Phenquestions
Galalietotāji var izmantot SAML SSO, lai autentificētos vienā vai vairākos AWS kontos un iegūtu piekļuvi noteiktām pozīcijām, pateicoties Okta integrācijai ar AWS. Okta administratori var lejupielādēt lomas Okta no viena vai vairākiem AWS un piešķirt tās lietotājiem. Turklāt Okta administratori var arī iestatīt autentificēta lietotāja sesijas ilgumu, izmantojot Okta. Galalietotājiem tiek nodrošināti AWS ekrāni ar AWS lietotāju lomu sarakstu. Viņi var izvēlēties uzņemties pieteikšanās lomu, kas noteiks viņu atļaujas šīs autentificētās sesijas ilgumam.
Lai Okta pievienotu vienu AWS kontu, izpildiet tālāk sniegtos norādījumus
Okta konfigurēšana kā identitātes nodrošinātājs:
Pirmkārt, jums ir jākonfigurē Okta kā identitātes nodrošinātājs un jāizveido SAML savienojums. Piesakieties savā AWS konsolē un nolaižamajā izvēlnē atlasiet opciju “Identitātes un piekļuves pārvaldība”. Izvēlņu joslā atveriet “Identity Providers” un izveidojiet jaunu identitātes nodrošinātāju instanci, noklikšķinot uz “Add Provider.”Parādīsies jauns ekrāns, kas tiek dēvēts par ekrānu Configure Provider.
Šeit kā “Provider Type” atlasiet “SAML”, kā “Provider name” ievadiet “Okta” un augšupielādējiet metadatu dokumentu, kurā ir šāda rinda:
Kad esat pabeidzis identitātes nodrošinātāja konfigurēšanu, dodieties uz identitātes nodrošinātāju sarakstu un nokopējiet tikko izveidotā identitātes nodrošinātāja vērtību “Provider ARN”.
Identitātes nodrošinātāja pievienošana kā uzticamu avotu:
Pēc Okta konfigurēšanas kā identitātes nodrošinātāju, kuru Okta var izgūt un piešķirt lietotājiem, varat izveidot vai atjaunināt esošās IAM pozīcijas. Okta SSO var piedāvāt lietotājiem tikai konfigurētas lomas, kas piešķirtas piekļuvei iepriekš instalētajam Okta SAML identitātes nodrošinātājam.
Lai piešķirtu piekļuvi jau esošajām kontā esošajām lomām, izvēlņu joslas opcijā “Lomas” vispirms izvēlieties lomu, kuru vēlaties izmantot Okta SSO. Rediģējiet šīs lomas “Uzticamības attiecības” cilnē Teksta attiecības. Lai atļautu SSO SSTA izmantot iepriekš konfigurēto SAML identitātes nodrošinātāju, jums jāmaina IAM uzticamības attiecību politika. Ja jūsu politika ir tukša, ierakstiet šo kodu un pārrakstiet
Pretējā gadījumā vienkārši rediģējiet jau uzrakstīto dokumentu. Gadījumā, ja vēlaties piešķirt piekļuvi jaunai lomai, cilnē Lomas dodieties uz sadaļu Izveidot lomu. Uzticamās entītijas tipam izmantojiet SAML 2.0 federācija. Pārejiet uz atļauju pēc tam, kad esat izvēlējies IDP kā SAML nodrošinātāju, t.e., Okta, un atļaujot piekļuvi pārvaldībai un programmatiskai kontrolei. Atlasiet politiku, kas jāpiešķir šai jaunajai lomai, un pabeidziet konfigurēšanu.
API piekļuves atslēgas ģenerēšana Okta lomu lejupielādei:
Lai Okta no jūsu konta automātiski importētu iespējamo lomu sarakstu, izveidojiet AWS lietotāju ar unikālām atļaujām. Tādējādi administratoriem ir ātri un droši deleģēt lietotājus un grupas noteiktām AWS lomām. Lai to izdarītu, vispirms konsolē atlasiet IAM. Šajā sarakstā šajā panelī noklikšķiniet uz Lietotāji un Pievienot lietotāju.
