Configurer SAML et SCIM avec Okta et IAM Identity Center - AWS IAM Identity Center
ConsidérationsÉtape 1 : Okta: obtenez les SAML métadonnées auprès de votre Okta compteÉtape 2 : IAM Identity Center : Configuration Okta en tant que source d'identité pour IAM Identity CenterÉtape 3 : IAM Identity Center et Okta: Disposition Okta utilisateursÉtape 4 : Okta: Synchroniser les utilisateurs depuis Okta avec IAM Identity CenterTransmission d'attributs pour le contrôle d'accès - FacultatifAttribuez l'accès à Comptes AWSÉtapes suivantesRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer SAML et SCIM avec Okta et IAM Identity Center

Vous pouvez automatiquement fournir ou synchroniser les informations relatives aux utilisateurs et aux groupes à partir de Okta dans IAM Identity Center à l'aide du protocole System for Cross-domain Identity Management (SCIM) 2.0. Pour de plus amples informations, veuillez consulter Utilisation SAML et fédération SCIM d'identité avec des fournisseurs d'identité externes.

Pour configurer cette connexion dans Okta, vous utilisez votre SCIM point de terminaison pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez SCIM la synchronisation, vous créez un mappage de vos attributs utilisateur dans Okta aux attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center et votre Okta .

Okta prend en charge les fonctionnalités de provisionnement suivantes lorsqu'il est connecté à IAM Identity Center via SCIM :

  • Créer des utilisateurs : utilisateurs assignés à l'application IAM Identity Center dans Okta sont fournis dans IAM Identity Center.

  • Mettre à jour les attributs utilisateur : modifications des attributs pour les utilisateurs affectés à l'application IAM Identity Center dans Okta sont mis à jour dans IAM Identity Center.

  • Désactiver les utilisateurs : utilisateurs qui ne sont pas assignés par l'application IAM Identity Center dans Okta sont désactivés dans IAM Identity Center.

  • Push groupé — Groupes (et leurs membres) dans Okta sont synchronisés avec IAM Identity Center.

    Note

    Pour minimiser les frais administratifs dans les deux cas Okta et IAM Identity Center, nous vous recommandons d'attribuer et de transférer des groupes plutôt que des utilisateurs individuels.

Objectif

Dans ce didacticiel, vous allez découvrir comment configurer une SAML connexion avec Okta IAMCentre d'identité. Plus tard, vous synchroniserez les utilisateurs depuis Okta, en utilisantSCIM. Dans ce scénario, vous gérez tous les utilisateurs et groupes dans Okta. Les utilisateurs se connectent via le Okta portail. Pour vérifier que tout est correctement configuré, après avoir terminé les étapes de configuration, vous vous connecterez en tant que Okta utilisateur et vérifiez l'accès aux AWS ressources.

Note

Vous pouvez vous inscrire à un Okta compte (essai gratuit) qui a Okta's IAML'application Identity Center est installée. Pour payer Okta produits, vous devrez peut-être confirmer que votre Okta la licence prend en charge la gestion du cycle de vie ou des fonctionnalités similaires qui permettent le provisionnement sortant. Ces fonctionnalités peuvent être nécessaires pour configurer à SCIM partir de Okta à IAM Identity Center.

Si vous n'avez pas encore activé IAM Identity Center, consultezActivant AWS IAM Identity Center.

Considérations

  • Avant de configurer le SCIM provisionnement entre Okta et IAM Identity Center, nous vous recommandons de les consulter d'abordConsidérations relatives à l'utilisation du provisionnement automatique.

  • Chaque Okta l'utilisateur doit avoir un prénom, un nom de famille, un nom d'utilisateur et une valeur de nom d'affichage spécifiés.

  • Chaque Okta L'utilisateur n'a qu'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.

  • Lors de l'utilisation Okta avec IAM Identity Center, IAM Identity Center est généralement configuré comme une application dans Okta. Cela vous permet de configurer plusieurs instances d'IAMIdentity Center sous la forme de plusieurs applications, permettant l'accès à plusieurs AWS Organisations, au sein d'une seule instance du Okta.

