Konfigurera Okta som identitetsprovider (förhandsversion)

Den här artikeln beskriver hur du integrerar Okta som identitetsprovider (IdP) för ett Amazon Web Services-konto (AWS) i Microsoft Entra – behörighetshantering.

Behörigheter som krävs:

Konto	Behörigheter som krävs	Varför?
Behörighetshantering	Administratör för behörighetshantering	Administratören kan skapa och redigera AWS-auktoriseringssystemets registreringskonfiguration.
Okta	ADMINISTRATÖR FÖR API-åtkomsthantering	Administratören kan lägga till programmet i Okta-portalen och lägga till eller redigera API-omfånget.
AWS	AWS-behörigheter explicit	Administratören bör kunna köra cloudformation-stacken för att skapa 1. AWS Secret in Secrets Manager; 2. Hanterad princip så att rollen kan läsa AWS-hemligheten.

Kommentar

När du konfigurerar Amazon Web Services-appen (AWS) i Okta är den föreslagna syntaxen för AWS-rollgruppen (aws#{account alias]#{role name}#{account #]). RegEx-exempelmönstret för gruppfilternamnet är:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Behörighetshantering läser standardförslagsfilter. Det anpassade RegEx-uttrycket för gruppsyntax stöds inte.

Så här konfigurerar du Okta som identitetsprovider

1. Logga in på Okta-portalen med API Access Management Administrator.
2. Skapa ett nytt Okta API Services-program.
3. I administratörskonsolen går du till Program.
4. På sidan Skapa en ny appintegrering väljer du API Services.
5. Ange ett namn för appintegrering och klicka på Spara.
6. Kopiera klient-ID :t för framtida användning.
7. I avsnittet Klientautentiseringsuppgifter på fliken Allmänt klickar du på Redigera för att ändra metoden för klientautentisering.
8. Välj Offentlig nyckel/Privat nyckel som klientautentiseringsmetod.
9. Lämna standardtangenterna Spara i Okta och klicka sedan på Lägg till nyckel.
10. Klicka på Lägg till och i dialogrutan Lägg till en offentlig nyckel klistrar du antingen in din egen offentliga nyckel eller klickar på Generera ny nyckel för att generera en ny 2048-bitars RSA-nyckel automatiskt.
11. Kopiera offentligt nyckel-ID för framtida användning.
12. Klicka på Generera ny nyckel så visas de offentliga och privata nycklarna i JWK-format.
13. Klicka på PEM. Den privata nyckeln visas i PEM-format. Det här är din enda möjlighet att spara den privata nyckeln. Klicka på Kopiera till Urklipp för att kopiera den privata nyckeln och lagra den på ett säkert ställe.
14. Klicka på Klart. Den nya offentliga nyckeln är nu registrerad i appen och visas i en tabell i avsnittet OFFENTLIGA NYCKLAR på fliken Allmänt .
15. På fliken Okta API-omfång beviljar du följande omfång:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Valfritt. Klicka på fliken Programfrekvensbegränsningar för att justera kapacitetsprocenten för hastighetsbegränsning för det här tjänstprogrammet. Som standard anger varje nytt program den här procentandelen till 50 procent.

Konvertera offentlig nyckel till en Base64-sträng

1. Se anvisningarna för att använda en personlig åtkomsttoken (PAT).

Hitta din Okta-URL (kallas även en Okta-domän)

Den här Okta-URL:en/Okta-domänen sparas i AWS-hemligheten.

1. Logga in på din Okta-organisation med ditt administratörskonto.
2. Leta efter Okta URL/Okta-domänen i den globala rubriken på instrumentpanelen. När okta-URL:en har hittats i en app, till exempel Anteckningar. Du behöver den här URL:en för nästa steg.

Konfigurera AWS-stackinformation

1. Fyll i följande fält på skärmen CloudFormation Template Specify stack details (Ange stackinformation ) med hjälp av informationen från ditt Okta-program:
   • Stacknamn – ett namn som vi väljer
   • Eller URL Din organisations Okta-URL, exempel: https://companyname.okta.com
   • Klient-ID – Från avsnittet Klientautentiseringsuppgifter i ditt Okta-program
   • Offentligt nyckel-ID – Klicka på Lägg till > Generera ny nyckel. Den offentliga nyckeln genereras
   • Privat nyckel (i PEM-format) – Base64-kodad sträng i PEM-formatet för den privata nyckeln

   Kommentar

   Du måste kopiera all text i fältet innan du konverterar till en Base64-sträng, inklusive strecket före BEGIN PRIVATE KEY och after END PRIVATE KEY.

2. När cloudformation-mallen Ange stackinformationsskärmen är klar klickar du på Nästa.
3. På skärmen Konfigurera stackalternativ klickar du på Nästa.
4. Granska den information som du har angett och klicka sedan på Skicka.
5. Välj fliken Resurser och kopiera sedan det fysiska ID:t (det här ID:t är den hemliga ARN:en) för framtida användning.

Konfigurera Okta i Microsoft Entra – behörighetshantering

Kommentar

Att integrera Okta som identitetsprovider är ett valfritt steg. Du kan gå tillbaka till de här stegen för att konfigurera en IdP när som helst.

1. Om instrumentpanelen Datainsamlare inte visas när Behörighetshantering startas väljer du Inställningar (kugghjulsikon) och väljer sedan underfliken Datainsamlare.

2. På instrumentpanelen Datainsamlare väljer du AWS och sedan Skapa konfiguration. Slutför stegen för att hantera auktoriseringssystem .

   Kommentar

   Om det redan finns en datainsamlare i ditt AWS-konto och du vill lägga till Okta-integrering följer du dessa steg:

   1. Välj den datainsamlare som du vill lägga till Okta-integrering för.
   2. Klicka på ellipsen bredvid Status för auktoriseringssystem.
   3. Välj Integrera identitetsprovider.

3. På sidan Integrera identitetsprovider (IdP) väljer du rutan för Okta.

4. Välj Starta CloudFormation-mall. Mallen öppnas i ett nytt fönster.

   Kommentar

   Här fyller du i information för att skapa ett hemligt Amazon Resource Name (ARN) som du anger på sidan Integrera identitetsprovider (IdP). Microsoft läser eller lagrar inte denna ARN.

5. Gå tillbaka till sidan Behörighetshantering Integrera identitetsprovider (IdP) och klistra in den hemliga ARN :en i det angivna fältet.

6. Klicka på Nästa för att granska och bekräfta den information som du har angett.

7. Klicka på Verifiera nu och spara. Systemet returnerar den ifyllda AWS CloudFormation-mallen.

Nästa steg

• Information om hur du visar befintliga roller/principer, begäranden och behörigheter finns i Visa roller/principer, begäranden och behörigheter på instrumentpanelen Reparation.