Configura SAML e SCIM con Okta e IAM Identity Center - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura SAML e SCIM con Okta e IAM Identity Center

È possibile fornire o sincronizzare automaticamente le informazioni su utenti e gruppi da Okta in IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) 2.0. Per configurare questa connessione in Okta, utilizzi il tuo SCIM endpoint per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri SCIM la sincronizzazione, crei una mappatura degli attributi utente in Okta agli attributi denominati in IAM Identity Center. Questa mappatura corrisponde agli attributi utente previsti tra IAM Identity Center e il Okta conto.

Okta supporta le seguenti funzionalità di provisioning quando è connesso a IAM Identity Center tramiteSCIM:

  • Crea utenti: utenti assegnati all'applicazione IAM Identity Center in Okta vengono forniti in IAM Identity Center.

  • Aggiorna gli attributi utente: modifiche agli attributi per gli utenti assegnati all'applicazione IAM Identity Center in Okta vengono aggiornati in IAM Identity Center.

  • Disattiva utenti: utenti non assegnati dall'applicazione IAM Identity Center in Okta sono disabilitati in IAM Identity Center.

  • Group push: i gruppi (e i relativi membri) entrano Okta sono sincronizzati con IAM Identity Center.

    Nota

    Per ridurre al minimo il sovraccarico amministrativo in entrambi Okta e IAM Identity Center, ti consigliamo di assegnare e inviare messaggi a gruppi anziché singoli utenti.

Obiettivo

In questo tutorial, illustrerai come configurare una SAML connessione con Okta IAMCentro di identità. Successivamente, sincronizzerai gli utenti da Okta, utilizzandoSCIM. In questo scenario, gestisci tutti gli utenti e i gruppi in Okta. Gli utenti accedono tramite Okta portale. Per verificare che tutto sia configurato correttamente, dopo aver completato i passaggi di configurazione accederai come Okta utente e verifica l'accesso alle AWS risorse.

Nota

Puoi iscriverti a un Okta account (prova gratuita) che ha Okta's IAMApplicazione Identity Center installata. Per a pagamento Okta prodotti, potresti dover confermare che i tuoi Okta la licenza supporta la gestione del ciclo di vita o funzionalità simili che consentono il provisioning in uscita. Queste funzionalità potrebbero essere necessarie per la configurazione da SCIM Okta a IAM Identity Center.

Se non hai ancora abilitato IAM Identity Center, vediAbilitazione AWS IAM Identity Center.

  • Prima di configurare il SCIM provisioning tra Okta e IAM Identity Center, ti consigliamo di Considerazioni sull'utilizzo del provisioning automatico esaminarli prima.

  • Ogni Okta per l'utente deve essere specificato il valore Nome, Cognome, Nome utente e Nome visualizzato.

  • Ciascuno Okta l'utente ha un solo valore per attributo di dati, ad esempio l'indirizzo e-mail o il numero di telefono. Tutti gli utenti con più valori non riusciranno a sincronizzarsi. Se alcuni utenti hanno più valori nei propri attributi, rimuovi gli attributi duplicati prima di tentare di assegnare il ruolo all'utente in IAM Identity Center. Ad esempio, è possibile sincronizzare solo un attributo del numero di telefono, poiché l'attributo del numero di telefono predefinito è «telefono aziendale», utilizzate l'attributo «telefono aziendale» per memorizzare il numero di telefono dell'utente, anche se il numero di telefono dell'utente è un telefono di casa o un telefono cellulare.

  • Quando si utilizza Okta con IAM Identity Center, IAM Identity Center è generalmente configurato come applicazione in Okta. Ciò consente di configurare più istanze di IAM Identity Center come più applicazioni, supportando l'accesso a più AWS Organizzazioni, all'interno di una singola istanza di Okta.

  • Le autorizzazioni e gli attributi dei ruoli non sono supportati e non possono essere sincronizzati con Identity Center. IAM

  • Utilizzando lo stesso Okta il gruppo per entrambi gli incarichi e il push di gruppo non sono attualmente supportati. Per mantenere coerenti le appartenenze ai gruppi tra Okta e IAM Identity Center, crea un gruppo separato e configuralo per inviare i gruppi a IAM Identity Center.

  1. Accedi a Okta admin dashboard, espandi Applicazioni, quindi seleziona Applicazioni.

  2. Nella pagina Applications (Applicazioni), scegli Browse App Catalog (Sfoglia catalogo app).

  3. Nella casella di ricerca AWS IAM Identity Center, digita e seleziona l'app per aggiungere l'app IAM Identity Center.

  4. Seleziona la scheda Accedi.

  5. In SAMLFirma dei certificati, seleziona Azioni, quindi seleziona Visualizza metadati IdP. Si apre una nuova scheda del browser che mostra l'albero dei documenti di un XML file. Seleziona tutto XML da <md:EntityDescriptor> a </md:EntityDescriptor> e copialo in un file di testo.