Pēc lietotāja vārda pievienošanas un programmatiskās piekļuves piešķiršanas noklikšķiniet uz Atļaujas. Izveidot politiku pēc tam, kad esat atlasījis opciju “Pievienot politikas” un noklikšķiniet uz “Izveidot politiku.”Pievienojiet tālāk norādīto kodu, un jūsu politikas dokuments izskatīsies šādi:
Ja nepieciešams, skatiet AWS dokumentāciju. Ievadiet vēlamo politikas nosaukumu. Atgriezieties cilnē Pievienot lietotāju un pievienojiet tam nesen izveidoto politiku. Meklējiet un izvēlieties tikko izveidoto politiku. Tagad saglabājiet parādītos taustiņus, t.e., Piekļuves atslēgas ID un slepenās piekļuves atslēga.
AWS konta apvienošanas konfigurēšana:
Pabeidzot visas iepriekš minētās darbības, atveriet AWS kontu apvienošanas lietotni un mainiet dažus noklusējuma iestatījumus Okta. Cilnē Pierakstīties rediģējiet vides veidu. ACS URL var iestatīt ACS URL apgabalā. Parasti ACS URL apgabals nav obligāts; jums tas nav jāievieto, ja jūsu vides tips jau ir norādīts. Ievadiet identitātes nodrošinātāja Provider ARN vērtību, kuru esat izveidojis, konfigurējot Okta, un norādiet arī sesijas ilgumu. Apvienojiet visas pieejamās lomas, kas piešķirtas jebkuram, noklikšķinot uz opcijas Pievienoties visām lomām.
Pēc visu šo izmaiņu saglabāšanas, lūdzu, izvēlieties nākamo cilni, t.e., Cilne Nodrošināšana un rediģējiet tās specifikācijas. Lietotņu AWS kontu apvienošana integrācija neatbalsta nodrošināšanu. Nodrošiniet API piekļuvi Okta, lai lejupielādētu lietotāju piešķiršanas laikā izmantoto AWS lomu sarakstu, iespējojot API integrāciju. Ievadiet atslēgu vērtības, kuras esat saglabājis pēc piekļuves atslēgu ģenerēšanas attiecīgajos laukos. Norādiet visu saistīto kontu ID un pārbaudiet API akreditācijas datus, noklikšķinot uz opcijas Pārbaudīt API akreditācijas datus.
Izveidojiet lietotājus un mainiet konta atribūtus, lai atjauninātu visas funkcijas un atļaujas. Tagad ekrānā Piešķirt cilvēkus atlasiet testa lietotāju, kurš pārbaudīs SAML savienojumu. No SAML lietotāja lomām, kas atrodamas lietotāja piešķiršanas ekrānā, atlasiet visus noteikumus, kurus vēlaties piešķirt šim testa lietotājam. Pēc piešķiršanas procesa pabeigšanas testa Okta vadības panelī tiek parādīta AWS ikona. Pēc pierakstīšanās testa lietotāja kontā noklikšķiniet uz šīs opcijas. Tiks parādīts visu jums piešķirto uzdevumu ekrāns.
Secinājums:
SAML ļauj lietotājiem izmantot vienu atļauto akreditācijas datu kopu un izveidot savienojumu ar citām tīmekļa lietotnēm un pakalpojumiem, kuros iespējota SAML, bez papildu pierakstīšanās. AWS SSO ļauj pusceļā uzraudzīt apvienotu piekļuvi dažādiem AWS ierakstiem, pakalpojumiem un lietojumprogrammām un klientiem nodrošina vienreizēju pierakstīšanās pieredzi visiem piešķirtajiem ierakstiem, pakalpojumiem un lietojumprogrammām no vienas vietas. AWS SSO strādā ar personas identitātes nodrošinātāju pēc savas izvēles, t.e., Okta vai Azure, izmantojot SAML protokolu.
