Konfigurasikan SAML dan SCIM dengan Okta dan Pusat IAM Identitas - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan SAML dan SCIM dengan Okta dan Pusat IAM Identitas

Anda dapat secara otomatis menyediakan atau menyinkronkan informasi pengguna dan grup Okta ke Pusat IAM Identitas menggunakan protokol System for Cross-domain Identity Management (SCIM) 2.0. Untuk mengkonfigurasi koneksi ini di Okta, Anda menggunakan SCIM endpoint Anda untuk IAM Identity Center dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center. Saat Anda mengonfigurasi SCIM sinkronisasi, Anda membuat pemetaan atribut pengguna di Okta ke atribut bernama di Pusat IAM Identitas. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara Pusat IAM Identitas dan Okta akun.

Okta mendukung fitur penyediaan berikut saat terhubung ke Pusat IAM Identitas melalui: SCIM

  • Buat pengguna - Pengguna yang ditugaskan ke aplikasi Pusat IAM Identitas di Okta disediakan di Pusat IAM Identitas.

  • Perbarui atribut pengguna - Perubahan atribut untuk pengguna yang ditugaskan ke aplikasi Pusat IAM Identitas di Okta diperbarui di Pusat IAM Identitas.

  • Nonaktifkan pengguna - Pengguna yang tidak ditugaskan dari aplikasi Pusat IAM Identitas di Okta dinonaktifkan di Pusat IAM Identitas.

  • Dorong kelompok — Grup (dan anggotanya) di Okta disinkronkan ke Pusat IAM Identitas.

    catatan

    Untuk meminimalkan overhead administratif di keduanya Okta dan Pusat IAM Identitas, kami menyarankan Anda menetapkan dan mendorong grup alih-alih pengguna individu.

Objektif

Dalam tutorial ini, Anda akan berjalan melalui pengaturan SAML koneksi dengan Okta IAMPusat Identitas. Nanti, Anda akan menyinkronkan pengguna dari Okta, menggunakanSCIM. Dalam skenario ini, Anda mengelola semua pengguna dan grup Okta. Pengguna masuk melalui Okta portal. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Okta pengguna dan verifikasi akses ke AWS sumber daya.

catatan

Anda dapat mendaftar untuk Okta akun (uji coba gratis) yang memiliki Okta's IAMAplikasi Pusat Identitas diinstal. Untuk dibayar Okta produk, Anda mungkin perlu mengonfirmasi bahwa Okta lisensi mendukung manajemen siklus hidup atau kemampuan serupa yang memungkinkan penyediaan keluar. Fitur-fitur ini mungkin diperlukan untuk mengkonfigurasi SCIM dari Okta ke Pusat IAM Identitas.

Jika Anda belum mengaktifkan Pusat IAM Identitas, lihatMengaktifkan AWS IAM Identity Center.

  • Sebelum Anda mengonfigurasi SCIM penyediaan antara Okta dan Pusat IAM Identitas, kami sarankan Anda meninjau terlebih dahuluPertimbangan untuk menggunakan penyediaan otomatis.

  • Setiap Okta pengguna harus memiliki nilai Nama depan, Nama belakang, Nama pengguna dan nama Tampilan yang ditentukan.

  • Masing-masing Okta pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal untuk menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat IAM Identitas. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.

  • Saat menggunakan Okta dengan Pusat IAM IAM Identitas, Pusat Identitas umumnya dikonfigurasi sebagai Aplikasi di Okta. Hal ini memungkinkan Anda untuk mengkonfigurasi beberapa instance IAM Identity Center sebagai beberapa aplikasi, mendukung akses ke beberapa AWS Organizations, dalam satu instance dari Okta.

  • Hak dan atribut peran tidak didukung dan tidak dapat disinkronkan dengan IAM Pusat Identitas.

  • Menggunakan yang sama Okta grup untuk tugas dan push grup saat ini tidak didukung. Untuk menjaga keanggotaan grup yang konsisten antara Okta dan Pusat IAM Identitas, buat grup terpisah dan konfigurasikan untuk mendorong grup ke Pusat IAM Identitas.

  1. Masuk ke Okta admin dashboard, perluas Aplikasi, lalu pilih Aplikasi.

  2. Pada halaman Aplikasi, pilih Jelajahi Katalog Aplikasi.

  3. Di kotak pencarian, ketik AWS IAM Identity Center, pilih aplikasi untuk menambahkan aplikasi Pusat IAM Identitas.

  4. Pilih tab Masuk.

  5. Di bawah SAMLMenandatangani Sertifikat, pilih Tindakan, lalu pilih Lihat Metadata iDP. Tab browser baru terbuka menunjukkan pohon dokumen XML file. Pilih semua XML dari <md:EntityDescriptor> to </md:EntityDescriptor> dan salin ke file teks.