  • Les droits et les attributs de rôle ne sont pas pris en charge et ne peuvent pas être synchronisés avec IAM Identity Center.

  • En utilisant le même Okta le groupe pour les devoirs et le push de groupe n'est actuellement pas pris en charge. Pour maintenir des appartenances de groupe cohérentes entre Okta et IAM Identity Center, créez un groupe distinct et configurez-le pour transférer les groupes vers IAM Identity Center.

Étape 1 : Okta: obtenez les SAML métadonnées auprès de votre Okta compte

  1. Connectez-vous au Okta admin dashboard, développez Applications, puis sélectionnez Applications.

  2. Sur la page Applications, choisissez Browse App Catalog (Parcourir le catalogue d'applications).

  3. Dans le champ de recherche, tapez AWS IAM Identity Center, sélectionnez l'application pour ajouter l'application IAM Identity Center.

  4. Sélectionnez l'onglet Se connecter.

  5. Sous SAMLSignature des certificats, sélectionnez Actions, puis Afficher les métadonnées de l'IdP. Un nouvel onglet de navigateur s'ouvre et affiche l'arborescence du document d'un XML fichier. Sélectionnez tous les éléments XML de <md:EntityDescriptor> à </md:EntityDescriptor> et copiez-les dans un fichier texte.

  6. Enregistrez le fichier texte sousmetadata.xml.

Quittez le Okta admin dashboard Ouvrez, vous continuerez à utiliser cette console dans les étapes ultérieures.

Étape 2 : IAM Identity Center : Configuration Okta en tant que source d'identité pour IAM Identity Center

  1. Ouvrez la console IAM Identity Center en tant qu'utilisateur doté de privilèges administratifs.

  2. Choisissez Paramètres dans le volet de navigation de gauche.

  3. Sur la page Paramètres, choisissez Actions, puis Modifier la source d'identité.

  4. Sous Choisir une source d'identité, sélectionnez Fournisseur d'identité externe, puis cliquez sur Suivant.

  5. Sous Configurer le fournisseur d'identité externe, procédez comme suit :

    1. Sous Métadonnées du fournisseur de services, choisissez Télécharger le fichier de métadonnées pour télécharger le fichier de métadonnées IAM Identity Center et l'enregistrer sur votre système. Vous fournirez le fichier de SAML métadonnées IAM Identity Center à Okta plus loin dans ce didacticiel.

      Copiez les éléments suivants dans un fichier texte pour y accéder facilement :

      • IAMService à la clientèle d'Identity Center Assertion (ACS) URL

      • IAMÉmetteur du centre d'identité URL

      Vous aurez besoin de ces valeurs plus loin dans ce didacticiel.

    2. Sous Métadonnées du fournisseur d'identité, sous SAMLMétadonnées IdP, sélectionnez Choisir un fichier, puis sélectionnez le metadata.xml fichier que vous avez créé à l'étape précédente.

    3. Choisissez Suivant.

  6. Après avoir lu la clause de non-responsabilité et être prêt à continuer, entrez ACCEPT.

  7. Choisissez Modifier la source d'identité.

    Laissez la AWS console ouverte, vous continuerez à l'utiliser à l'étape suivante.

  8. Retournez au Okta admin dashboard et sélectionnez l'onglet Connexion de l' AWS IAM Identity Center application, puis sélectionnez Modifier.

  9. Dans Paramètres de connexion avancés, entrez les informations suivantes :

    • Pour ACSURL, entrez la valeur que vous avez copiée pour IAMIdentity Center Assertion Consumer Service (ACS) URL

    • Dans le champ Émetteur URL, entrez la valeur que vous avez copiée pour IAMl'émetteur Identity Center URL

    • Pour le format du nom d'utilisateur de l'application, sélectionnez l'une des options du menu.

      Assurez-vous que la valeur que vous choisissez est unique pour chaque utilisateur. Pour ce didacticiel, sélectionnez le nom d'utilisateur Okta

  10. Choisissez Save (Enregistrer).

Vous êtes maintenant prêt à approvisionner les utilisateurs depuis Okta à IAM Identity Center. Quittez le Okta admin dashboard ouvrez et revenez à la console IAM Identity Center pour passer à l'étape suivante.

