikacji, aby dostosować procent pojemności limitu szybkości dla tej aplikacji usługi. Domyślnie każda nowa aplikacja ustawia tę wartość procentową na 50 procent.

Konwertowanie klucza publicznego na ciąg Base64

  1. Zobacz instrukcje dotyczące korzystania z osobistego tokenu dostępu (PAT).

Znajdź adres URL usługi Okta (nazywany również domeną Okta)

Ten adres URL usługi Okta/domena Okta jest zapisywana w kluczu tajnym platformy AWS.

  1. Zaloguj się do organizacji usługi Okta przy użyciu konta administratora.
  2. Wyszukaj domenę Okta URL/Okta w nagłówku globalnym pulpitu nawigacyjnego. Po zlokalizowaniu zanotuj adres URL usługi Okta w aplikacji, na przykład Notatnik. Ten adres URL będzie potrzebny do wykonania następnych kroków.

Konfigurowanie szczegółów stosu platformy AWS

  1. Wypełnij następujące pola na ekranie Określanie szczegółów stosu w szablonie CloudFormation, korzystając z informacji z aplikacji Okta:
    • Nazwa stosu — nazwa wybranej przez nas nazwy
    • Adres URL Adresu URL usługi Okta organizacji, na przykład: https://companyname.okta.com
    • Identyfikator klienta — w sekcji Poświadczenia klienta aplikacji Okta
    • Identyfikator klucza publicznego — kliknij pozycję Dodaj > Generuj nowy klucz. Klucz publiczny jest generowany
    • Klucz prywatny (w formacie PEM) — ciąg zakodowany w formacie PEM base64 klucza prywatnego

    Uwaga

    Przed przekonwertowaniem na ciąg Base64 należy skopiować cały tekst w polu, w tym kreskę przed ROZPOCZĘCIEM KLUCZA PRYWATNEGO i po END PRIVATE KEY.

  2. Po zakończeniu pracy szablonu CloudFormation Określ szczegóły stosu kliknij przycisk Dalej.
  3. Na ekranie Konfigurowanie opcji stosu kliknij przycisk Dalej.
  4. Przejrzyj wprowadzone informacje, a następnie kliknij pozycję Prześlij.
  5. Wybierz kartę Zasoby , a następnie skopiuj identyfikator fizyczny (ten identyfikator jest kluczem tajnym ARN) do użycia w przyszłości.

Konfigurowanie usługi Okta w usłudze Zarządzanie uprawnieniami Microsoft Entra

Uwaga

Integrowanie usługi Okta jako dostawcy tożsamości jest opcjonalnym krokiem. Możesz wrócić do tych kroków, aby w dowolnym momencie skonfigurować dostawcę tożsamości.

  1. Jeśli pulpit nawigacyjny Moduły zbierające dane nie jest wyświetlany po uruchomieniu funkcji Zarządzanie uprawnieniami, wybierz pozycję Ustawienia (ikona koła zębatego), a następnie wybierz podtabę Moduły zbierające dane.

  2. Na pulpicie nawigacyjnym Moduły zbierające dane wybierz pozycję AWS, a następnie wybierz pozycję Utwórz konfigurację. Wykonaj kroki Zarządzanie systemem autoryzacji.

    Uwaga

    Jeśli moduł zbierający dane już istnieje na koncie platformy AWS i chcesz dodać integrację usługi Okta, wykonaj następujące kroki:

    1. Wybierz moduł zbierający dane, dla którego chcesz dodać integrację usługi Okta.
    2. Kliknij wielokropek obok pozycji Stan systemu autoryzacji.
    3. Wybierz pozycję Integruj dostawcę tożsamości.
  3. Na stronie Integrowanie dostawcy tożsamości (IdP) wybierz pole okta.

  4. Wybierz pozycję Uruchom szablon CloudFormation. Szablon zostanie otwarty w nowym oknie.

    Uwaga

    W tym miejscu uzupełnisz informacje, aby utworzyć tajną nazwę zasobu amazon (ARN), która zostanie wprowadzona na stronie Integrowanie dostawcy tożsamości (IdP). Firma Microsoft nie odczytuje ani nie przechowuje tej ARN.

  5. Wróć do strony Integracja dostawcy tożsamości (IdP) zarządzania uprawnieniami i wklej wpis tajny ARN w podanym polu.

  6. Kliknij przycisk Dalej , aby przejrzeć i potwierdzić wprowadzone informacje.

  7. Kliknij pozycję Weryfikuj teraz i zapisz. System zwraca wypełniony szablon platformy AWS CloudFormation.

Następne kroki