  6. Simpan file teks sebagaimetadata.xml.

Tinggalkan Okta admin dashboard buka, Anda akan terus menggunakan konsol ini di langkah selanjutnya.

  1. Buka konsol Pusat IAM Identitas sebagai pengguna dengan hak administratif.

  2. Pilih Pengaturan di panel navigasi kiri.

  3. Pada halaman Pengaturan, pilih Tindakan, lalu pilih Ubah sumber identitas.

  4. Di bawah Pilih sumber identitas, pilih Penyedia identitas eksternal, lalu pilih Berikutnya.

  5. Di bawah Konfigurasi penyedia identitas eksternal, lakukan hal berikut:

    1. Di bawah metadata penyedia layanan, pilih Unduh file metadata untuk mengunduh file metadata Pusat IAM Identitas dan menyimpannya di sistem Anda. Anda akan memberikan file SAML metadata Pusat IAM Identitas ke Okta kemudian dalam tutorial ini.

      Salin item berikut ke file teks untuk memudahkan akses:

      • IAMLayanan Konsumen Pernyataan Pusat Identitas () ACS URL

      • IAMPenerbit Pusat Identitas URL

      Anda akan membutuhkan nilai-nilai ini nanti dalam tutorial ini.

    2. Di bawah Metadata penyedia identitas, di bawah SAMLmetadata iDP, pilih Pilih file lalu pilih file yang Anda buat di langkah metadata.xml sebelumnya.

    3. Pilih Berikutnya.

  6. Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan. ACCEPT

  7. Pilih Ubah sumber identitas.

    Biarkan AWS konsol terbuka, Anda akan terus menggunakan konsol ini di langkah berikutnya.

  8. Kembali ke Okta admin dashboard dan pilih tab Masuk AWS IAM Identity Center aplikasi, lalu pilih Edit.

  9. Di bawah Pengaturan Masuk Lanjutan, masukkan yang berikut ini:

    • Untuk ACSURL, masukkan nilai yang Anda salin untuk Layanan Konsumen Pernyataan Pusat IAM Identitas () ACS URL

    • Untuk Penerbit URL, masukkan nilai yang Anda salin untuk penerbit Pusat IAMIdentitas URL

    • Untuk format nama pengguna Aplikasi, pilih salah satu opsi dari menu.

      Pastikan nilai yang Anda pilih unik untuk setiap pengguna. Untuk tutorial ini, pilih nama pengguna Okta

  10. Pilih Simpan.

Anda sekarang siap untuk menyediakan pengguna dari Okta ke Pusat IAM Identitas. Tinggalkan Okta admin dashboard buka, dan kembali ke konsol Pusat IAM Identitas untuk langkah berikutnya.

  1. Di konsol Pusat IAM Identitas di halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini memungkinkan penyediaan otomatis di Pusat IAM Identitas dan menampilkan SCIM titik akhir dan informasi token akses yang diperlukan.

  2. Di kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut:

    1. SCIMtitik akhir - Misalnya, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Access token - Pilih Tampilkan token untuk menyalin nilainya.

    Awas

    Ini adalah satu-satunya waktu di mana Anda dapat memperoleh SCIM titik akhir dan token akses. Pastikan Anda menyalin nilai-nilai ini sebelum bergerak maju. Anda akan memasukkan nilai-nilai ini untuk mengonfigurasi penyediaan otomatis di Okta kemudian dalam tutorial ini.

  3. Pilih Tutup.

  4. Kembali ke Okta admin dashboard dan navigasikan ke aplikasi Pusat IAM Identitas.

  5. Pada halaman aplikasi Pusat IAM Identitas, pilih tab Penyediaan, lalu di navigasi kiri di bawah Pengaturan, pilih Integrasi.

  6. Pilih Edit, lalu pilih kotak centang di samping Aktifkan API integrasi untuk mengaktifkan penyediaan otomatis.

  7. Konfigurasi Okta dengan nilai SCIM penyediaan dari AWS IAM Identity Center yang Anda salin sebelumnya di langkah ini:

    1. Di URL bidang Base, masukkan nilai SCIMendpoint.

    2. Di bidang APIToken, masukkan nilai token Access.

  8. Pilih APIKredensial Uji untuk memverifikasi kredenal yang dimasukkan valid.

    Pesan berhasil AWS IAM Identity Center diverifikasi! menampilkan.

  9. Pilih Simpan. Anda dipindahkan ke bagian Pengaturan, dengan Integrasi dipilih.

  10. Di bawah Pengaturan, pilih Ke Aplikasi, lalu pilih kotak centang Aktifkan untuk setiap fitur Penyediaan ke Aplikasi yang ingin Anda aktifkan. Untuk tutorial ini, pilih semua opsi.

  11. Pilih Simpan.

Anda sekarang siap untuk menyinkronkan pengguna Anda dari Okta dengan pusat IAM identitas.