Étape 3 : IAM Identity Center et Okta: Disposition Okta utilisateurs

  1. Dans la console IAM Identity Center, sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela permet le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de SCIM terminaison et le jeton d'accès.

  2. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes :

    1. SCIMpoint de terminaison : par exemple, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Jeton d'accès : choisissez Afficher le jeton pour copier la valeur.

    Avertissement

    C'est le seul moment où vous pouvez obtenir le SCIM point de terminaison et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous allez entrer ces valeurs pour configurer le provisionnement automatique dans Okta plus loin dans ce didacticiel.

  3. Choisissez Close (Fermer).

  4. Retournez au Okta admin dashboard et accédez à l'application IAM Identity Center.

  5. Sur la page de l'application IAM Identity Center, choisissez l'onglet Provisioning, puis dans le menu de navigation de gauche, sous Paramètres, choisissez Integration.

  6. Choisissez Modifier, puis cochez la case à côté de Activer API l'intégration pour activer le provisionnement automatique.

  7. Configuration Okta avec les valeurs de SCIM provisionnement AWS IAM Identity Center que vous avez copiées plus tôt dans cette étape :

    1. Dans le URL champ Base, entrez la valeur du SCIMpoint de terminaison.

    2. Dans le champ APIJeton, entrez la valeur du jeton d'accès.

  8. Choisissez Test API Credentials pour vérifier que les informations d'identification saisies sont valides.

    Le message AWS IAM Identity Center a été vérifié avec succès ! écrans.

  9. Choisissez Save (Enregistrer). Vous êtes redirigé vers la section Paramètres, où l'option Intégration est sélectionnée.

  10. Sous Paramètres, choisissez Vers l'application, puis cochez la case Activer pour chacune des fonctionnalités de provisionnement vers l'application que vous souhaitez activer. Pour ce didacticiel, sélectionnez toutes les options.

  11. Choisissez Save (Enregistrer).

Vous êtes maintenant prêt à synchroniser vos utilisateurs depuis Okta avec IAM Identity Center.

Étape 4 : Okta: Synchroniser les utilisateurs depuis Okta avec IAM Identity Center

Par défaut, aucun groupe ou utilisateur n'est attribué à votre Okta IAMApplication Identity Center. Les groupes de provisionnement provisionnent les utilisateurs membres du groupe. Procédez comme suit pour synchroniser les groupes et les utilisateurs avec AWS IAM Identity Center.

  1. Dans Okta IAMSur la page de l'application Identity Center, cliquez sur l'onglet Attributions. Vous pouvez attribuer à la fois des personnes et des groupes à l'application IAM Identity Center.

    1. Pour affecter des personnes :

      • Sur la page Attributions, choisissez Attribuer, puis Attribuer à des personnes.

      • Cliquez sur l'onglet Okta les utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez Attribuer, puis Enregistrer et revenir en arrière, puis cliquez sur Terminé.

      Cela lance le processus de mise en service des utilisateurs dans IAM Identity Center.

    2. Pour attribuer des groupes :

      • Sur la page Attributions, choisissez Attribuer, puis Attribuer aux groupes.

      • Cliquez sur l'onglet Okta groupes auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez Attribuer, puis Enregistrer et revenir en arrière, puis cliquez sur Terminé.

      Cela lance le processus de mise en service des utilisateurs du groupe dans IAM Identity Center.

      Note

      Vous devrez peut-être spécifier des attributs supplémentaires pour le groupe s'ils ne figurent pas dans tous les enregistrements utilisateur. Les attributs spécifiés pour le groupe remplaceront toute valeur d'attribut individuelle.

  2. Choisissez l'onglet Push Groups. Cliquez sur l'onglet Okta groupe que vous souhaitez synchroniser avec IAM Identity Center. Choisissez Save (Enregistrer).

    Le statut du groupe passe à Actif une fois que le groupe et ses membres ont été redirigés vers IAM Identity Center.

