Configurar o Okta como um provedor de identidade (versão prévia)
Este artigo descreve como integrar o Okta como um IdP (provedor de identidade) para uma conta do AWS (Amazon Web Services) no Gerenciamento de Permissões do Microsoft Entra.
Permissões necessárias:
Conta | Permissões Necessárias | Por quê? |
---|---|---|
Gerenciamento de permissões | Administrador de Gerenciamento de Permissões | O administrador pode criar e editar a configuração de integração do sistema de autorização do AWS. |
Okta | Administrador de Gerenciamento de Acesso à API | O administrador pode adicionar o aplicativo no portal do Okta e adicionar ou editar o escopo da API. |
AWS | Permissões do AWS explicitamente | O administrador deve ser capaz de executar a pilha de cloudformation para criar 1. Segredo do AWS no Gerenciador de Segredos; 2. Política gerenciada para permitir que a função leia o segredo do AWS. |
Observação
Ao configurar o aplicativo AWS (Amazon Web Services) no Okta, a sintaxe sugerida do grupo de funções do AWS é (aws#{account alias]#{role name}#{account #]
).
O padrão RegEx de exemplo para o nome do filtro de grupo é:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
O Gerenciamento de Permissões lê os filtros sugeridos padrão. Não há suporte para a expressão RegEx personalizada para sintaxe de grupo.
Como configurar o Okta como um provedor de identidade
- Faça logon no portal do Okta com o Administrador de Gerenciamento de Acesso à API.
- Crie um novo aplicativo de Serviços de API do Okta.
- No Console de Administração, vá para Aplicativos.
- Na página Criar uma nova integração de aplicativos, selecione Serviços de API.
- Insira um nome para a integração do aplicativo e clique em Salvar.
- Copie a ID do cliente para uso futuro.
- Na seção Credenciais do Cliente da guia Geral, clique em Editar para alterar o método de autenticação do cliente.
- Selecione chave pública/chave privada como o método de autenticação do cliente.
- Deixe o padrão Salvar chaves no Okta e clique em Adicionar chave.
- Clique em Adicionar e, na caixa de diálogo Adicionar uma chave pública, cole sua própria chave pública ou clique em Gerar nova chave para gerar automaticamente uma nova chave RSA de 2048 bits.
- Copie a ID da Chave Pública para uso futuro.
- Clique em Gerar nova chave e as chaves públicas e privadas aparecem no formato JWK.
- Clique em PEM. A chave privada aparece no formato PEM. Esta é sua única oportunidade de salvar a chave privada. Clique em Copiar para a área de transferência para copiar a chave privada e armazená-la em algum lugar seguro.
- Clique em Concluído. A nova chave pública agora está registrada no aplicativo e aparece em uma tabela na seção CHAVES PÚBLICAS da guia Geral.
- Na guia Escopos da API de Okta, conceda estes escopos:
- okta.users.read
- okta.groups.read
- okta.apps.read
- Opcional. Clique na guia Limites de taxa de aplicativo para ajustar o percentual de capacidade de limite de taxa para este aplicativo de serviço. Por padrão, cada novo aplicativo define essa porcentagem em 50%.
Converter chave pública em uma cadeia de caracteres Base64
- Consulte as instruções para usar um PAT (token de acesso pessoal).
Localize a URL do Okta (também chamada de domínio Okta)
Esse domínio de URL/Okta do Okta é salvo no segredo do AWS.
- Entre em sua organização Okta com sua conta de administrador.
- Procure o domínio da URL do Okta/Okta no cabeçalho global do painel. Depois de localizado, anote a URL do Okta em um aplicativo como o Bloco de Notas. Você precisará dessa URL para as próximas etapas.
Configurar detalhes da pilha do AWS
- Preencha os seguintes campos na ¿tela Especificar detalhes da pilha do Modelo de CloudFormation usando as informações do aplicativo Okta:
- Nome da pilha – um nome de nossa escolha
- Ou URL O URL do Okta de sua organização, exemplo: https://companyname.okta.com
- ID do cliente – Na seção Credenciais do Cliente do aplicativo Okta
- ID da Chave Pública – Clique em Adicionar > Gerar nova chave. A chave pública é gerada
- Chave Privada (no formato PEM) – cadeia de caracteres codificada em Base64 do formato PEM da chave privada
Observação
Você deve copiar todo o texto no campo antes de converter em uma cadeia de caracteres Base64, incluindo o traço antes de BEGIN PRIVATE KEY e depois de END PRIVATE KEY.
- Quando a tela Especificar detalhes da pilha do Modelo de CloudFormation estiver concluída, clique em Avançar.
- Na tela Configurar opções de pilha, clique em Avançar.
- Examine as informações inseridas e clique em Enviar.
- Selecione a guia Recursos e copie a ID Física (essa ID é o Segredo do ARN) para uso futuro.
Configurar o Okta no Gerenciamento de Permissões do Microsoft Entra
Observação
A integração do Okta como um provedor de identidade é uma etapa opcional. Você pode retornar a essas etapas para configurar um IdP a qualquer momento.
Se o painel Coletores de Dados não for exibido quando o Gerenciamento de Permissões for iniciado, selecione Configurações (ícone de engrenagem) e, em seguida, selecione a subguia Coletores de Dados.
No painel Coletores de Dados, selecione AWS e escolha Criar configuração. Conclua as etapas Gerenciar Sistema de Autorização.
Observação
Se já existir um Coletor de Dados em sua conta do AWS e você quiser adicionar a integração do Okta, siga estas etapas:
- Selecione o Coletor de Dados para o qual você deseja adicionar a integração do Okta.
- Clique nas reticências ao lado do Status do Sistema de Autorização.
- Selecione Integrar Provedor de Identidade.
Na página Integrar Provedor de Identidade (IdP), selecione a caixa para Okta.
Selecione Iniciar Modelo de CloudFormation. O modelo é aberto em uma nova janela.
Observação
Aqui você preencherá informações para criar um ARN (Nome de Recurso da Amazon) secreto que você inserirá na página Integrar Provedor de Identidade (IdP). A Microsoft não lê ou armazena este ARN.
Retorne à página Gerenciamento de Permissões IdP (provedor de identidade) e cole o do ARN Secreto no campo fornecido.
Clique em Avançar para examinar e confirmar as informações inseridas.
Clique em Verificar agora e salvar. O sistema retorna o modelo de CloudFormation do AWS populado.
Próximas etapas
- Para obter informações sobre como visualizar funções/políticas, solicitações e permissões existentes, confira Visualizar funções/políticas, solicitações e permissões no painel Correção.