Pengaturan satu kali aplikasi IAM federasi langsung di Okta - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengaturan satu kali aplikasi IAM federasi langsung di Okta

  1. Masuk ke Anda Okta akun sebagai pengguna dengan izin administratif.

  2. Dalam Okta Konsol Admin, di bawah Aplikasi, pilih Aplikasi.

  3. Pilih Jelajahi Katalog Aplikasi. Cari dan pilih Federasi AWS Akun. Kemudian pilih Tambahkan integrasi.

  4. Siapkan IAM federasi langsung AWS dengan mengikuti langkah-langkah di Cara Mengkonfigurasi SAML 2.0 untuk Federasi AWS Akun.

  5. Pada tab Opsi Masuk, pilih SAML 2.0 dan masukkan pengaturan Filter Grup dan Pola Nilai Peran. Nama grup untuk direktori pengguna tergantung pada filter yang Anda konfigurasikan.

    Dua opsi: accountid dan peran dalam filter grup atau pola nilai peran.

    Pada gambar di atas, role variabelnya adalah untuk peran operasi darurat di akun akses darurat Anda. Misalnya, jika Anda membuat EmergencyAccess_Role1_RO peran (seperti yang dijelaskan dalam tabel pemetaan) di Akun AWS 123456789012, dan jika pengaturan filter grup Anda dikonfigurasi seperti yang ditunjukkan pada gambar di atas, nama grup Anda seharusnyaaws#EmergencyAccess_Role1_RO#123456789012.

  6. Di direktori Anda (misalnya, direktori Anda di Active Directory), buat grup akses darurat dan tentukan nama untuk direktori (misalnya,aws#EmergencyAccess_Role1_RO#123456789012). Tetapkan pengguna Anda ke grup ini dengan menggunakan mekanisme penyediaan yang ada.

  7. Di akun akses darurat, konfigurasikan kebijakan kepercayaan khusus yang memberikan izin yang diperlukan untuk peran akses darurat yang akan diasumsikan selama gangguan. Berikut ini adalah contoh pernyataan untuk kebijakan kepercayaan khusus yang dilampirkan pada EmergencyAccess_Role1_RO peran. Untuk ilustrasi, lihat akun darurat pada diagram di bawahBagaimana merancang peran darurat, akun, dan pemetaan grup.

    {
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":"arn:aws:iam::123456789012:saml-provider/Okta"
         },
         "Action":[
            "sts:AssumeRoleWithSAML",
            "sts:SetSourceIdentity",
            "sts:TagSession"
         ],
         "Condition":{
            "StringEquals":{
               "SAML:aud":"https:~/~/signin.aws.amazon.com/saml"
            }
         }
      }
   ]
}

  8. Berikut ini adalah pernyataan contoh untuk kebijakan izin yang dilampirkan ke EmergencyAccess_Role1_RO peran. Untuk ilustrasi, lihat akun darurat pada diagram di bawahBagaimana merancang peran darurat, akun, dan pemetaan grup.

    {
    "Version": "2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Action":"sts:AssumeRole",
         "Resource":[
            "arn:aws:iam::<account 1>:role/EmergencyAccess_RO",
            "arn:aws:iam::<account 2>:role/EmergencyAccess_RO"
         ]
      }
   ]
}

  9. Pada akun beban kerja, konfigurasikan kebijakan kepercayaan khusus. Berikut ini adalah contoh pernyataan untuk kebijakan kepercayaan yang melekat pada EmergencyAccess_RO peran tersebut. Dalam contoh ini, akun 123456789012 adalah akun akses darurat. Untuk ilustrasi, lihat akun beban kerja dalam diagram di bawah. Bagaimana merancang peran darurat, akun, dan pemetaan grup

    {
    "Version": "2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:root"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
    catatan

    Sebagian besar IdPs memungkinkan Anda untuk menjaga integrasi aplikasi dinonaktifkan sampai diperlukan. Kami menyarankan agar Anda tetap menonaktifkan aplikasi IAM federasi langsung di IDP Anda hingga diperlukan untuk akses darurat.