  3. Retournez à l'onglet Affectations.

  4. Pour ajouter une personne Okta pour les utilisateurs IAM d'Identity Center, procédez comme suit :

    1. Sur la page Attributions, choisissez Attribuer, puis Attribuer à des personnes.

    2. Cliquez sur l'onglet Okta les utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez Attribuer, puis Enregistrer et revenir en arrière, puis cliquez sur Terminé.

      Cela lance le processus de mise en service des utilisateurs individuels dans IAM Identity Center.

      Note

      Vous pouvez également attribuer des utilisateurs et des groupes à l' AWS IAM Identity Center application, depuis la page Applications du Okta admin dashboard. Pour ce faire, sélectionnez l'icône Paramètres, puis choisissez Attribuer aux utilisateurs ou Attribuer aux groupes, puis spécifiez l'utilisateur ou le groupe.

  5. Retournez à la console IAM Identity Center. Dans le volet de navigation de gauche, sélectionnez Utilisateurs. Vous devriez voir la liste des utilisateurs remplie par votre Okta utilisateurs.

Félicitations !

Vous avez établi avec succès une SAML connexion entre Okta AWS et ont vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans IAMIdentity Center. Pour ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur IAM d'Identity Center en lui accordant des autorisations administratives sur le compte de gestion.

Transmission d'attributs pour le contrôle d'accès - Facultatif

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAMIdentity Center pour transmettre un Attribute élément dont l'Nameattribut est défini surhttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Cet élément vous permet de transmettre des attributs sous forme de balises de session dans l'SAMLassertion. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de IAM l'utilisateur.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.

Attribuez l'accès à Comptes AWS

Les étapes suivantes ne sont requises que pour accorder l'accès à Comptes AWS . Ces étapes ne sont pas obligatoires pour autoriser l'accès aux AWS applications.

Étape 1 : IAM Identity Center : Subvention Okta accès des utilisateurs aux comptes

  1. Dans le volet de navigation IAM Identity Center, sous Autorisations multi-comptes, sélectionnez Comptes AWS.

  2. Sur la Comptes AWSpage, la structure organisationnelle affiche la racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez Attribuer des utilisateurs ou des groupes.

  3. Le flux de travail Attribuer des utilisateurs et des groupes s'affiche. Il se compose de trois étapes :

    1. Pour l'étape 1 : Sélectionnez les utilisateurs et les groupes, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez Suivant.

    2. Pour l'étape 2 : sélectionner des ensembles d'autorisations, choisissez Créer un ensemble d'autorisations pour ouvrir un nouvel onglet qui vous guide à travers les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.

      1. Pour l'étape 1 : Sélectionnez le type d'ensemble d'autorisations, procédez comme suit :

        • Dans Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations prédéfini.

        • Dans Politique pour un ensemble d'autorisations prédéfini, sélectionnez AdministratorAccess.

        Choisissez Suivant.

      2. Pour l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations, conservez les paramètres par défaut et choisissez Next.

        Les paramètres par défaut créent un ensemble d'autorisations nommé AdministratorAccess avec une durée de session fixée à une heure.

      3. Pour l'étape 3 : révision et création, vérifiez que le type d'ensemble d'autorisations utilise la politique AWS gérée AdministratorAccess. Sélectionnez Create (Créer). Sur la page Ensembles d'autorisations, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.

      Dans l'onglet du navigateur Attribuer des utilisateurs et des groupes, vous êtes toujours à l'étape 2 : sélectionnez les ensembles d'autorisations à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.

      Dans la zone Ensembles d'autorisations, cliquez sur le bouton Actualiser. L'ensemble AdministratorAccess d'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez Next.

    3. Pour l'étape 3 : Révision et envoi, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez Soumettre.

      La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.

      Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le AdministratorAccess rôle.

Étape 2 : Okta: Confirmer Okta accès des utilisateurs aux AWS ressources

  1. Connectez-vous à l'aide d'un compte de test au Okta dashboard.

  2. Sous Mes applications, sélectionnez AWS IAM Identity Center .

  3. Vous devriez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.

  4. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble AdministratorAccessd'autorisations.