Secara default, tidak ada grup atau pengguna yang ditetapkan ke Okta IAMAplikasi Pusat Identitas. Grup penyediaan menyediakan pengguna yang menjadi anggota grup. Selesaikan langkah-langkah berikut untuk menyinkronkan grup dan pengguna dengan AWS IAM Identity Center.

  1. Di Okta IAMHalaman aplikasi Pusat Identitas, pilih tab Penugasan. Anda dapat menetapkan orang dan grup ke aplikasi Pusat IAM Identitas.

    1. Untuk menugaskan orang:

      • Di halaman Penugasan, pilih Tetapkan, lalu pilih Tetapkan ke orang.

      • Pilih Okta pengguna yang ingin Anda akses ke aplikasi Pusat IAM Identitas. Pilih Tetapkan, pilih Simpan dan Kembali, lalu pilih Selesai.

      Ini memulai proses penyediaan pengguna ke Pusat IAM Identitas.

    2. Untuk menetapkan grup:

      • Di halaman Penugasan, pilih Tetapkan, lalu pilih Tetapkan ke grup.

      • Pilih Okta grup yang ingin Anda akses ke aplikasi Pusat IAM Identitas. Pilih Tetapkan, pilih Simpan dan Kembali, lalu pilih Selesai.

      Ini memulai proses penyediaan pengguna dalam grup ke Pusat IAM Identitas.

      catatan

      Anda mungkin diminta untuk menentukan atribut tambahan untuk grup jika atribut tersebut tidak ada di semua catatan pengguna. Atribut yang ditentukan untuk grup akan mengganti nilai atribut individual apa pun.

  2. Pilih tab Push Groups. Pilih Okta grup yang ingin Anda sinkronkan dengan Pusat IAM Identitas. Pilih Simpan.

    Status grup berubah menjadi Aktif setelah grup dan anggotanya didorong ke Pusat IAM Identitas.

  3. Kembali ke tab Tugas.

  4. Untuk menambahkan individu Okta pengguna ke Pusat IAM Identitas, gunakan langkah-langkah berikut:

    1. Di halaman Penugasan, pilih Tetapkan, lalu pilih Tetapkan ke Orang.

    2. Pilih Okta pengguna yang ingin Anda akses ke aplikasi Pusat IAM Identitas. Pilih Tetapkan, pilih Simpan dan Kembali, lalu pilih Selesai.

      Ini memulai proses penyediaan pengguna individu ke Pusat IAM Identitas.

      catatan

      Anda juga dapat menetapkan pengguna dan grup ke AWS IAM Identity Center aplikasi, dari halaman Aplikasi Okta admin dashboard. Untuk melakukan ini pilih ikon Pengaturan dan kemudian pilih Tetapkan ke Pengguna atau Tetapkan ke Grup dan kemudian tentukan pengguna atau grup.

  5. Kembali ke konsol Pusat IAM Identitas. Di navigasi kiri, pilih Pengguna, Anda akan melihat daftar pengguna yang diisi oleh Okta pengguna.

Selamat!

Anda telah berhasil mengatur SAML koneksi antara Okta dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di Pusat IAM Identitas. Untuk tutorial ini, pada langkah berikutnya mari kita tentukan salah satu pengguna sebagai administrator Pusat IAM Identitas dengan memberi mereka izin administratif ke akun manajemen.

  1. Di panel navigasi Pusat IAM Identitas, di bawah izin Multi-akun, pilih. Akun AWS

  2. Pada Akun AWShalaman, struktur Organisasi menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih Tetapkan pengguna atau grup.

  3. Tampilan alur kerja Tetapkan pengguna dan grup. Ini terdiri dari tiga langkah:

    1. Untuk Langkah 1: Pilih pengguna dan grup, pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih Berikutnya.

    2. Untuk Langkah 2: Pilih set izin, pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.

      1. Untuk Langkah 1: Pilih jenis set izin lengkapi yang berikut ini:

        • Dalam Jenis set Izin, pilih Set izin yang telah ditentukan sebelumnya.

        • Dalam Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih AdministratorAccess.

        Pilih Berikutnya.

      2. Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default, dan pilih Berikutnya.

        Pengaturan default membuat set izin bernama AdministratorAccess dengan durasi sesi diatur ke satu jam.

      3. Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa jenis set Izin menggunakan kebijakan AWS terkelola AdministratorAccess. Pilih Buat. Pada halaman Set izin, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.

      Pada tab Tetapkan pengguna dan grup browser, Anda masih pada Langkah 2: Pilih set izin dari mana Anda memulai alur kerja set izin buat.

      Di area set Izin, pilih tombol Refresh. Bagian AdministratorAccess set izin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih Berikutnya.

