通过

将 Okta 配置为标识提供者(预览版)

注释

自 2025 年 4 月 1 日起,Microsoft Entra Permissions Management 将不再可供购买,2025 年 10 月 1 日我们将停止支持并退役该产品。 可在此处找到详细信息。

本文介绍如何将 Okta 作为 Amazon Web Services (AWS) 帐户的标识提供者(IdP)集成到 Microsoft Entra 权限管理中。

所需的权限:

帐户 所需的权限 为什么?
权限管理 权限管理管理员 管理员可以创建和编辑 AWS 授权系统载入配置。
Okta API 访问管理管理员 管理员可以在 Okta 门户中添加应用程序,并添加或编辑 API 范围。
AWS AWS 显式权限 管理员应能够运行 cloudformation 堆栈来创建 1。 机密管理器中的 AWS 机密;2. 允许角色读取 AWS 机密的托管策略。

注释

在 Okta 中配置 Amazon Web Services (AWS) 应用时,建议的 AWS 角色组语法为 (aws#{account alias]#{role name}#{account #])。 组筛选器名称的示例正则表达式模式为:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)权限管理读取默认的建议筛选器。 不支持组语法的自定义正则表达式。

如何将 Okta 配置为标识提供者

  1. 使用 API 访问管理管理员登录到 Okta 门户。
  2. 创建新的 Okta API 服务应用程序
  3. 在管理控制台中,转到“应用程序”。
  4. 在“创建新应用集成”页上,选择 “API 服务”。
  5. 输入应用集成的名称,然后单击“ 保存”。
  6. 复制 客户端 ID 以供将来使用。
  7. 在“常规”选项卡的“ 客户端凭据 ”部分中,单击“ 编辑 ”以更改客户端身份验证方法。
  8. 选择 公钥/私钥 作为客户端身份验证方法。
  9. Okta 中保留默认的保存密钥,然后单击“ 添加密钥”。
  10. 单击“ 添加 ”,然后在“ 添加公钥 ”对话框中粘贴自己的公钥,或单击“ 生成新密钥 ”以自动生成新的 2048 位 RSA 密钥。
  11. 复制 公钥 ID 供将来使用。
  12. 单击“ 生成新密钥 ”,公钥和私钥以 JWK 格式显示。
  13. 单击 PEM。 私钥以 PEM 格式显示。 这是保存私钥的唯一机会。 单击“ 复制到剪贴板 ”以复制私钥并将其存储在安全的位置。
  14. 单击“完成”。 新的公钥现已注册到应用,并显示在“常规”选项卡的“公钥”部分中的表中。
  15. 在“Okta API 范围”选项卡中,授予以下范围:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. 可选。 单击 “应用程序速率限制 ”选项卡可调整此服务应用程序的速率限制容量百分比。 默认情况下,每个新应用程序将此百分比设置为 50%。

将公钥转换为 Base64 字符串

  1. 请参阅 有关使用个人访问令牌(PAT)的说明。

查找你的 Okta URL(也称为 Okta 域)

此 Okta URL/Okta 域保存在 AWS 机密中。

  1. 使用管理员帐户登录到 Okta 组织。
  2. 请在仪表板的全局标头中查找 Okta 的 URL 或域名。 找到后,在记事本等应用中记下 Okta URL。 后续步骤需要此 URL。

配置 AWS 堆栈详细信息

  1. 使用 Okta 应用程序中的信息填写 CloudFormation 模板“指定堆栈详细信息 ”屏幕上的以下字段:
    • 堆栈名称 - 选择的名称
    • 或 URL:你的组织的 Okta URL,例如:https://companyname.okta.com
    • 客户端 ID - 从 Okta 应用程序的 “客户端凭据 ”部分
    • 公钥 ID - 单击“ 添加 > 生成新密钥”。 生成公钥
    • 私钥(采用 PEM 格式) - 私钥的 PEM 格式的 Base64 编码字符串

    注释

    在转换为 Base64 字符串之前,必须复制字段中的所有文本,包括 BEGIN 私钥之前的短划线和 END 私钥之后的短划线。

  2. CloudFormation 模板“指定堆栈详细信息”屏幕完成后,单击“下一步”。
  3. 在“ 配置堆栈选项 ”屏幕上,单击“ 下一步”。
  4. 查看输入的信息,然后单击“ 提交”。
  5. 选择“ 资源 ”选项卡,然后复制 物理 ID (此 ID 是机密 ARN),以供将来使用。

在 Microsoft Entra 权限管理中配置 Okta

注释

将 Okta 作为标识提供者集成是一个可选步骤。 可以随时返回这些步骤以配置 IdP。

  1. 如果在权限管理启动时未显示 数据收集器 仪表板,请选择 “设置” (齿轮图标),然后选择 “数据收集器” 子选项卡。

  2. 在“数据收集器”仪表板中,选择“AWS”,然后选择“创建配置”。 完成 “管理授权系统 ”步骤。

    注释

    如果 AWS 帐户中已存在数据收集器并想要添加 Okta 集成,请执行以下步骤:

    1. 选择要为其添加 Okta 集成的数据收集器。
    2. 单击 授权系统状态旁边的省略号。
    3. 选择“集成标识提供者”。

  3. “集成标识提供者”(IdP) 页上,选择 Okta 选项。

  4. 选择 “启动 CloudFormation 模板”。 模板将在新窗口中打开。

    注释

    在这里,你将填写信息以创建将在 “集成标识提供者”(IdP) 页上输入的机密 Amazon 资源名称(ARN)。 Microsoft不读取或存储此 ARN。

  5. 返回权限管理“集成标识提供者(IdP)”页面,并将“机密 ARN”粘贴到提供的字段中。

  6. 单击“ 下一步 ”查看并确认输入的信息。

  7. 单击“ 立即验证”并保存。 系统返回填充的 AWS CloudFormation 模板。

后续步骤