分享方式:

將 Okta 設定為識別提供者 (預覽)

  • 文章

本文描述如何在 Microsoft Entra 權限管理中將 Okta 整合為 Amazon Web Services (AWS) 帳戶的識別提供者 (IdP)。

需要的權限:

帳戶 必要的使用權限 為什麼呢?
權限管理 權限管理系統管理員 管理員可以建立和編輯 AWS 授權系統上線設定。
Okta API 存取管理管理員 管理員可以在 Okta 入口網站中新增應用程式,並新增或編輯 API 範圍。
AWS AWS 權限明確性 管理員應該能夠執行雲端格式堆疊來建立 1. 袐密管理員中的 AWS 袐密;2. 受控原則會允許角色讀取 AWS 袐密。

注意

在 Okta 中設定 Amazon Web Services (AWS) 應用程式時,建議的 AWS 角色群組語法為 (aws#{account alias]#{role name}#{account #])。 群組篩選名稱的範例 RegEx 模式如下:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) 權限管理會讀取預設的建議篩選。 不支援群組語法的自訂 RegEx 運算式。

如何將 Okta 設定為識別提供者

  1. 使用 API 存取管理管理員登入 Okta 入口網站。
  2. 建立新的 Okta API Services 應用程式
  3. 在管理控制台中,移至 [應用程式]。
  4. 在 [建立新的應用程式整合] 頁面上,選取 [API 服務]
  5. 輸入應用程式整合的名稱,然後按一下 [儲存]
  6. 複製用戶端識別碼供日後使用。
  7. 在 [一般] 索引標籤的 [用戶端認證] 區段中,按一下 [編輯] 以變更用戶端驗證方法。
  8. 選取 [公開金鑰/私密金鑰] 作為 [用戶端驗證方法]。
  9. 保留預設值 [在 Okta 中儲存金鑰],然後按一下 [新增金鑰]
  10. 按一下 [新增],然後在 [新增公開金鑰] 對話方塊中貼上您自己的公開金鑰,或按一下 [產生新金鑰] 來自動產生新的 2048 位元 RSA 金鑰。
  11. 複製公開金鑰識別碼供日後使用。
  12. 按一下 [產生新金鑰],而公開和私密金鑰會以 JWK 格式顯示。
  13. 按一下 [PEM]。 私密金鑰會以 PEM 格式顯示。 這是您儲存私密金鑰的唯一機會。 按一下 [複製到剪貼簿] 以複製私密金鑰,並將它儲存在安全的地方。
  14. 按一下完成。 新的公開金鑰現在已向應用程式註冊,並出現在 [一般] 索引標籤的 [公開金鑰] 區段中的資料表中。
  15. 從 [Okta API 範圍] 索引標籤,授與這些範圍:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. 選擇性。 按一下 [應用程式速率限制] 索引標籤,調整此服務應用程式的速率限制容量百分比。 根據預設,每個新的應用程式都會將此百分比設定為 50%。

將公開金鑰轉換為 Base64 字串

  1. 請參閱使用個人存取權杖 (PAT) 的指示。

尋找您的 Okta URL (也稱為 Okta 網域)

此 Okta URL/Okta 網域會儲存在 AWS 袐密中。

  1. 使用管理員帳戶登入您的 Okta 組織。
  2. 在儀表板的全域標頭中尋找 Okta URL/Okta 網域。 找到之後,請在應用程式中 (例如記事本) 記下 Okta URL。 後續步驟將需要此 URL。

設定 AWS 堆疊詳細資料

  1. 使用六自 Okta 應用程式的資訊,在 CloudFormation 範本 [指定堆疊詳細資料] 畫面上填入下列欄位:
    • 堆疊名稱 - 我們選擇的名稱
    • 或 URL 您的組織的 Okta URL,例如:https://companyname.okta.com
    • 用戶端識別碼 - 從 Okta 應用程式的 [用戶端認證] 區段
    • 公開金鑰識別碼 - 按一下 [新增]> [產生新金鑰]。 公開金鑰隨即會產生
    • 私密金鑰 (PEM 格式) - 私密金鑰 PEM 格式的 Base64 編碼字串

    注意

    轉換為 Base64 字串之前,您必須先複製欄位中的所有文字,包括 BEGIN PRIVATE KEY 之前和 END PRIVATE KEY 之後的虛線。

  2. CloudFormation 範本 [指定堆疊詳細資料] 畫面完成時,按 [下一步]
  3. 在 [設定堆疊選項] 畫面上,按 [下一步]
  4. 檢閱您輸入的資訊,然後按一下 [提交]
  5. 選取 [資源] 索引標籤,然後複製實體識別碼 (此識別碼是袐密 ARN),供日後使用。

在 Microsoft Entra 權限管理中設定 Okta

注意

將 Okta 整合為識別提供者是選用的步驟。 您可以隨時回到這些步驟以設定 IdP。

  1. 如果 [資料收集器] 儀表板未在 [權限管理] 啟動時顯示,請選取 [設定] (齒輪圖示),然後選取 [資料收集器] 子索引標籤。

  2. 在 [資料收集器] 儀表板上,選取 [AWS],然後選取 [建立設定]。 完成管理授權系統步驟。

    注意

    如果 AWS 帳戶中已經有資料收集器,而且您想要新增 Okta 整合,請遵循下列步驟:

    1. 選取您要新增 Okta 整合的資料收集器。
    2. 按一下 [授權系統狀態] 旁的省略符號。
    3. 選取 [整合識別提供者]

  3. 在 [整合識別提供者 (IdP)] 頁面上,選取 Okta 的方塊。

  4. 選取 [啟動 CloudFormation 範本]。 範本會在新的視窗中開啟。

    注意

    在這裡,您將填寫資訊,以建立您將在整合識別提供者 (IdP) 頁面上輸入的袐密 Amazon 資源名稱 (ARN)。 Microsoft 不會讀取或儲存此 ARN。

  5. 返回權限管理 [整合識別提供者 (IdP)] 頁面,並在提供的欄位中貼上袐密 ARN

  6. 按 [下一步] 以檢閱並確認您已輸入的資訊。

  7. 按一下 [立即驗證並儲存]。 系統隨即會傳回填入的 AWS CloudFormation 範本。

下一步