  6. Salva il file di testo comemetadata.xml.

Lascia il Okta admin dashboard aperta, continuerai a utilizzare questa console nei passaggi successivi.

  1. Apri la console di IAM Identity Center come utente con privilegi amministrativi.

  2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

  3. Nella pagina Impostazioni, scegli Azioni, quindi scegli Cambia origine dell'identità.

  4. In Scegli l'origine dell'identità, seleziona Provider di identità esterno, quindi scegli Avanti.

  5. In Configura provider di identità esterno, procedi come segue:

    1. In Metadati del fornitore di servizi, scegli Scarica il file di metadati per scaricare il file di metadati di IAM Identity Center e salvarlo sul tuo sistema. Fornirai il file di metadati di IAM Identity Center SAML a Okta più avanti in questo tutorial.

      Copia i seguenti elementi in un file di testo per un facile accesso:

      • IAMIdentity Center Assertion Consumer Service () ACS URL

      • IAMEmittente di Identity Center URL

      Questi valori ti serviranno più avanti in questo tutorial.

    2. In Metadati del provider di identità, in Metadati SAMLIdP, seleziona Scegli file, quindi seleziona metadata.xml il file creato nel passaggio precedente.

    3. Scegli Next (Successivo).

  6. Dopo aver letto il disclaimer e essere pronti a procedere, inserisci. ACCEPT

  7. Scegli Cambia fonte di identità.

    Lascia la AWS console aperta, continuerai a utilizzarla nel passaggio successivo.

  8. Ritorna alla Okta admin dashboard e seleziona la scheda Accedi dell' AWS IAM Identity Center app, quindi seleziona Modifica.

  9. In Impostazioni di accesso avanzate inserisci quanto segue:

    • Per ACSURL, inserisci il valore che hai copiato per IAMIdentity Center Assertion Consumer Service () ACS URL

    • Per Issuer URL, inserisci il valore che hai copiato per l'emittente di Identity Center IAM URL

    • Per il formato del nome utente dell'applicazione, seleziona una delle opzioni dal menu.

      Assicurati che il valore scelto sia unico per ogni utente. Per questo tutorial, seleziona il nome utente Okta

  10. Seleziona Salva.

Ora sei pronto per effettuare il provisioning degli utenti da Okta a IAM Identity Center. Lascia il Okta admin dashboard apri e torna alla console di IAM Identity Center per il passaggio successivo.

  1. Nella console di IAM Identity Center, nella pagina Impostazioni, individua la casella Informazioni sul provisioning automatico, quindi scegli Abilita. Ciò consente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'SCIMendpoint e sul token di accesso.

  2. Nella finestra di dialogo di provisioning automatico in entrata, copiate ciascuno dei valori per le seguenti opzioni:

    1. SCIMendpoint - Ad esempio, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token di accesso: scegli Mostra token per copiare il valore.

    avvertimento

    Questa è l'unica volta in cui puoi ottenere l'SCIMendpoint e il token di accesso. Assicurati di copiare questi valori prima di andare avanti. Inserirai questi valori per configurare il provisioning automatico in Okta più avanti in questo tutorial.

  3. Scegli Chiudi.

  4. Ritorna al Okta admin dashboard e accedi all'app IAM Identity Center.

  5. Nella pagina dell'app IAM Identity Center, scegli la scheda Provisioning, quindi nella barra di navigazione a sinistra in Impostazioni, scegli Integrazione.

  6. Scegli Modifica, quindi seleziona la casella di controllo accanto a Abilita API l'integrazione per abilitare il provisioning automatico.

  7. Configura Okta con i valori di SCIM provisioning copiati in precedenza in AWS IAM Identity Center questo passaggio:

    1. Nel URL campo Base, immettete il valore dell'SCIMendpoint.

    2. Nel campo APIToken, inserisci il valore del token di accesso.

  8. Scegli APICredenziali di prova per verificare che le credenziali inserite siano valide.

    Il messaggio AWS IAM Identity Center è stato verificato con successo! visualizza.

  9. Seleziona Salva. Verrai spostato nella sezione Impostazioni, con l'opzione Integrazione selezionata.

  10. In Impostazioni, scegli All'app, quindi seleziona la casella di controllo Abilita per ciascuna delle funzionalità di Provisioning to App che desideri abilitare. Per questo tutorial, seleziona tutte le opzioni.