    3. Untuk Langkah 3: Tinjau dan kirim, tinjau pengguna yang dipilih dan set izin, lalu pilih Kirim.

      Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.

      Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Ketika pengguna masuk, mereka akan memiliki opsi untuk memilih AdministratorAccess peran.

  1. Masuk menggunakan akun uji ke Okta dashboard.

  2. Di bawah Aplikasi Saya, pilih AWS IAM Identity Center ikon.

  3. Anda harus melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.

  4. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set AdministratorAccessizin.

  5. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menentukan akses ke akses terprogram AWS Management Console dan akses terprogram. Pilih Konsol manajemen untuk membuka AWS Management Console.

  6. Pengguna masuk ke AWS Management Console.

Anda dapat secara opsional menggunakan Atribut untuk kontrol akses fitur di Pusat IAM Identitas untuk meneruskan Attribute elemen dengan Name atribut yang disetel kehttps://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tag sesi dalam SAML pernyataan. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan IAM Pengguna.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Sekarang Anda telah mengkonfigurasi Okta sebagai penyedia identitas dan pengguna yang disediakan di Pusat IAM Identitas, Anda dapat:

Untuk umum SCIM dan SAML pemecahan masalah dengan Okta, lihat bagian berikut.

Penyediaan ulang pengguna dan grup dihapus dari Pusat Identitas IAM

  • Anda dapat menerima pesan galat berikut di Okta Konsol, jika Anda mencoba mengubah pengguna atau grup Okta yang pernah disinkronkan dan kemudian dihapus dari Pusat IAM Identitas:

    • Dorongan profil otomatis pengguna Jane Doe ke aplikasi AWS IAM Identity Center gagal: Kesalahan saat mencoba mendorong pembaruan profil untuk jane_doe@example.com: Tidak ada pengguna yang dikembalikan untuk pengguna xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Grup tertaut tidak ada di AWS IAM Identity Center. Ubah grup tertaut untuk melanjutkan mendorong keanggotaan grup.

  • Anda juga dapat menerima pesan galat berikut di OktaLog Sistem untuk pengguna atau grup Pusat IAM Identitas yang disinkronkan dan dihapus:

    • Kesalahan Okta: Eventfailed application.provision.user.push_profile: Tidak ada pengguna yang dikembalikan untuk pengguna xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Kesalahan Okta: application.provision.group_push.mapping.update.or.delete.failed.with.error: Grup tertaut tidak ada di. AWS IAM Identity Center Ubah grup tertaut untuk melanjutkan mendorong keanggotaan grup.

Awas

Pengguna dan grup harus dihapus dari Okta bukan Pusat IAM Identitas jika Anda telah menyinkronkan Okta dan Pusat IAM Identitas menggunakanSCIM.

Pemecahan masalah Pengguna Pusat IAM Identitas yang dihapus

Untuk mengatasi masalah ini dengan pengguna Pusat IAM Identitas yang dihapus, pengguna harus dihapus Okta. Jika perlu, pengguna ini juga perlu dibuat ulang di Okta. Saat pengguna dibuat ulang di Okta, itu juga akan diperbaiki ke Pusat IAM Identitas melalui. SCIM Untuk informasi selengkapnya tentang menghapus pengguna, lihat Okta dokumentasi.

catatan

Jika Anda perlu menghapus Okta akses pengguna ke Pusat IAM Identitas, pertama-tama Anda harus menghapusnya dari Push Grup mereka dan kemudian Grup Penugasan mereka di Okta. Ini memastikan pengguna dihapus dari keanggotaan grup terkait mereka di Pusat IAM Identitas. Untuk informasi selengkapnya tentang pemecahan masalah Group Push, lihat Okta dokumentasi.

Pemecahan masalah Grup Pusat IAM Identitas yang dihapus

Untuk mengatasi masalah ini dengan grup Pusat IAM Identitas yang dihapus, grup harus dihapus dari Okta. Jika perlu, grup ini juga perlu dibuat ulang di Okta menggunakan Group Push. Ketika pengguna dibuat ulang di Okta, itu juga akan direvisi ke Pusat Identitas melalui. IAM SCIM Untuk informasi selengkapnya tentang menghapus grup, lihat dokumentasi Okta.

Kesalahan Penyediaan Otomatis di Okta

Jika Anda menerima pesan galat berikut di Okta:

Penyediaan otomatis pengguna Jane Doe ke aplikasi AWS IAM Identity Center gagal: Pengguna yang cocok tidak ditemukan

Lihat Okta dokumentasi untuk informasi lebih lanjut.

Sumber daya tambahan

Sumber daya berikut dapat membantu Anda memecahkan masalah saat Anda bekerja dengan: AWS

  • AWS re:Post- Temukan FAQs dan tautkan ke sumber daya lain untuk membantu Anda memecahkan masalah.

  • AWS Support- Dapatkan dukungan teknis