Configurazione una tantum di un'applicazione di IAM federazione diretta in Okta - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione una tantum di un'applicazione di IAM federazione diretta in Okta

  1. Accedi al tuo Okta account come utente con autorizzazioni amministrative.

  2. Nel Okta Console di amministrazione, in Applicazioni, scegli Applicazioni.

  3. Scegli Sfoglia il catalogo delle app. Cerca e scegli AWS Federazione degli account. Quindi scegli Aggiungi integrazione.

  4. Configura la IAM federazione diretta con AWS seguendo la procedura descritta in Come configurare SAML 2.0 per AWS Federazione degli account.

  5. Nella scheda Opzioni di accesso, seleziona SAML 2.0 e inserisci le impostazioni Group Filter e Role Value Pattern. Il nome del gruppo per la directory utente dipende dal filtro configurato.

    Due opzioni: accountid e role in group filter o role value pattern.

    Nella figura precedente, la role variabile si riferisce al ruolo delle operazioni di emergenza nell'account per l'accesso di emergenza. Ad esempio, se si crea il EmergencyAccess_Role1_RO ruolo (come descritto nella tabella di mappatura) in Account AWS 123456789012, e se l'impostazione del filtro di gruppo è configurata come mostrato nella figura precedente, il nome del gruppo dovrebbe essereaws#EmergencyAccess_Role1_RO#123456789012.

  6. Nella directory (ad esempio, la directory in Active Directory), create il gruppo per l'accesso di emergenza e specificate un nome per la directory (ad esempio,aws#EmergencyAccess_Role1_RO#123456789012). Assegna i tuoi utenti a questo gruppo utilizzando il meccanismo di provisioning esistente.

  7. Nell'account di accesso di emergenza, configura una politica di fiducia personalizzata che fornisca le autorizzazioni necessarie per assumere il ruolo di accesso di emergenza durante un'interruzione. Di seguito è riportato un esempio di dichiarazione per una politica di fiducia personalizzata allegata al EmergencyAccess_Role1_RO ruolo. Per un'illustrazione, vedi l'account di emergenza nel diagramma seguente. Come progettare una mappatura di emergenza di ruoli, account e gruppi

    { "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/Okta" }, "Action":[ "sts:AssumeRoleWithSAML", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition":{ "StringEquals":{ "SAML:aud":"https:~/~/signin.aws.amazon.com/saml" } } } ] }
  8. Di seguito è riportato un esempio di dichiarazione per una politica di autorizzazioni associata al ruolo. EmergencyAccess_Role1_RO Per un'illustrazione, vedi l'account di emergenza nel diagramma seguente. Come progettare una mappatura di emergenza di ruoli, account e gruppi

    { "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sts:AssumeRole", "Resource":[ "arn:aws:iam::<account 1>:role/EmergencyAccess_RO", "arn:aws:iam::<account 2>:role/EmergencyAccess_RO" ] } ] }
  9. Negli account del carico di lavoro, configura una politica di attendibilità personalizzata. Di seguito è riportato un esempio di dichiarazione per una politica di fiducia allegata al EmergencyAccess_RO ruolo. In questo esempio, l'account 123456789012 è l'account di accesso di emergenza. Per un'illustrazione, vedi l'account del carico di lavoro nel diagramma seguente. Come progettare una mappatura di emergenza di ruoli, account e gruppi

    { "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:root" }, "Action":"sts:AssumeRole" } ] }
    Nota

    La maggior parte IdPs consente di mantenere l'integrazione di un'applicazione disattivata fino a quando necessario. Ti consigliamo di mantenere disattivata l'applicazione di IAM federazione diretta nel tuo IdP fino a quando non viene richiesta per l'accesso di emergenza.