Phenquestions
Krajnji korisnici mogu koristiti SAML SSO za autentifikaciju na jedan ili više AWS računa i pristup određenim pozicijama zahvaljujući Okta integraciji s AWS-om. Administratori Okta mogu preuzeti uloge u Okta s jednog ili više AWS-a i dodijeliti ih korisnicima. Štoviše, Okta administratori mogu također postaviti duljinu ovjerene sesije korisnika pomoću Okta. Zasloni AWS koji sadrže popis korisničkih uloga AWS pružaju se krajnjim korisnicima. Oni mogu odabrati ulogu prijave koju će preuzeti, a koja će odrediti njihova dopuštenja za duljinu te ovjerene sesije.
Da biste dodali jedan AWS račun u Okta, slijedite ove upute dane u nastavku:
Konfiguriranje Okta kao pružatelja identiteta:
Prije svega, morate konfigurirati Okta kao pružatelja identiteta i uspostaviti SAML vezu. Prijavite se na svoju AWS konzolu i s padajućeg izbornika odaberite opciju „Upravljanje identitetom i pristupom“. Na traci izbornika otvorite "Davatelji identiteta" i stvorite novu instancu za davatelje identiteta klikom na "Dodaj davatelja.”Pojavit će se novi zaslon, poznat kao zaslon Konfiguriranje davatelja.
Ovdje odaberite „SAML“ kao „vrstu davatelja“, unesite „Okta“ kao „ime davatelja“ i prenesite dokument s metapodacima koji sadrži sljedeći redak:
Nakon što završite s konfiguriranjem davatelja identiteta, idite na popis davatelja identiteta i kopirajte vrijednost "Provider ARN" za davatelja identiteta koji ste upravo razvili.
Dodavanje davatelja identiteta kao pouzdanog izvora:
Nakon konfiguriranja Okta kao pružatelja identiteta kojeg Okta može dohvatiti i dodijeliti korisnicima, možete izgraditi ili ažurirati postojeće IAM pozicije. Okta SSO vašim korisnicima može ponuditi samo uloge konfigurirane za odobravanje pristupa prethodno instaliranom Okta SAML davatelju identiteta.
Da biste omogućili pristup već prisutnim ulogama na računu, prvo odaberite ulogu koju želite da Okta SSO koristi iz opcije "Uloge" na traci izbornika. Na kartici tekstualnih odnosa uredite "Trust Relationship" za tu ulogu. Da biste SSO-u u Okti omogućili upotrebu SAML davatelja identiteta kojeg ste prethodno konfigurirali, morate promijeniti IAM pravila odnosa povjerenja. Ako je pravilo prazno, napišite sljedeći kod i prepišite ga
Inače, samo uredite već napisani dokument. U slučaju da želite dati pristup novoj ulozi, idite na Stvaranje uloge na kartici Uloge. Za vrstu pouzdanog entiteta upotrijebite SAML 2.0 federacija. Pristupite dozvoli nakon što odaberete ime IDP-a kao pružatelja SAML-a, tj.e., Okta, i omogućava upravljanje i programsku kontrolu pristupa. Odaberite pravilo koje će se dodijeliti toj novoj ulozi i dovršite konfiguraciju.
Generiranje API Access ključa za Okta za preuzimanje uloga:
Da bi Okta automatski uvela popis mogućih uloga s vašeg računa, stvorite AWS korisnika s jedinstvenim dozvolama. To administratorima omogućuje brzo i sigurno delegiranje korisnika i grupa u određene AWS uloge. Da biste to učinili, prvo odaberite IAM na konzoli. Na tom popisu kliknite Korisnici i Dodaj korisnika na toj ploči.
Kliknite na Dopuštenja nakon dodavanja korisničkog imena i davanja programskog pristupa. Stvaranje pravila nakon što odaberete izravno opciju "Priloži politike" i kliknite "Izradi politiku.”Dodajte dolje navedeni kôd i vaš će dokument s pravilima izgledati ovako:
Pojedinosti potražite u dokumentaciji AWS-a ako je potrebno. Unesite željeni naziv svoje politike. Vratite se na karticu Dodaj korisnika i na nju priložite nedavno kreirano pravilo. Potražite i odaberite politiku koju ste upravo kreirali. Sada spremite prikazane tipke, tj.e., Id pristupnog ključa i tajni pristupni ključ.
Konfiguriranje federacije AWS računa:
Nakon što dovršite sve gornje korake, otvorite aplikaciju za udruživanje AWS računa i promijenite neke zadane postavke u Okta. Na kartici Prijavi se uredite vrstu svog okruženja. URL ACS-a može se postaviti u području URL-a ACS-a. Općenito, područje URL-a ACS nije obavezno; ne trebate ga umetati ako je vrsta vašeg okruženja već navedena. Unesite ARN vrijednost davatelja usluge davatelja identiteta koju ste kreirali tijekom konfiguriranja Okta i odredite trajanje sesije. Spojite sve dostupne uloge dodijeljene bilo kome klikom na opciju Pridruži se svim ulogama.
Nakon spremanja svih ovih promjena, odaberite sljedeću karticu, tj.e., Kartica za pružanje usluga i uredite njene specifikacije. Integracija aplikacije AWS Account Federation ne podržava omogućavanje. Omogućite API pristup Okta za preuzimanje popisa AWS uloga korištenih tijekom korisničkog dodjeljivanja omogućavanjem integracije API-ja. U odgovarajuća polja unesite vrijednosti ključeva koje ste spremili nakon generiranja pristupnih ključeva. Navedite ID-ove svih povezanih računa i provjerite API vjerodajnice klikom na opciju Test API vjerodajnice.
Stvorite korisnike i promijenite atribute računa da biste ažurirali sve funkcije i dozvole. Sada na ekranu Dodijeli ljude odaberite testnog korisnika koji će testirati SAML vezu. Odaberite sva pravila koja želite dodijeliti tom testnom korisniku iz uloga SAML korisnika koje se nalaze na zaslonu za dodjelu korisnika. Nakon završetka postupka dodjele, testna Oktina nadzorna ploča prikazuje ikonu AWS. Kliknite tu opciju nakon prijave na testni korisnički račun. Vidjet ćete zaslon svih zadataka koji su vam dodijeljeni.
Zaključak:
SAML omogućuje korisnicima upotrebu jednog ovlaštenog skupa vjerodajnica i povezivanje s drugim web aplikacijama i uslugama s omogućenim SAML-om bez daljnjih prijava. AWS SSO olakšava do pola nadzor nad federalnim pristupom različitim AWS zapisima, uslugama i aplikacijama i pruža klijentima iskustvo jedinstvene prijave na sve dodijeljene zapise, usluge i aplikacije s jednog mjesta. AWS SSO surađuje s pružateljem identiteta po vlastitom izboru, tj.e., Okta ili Azure putem SAML protokola.