  5. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez spécifié l'accès à la fois à l'accès programmatique AWS Management Console et à l'accès programmatique. Sélectionnez Console de gestion pour ouvrir le AWS Management Console.

  6. L'utilisateur est connecté au AWS Management Console.

Étapes suivantes

Maintenant que vous avez configuré Okta en tant que fournisseur d'identité et utilisateurs provisionnés dans IAM Identity Center, vous pouvez :

Résolution des problèmes

Pour des questions générales SCIM et pour le SAML dépannage avec Okta, consultez les sections suivantes :

Reprovisionnement des utilisateurs et des groupes supprimés d'Identity Center IAM

  • Le message d'erreur suivant peut s'afficher dans le Okta Console, si vous essayez de modifier un utilisateur ou un groupe dans Okta qui a été une fois synchronisé puis supprimé d'IAMIdentity Center :

    • Le transfert automatique du profil de l'utilisateur Jane Doe vers l'application AWS IAM Identity Center a échoué : erreur lors de la tentative de transfert de la mise à jour du profil pour jane_doe@example.com : aucun utilisateur n'a été renvoyé pour l'utilisateur xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Le groupe lié est absent dans AWS IAM Identity Center. Modifiez le groupe lié pour recommencer à envoyer des adhésions à des groupes.

  • Vous pouvez également recevoir le message d'erreur suivant dans le Oktajournaux des systèmes pour les utilisateurs ou les groupes IAM d'Identity Center synchronisés et supprimés :

    • Erreur Okta : Eventfailed application.provision.user.push_profile : aucun utilisateur renvoyé pour l'utilisateur xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Erreur Okta : application.provision.group_push.mapping.update.or.delete.failed.with.error : le groupe lié est absent dans. AWS IAM Identity Center Modifiez le groupe lié pour recommencer à envoyer des adhésions à des groupes.

Avertissement

Les utilisateurs et les groupes doivent être supprimés de Okta plutôt qu'IAMIdentity Center si vous avez synchronisé Okta et IAM Identity Center en utilisantSCIM.

Résolution des problèmes liés aux utilisateurs IAM d'Identity Center supprimés

Pour résoudre ce problème concernant les utilisateurs IAM d'Identity Center supprimés, les utilisateurs doivent être supprimés de Okta. Si nécessaire, ces utilisateurs devront également être recréés dans Okta. Lorsque l'utilisateur est recréé dans Okta, il sera également réapprovisionné dans le IAM Identity Center via. SCIM Pour plus d'informations sur la suppression d'un utilisateur, voir Okta documentation.

Note

Si vous devez supprimer un Okta accès de l'utilisateur à IAM Identity Center, vous devez d'abord le supprimer de son groupe Push, puis de son groupe d'affectation dans Okta. Cela garantit que l'utilisateur est retiré de son appartenance au groupe associé dans IAM Identity Center. Pour plus d'informations sur la résolution des problèmes liés à Group Push, voir Okta documentation.

Résolution des problèmes liés aux groupes IAM Identity Center supprimés

Pour résoudre ce problème avec les groupes IAM Identity Center supprimés, le groupe doit être supprimé d'Okta. Si nécessaire, ces groupes devront également être recréés dans Okta à l'aide de Group Push. Lorsque l'utilisateur est recréé dans Okta, il est également reconfiguré dans le IAM Identity Center via. SCIM Pour plus d'informations sur la suppression d'un groupe, consultez la documentation Okta.

Erreur de provisionnement automatique dans Okta

Si vous recevez le message d'erreur suivant dans Okta:

Le provisionnement automatique de l'utilisateur Jane Doe vers l'application AWS IAM Identity Center a échoué : l'utilisateur correspondant est introuvable

Consultez .Okta documentation pour plus d'informations.

Ressources supplémentaires

Les ressources suivantes peuvent vous aider à résoudre les problèmes au fur et à mesure que vous travaillez avec AWS :

  • AWS re:Post- Trouvez d'autres ressources FAQs et liens vers d'autres ressources pour vous aider à résoudre les problèmes.

  • AWS Support- Bénéficiez d'un support technique