  11. Seleziona Salva.

Ora sei pronto per sincronizzare i tuoi utenti da Okta con IAM Identity Center.

Per impostazione predefinita, nessun gruppo o utente è assegnato al Okta IAMApp Identity Center. I gruppi di provisioning forniscono gli utenti che sono membri del gruppo. Completa i seguenti passaggi per sincronizzare gruppi e utenti con. AWS IAM Identity Center

  1. Nella Okta IAMPagina dell'app Identity Center, scegli la scheda Assegnazioni. Puoi assegnare sia persone che gruppi all'app IAM Identity Center.

    1. Per assegnare persone:

      • Nella pagina Assegnazioni, scegli Assegna, quindi scegli Assegna a persone.

      • Seleziona Okta utenti a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli Assegna, scegli Salva e torna indietro, quindi scegli Fine.

      Questo avvia il processo di provisioning degli utenti in IAM Identity Center.

    2. Per assegnare gruppi:

      • Nella pagina Assegnazioni, scegli Assegna, quindi scegli Assegna ai gruppi.

      • Seleziona Okta gruppi a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli Assegna, scegli Salva e torna indietro, quindi scegli Fine.

      Questo avvia il processo di provisioning degli utenti del gruppo in IAM Identity Center.

      Nota

      Potrebbe essere necessario specificare attributi aggiuntivi per il gruppo se non sono presenti in tutti i record degli utenti. Gli attributi specificati per il gruppo sostituiranno i valori dei singoli attributi.

  2. Scegliete la scheda Push Groups. Seleziona Okta gruppo che desideri sincronizzare con IAM Identity Center. Seleziona Salva.

    Lo stato del gruppo diventa Attivo dopo che il gruppo e i suoi membri sono stati trasferiti a IAM Identity Center.

  3. Torna alla scheda Assegnazioni.

  4. Per aggiungere una persona Okta utenti a IAM Identity Center, attenersi alla seguente procedura:

    1. Nella pagina Assegnazioni, scegli Assegna, quindi scegli Assegna a persone.

    2. Seleziona Okta utenti a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli Assegna, scegli Salva e torna indietro, quindi scegli Fine.

      Questo avvia il processo di provisioning dei singoli utenti in IAM Identity Center.

      Nota

      È inoltre possibile assegnare utenti e gruppi all' AWS IAM Identity Center app, dalla pagina Applicazioni del Okta admin dashboard. A tale scopo, seleziona l'icona Impostazioni, quindi scegli Assegna agli utenti o Assegna ai gruppi, quindi specifica l'utente o il gruppo.

  5. Torna alla console IAM Identity Center. Nella barra di navigazione a sinistra, seleziona Utenti, dovresti vedere l'elenco degli utenti popolato dal tuo Okta utenti.

Complimenti!

Hai impostato con successo una SAML connessione tra Okta AWS e abbiamo verificato che il provisioning automatico funzioni. È ora possibile assegnare questi utenti ad account e applicazioni in IAMIdentity Center. Per questo tutorial, nel passaggio successivo designiamo uno degli utenti come amministratore dell'IAMIdentity Center concedendo loro le autorizzazioni amministrative per l'account di gestione.

  1. Nel riquadro di navigazione di IAM Identity Center, in Autorizzazioni multiaccount, scegli. Account AWS

  2. Nella Account AWSpagina, la struttura organizzativa mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona Assegna utenti o gruppi.

  3. Viene visualizzato il flusso di lavoro Assegna utenti e gruppi. Consiste in tre fasi:

    1. Per il passaggio 1: Seleziona utenti e gruppi, scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli Successivo.

    2. Per il Passaggio 2: Seleziona i set di autorizzazioni, scegli Crea set di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.

      1. Per la Fase 1: Seleziona il tipo di set di autorizzazioni, completa quanto segue:

        • In Tipo di set di autorizzazioni, scegli Set di autorizzazioni predefinito.

        • In Politica per il set di autorizzazioni predefinito, scegli. AdministratorAccess

        Scegli Next (Successivo).

      2. Per la Fase 2: Specificate i dettagli del set di autorizzazioni, mantenete le impostazioni predefinite e scegliete Avanti.

        Le impostazioni predefinite creano un set di autorizzazioni denominato AdministratorAccess con la durata della sessione impostata su un'ora.

      3. Per il passaggio 3: revisione e creazione, verifica che il tipo di set di autorizzazioni utilizzi la politica AWS gestita AdministratorAccess. Scegli Create (Crea) . Nella pagina Set di autorizzazioni, viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.

      Nella scheda Assegna utenti e gruppi del browser, sei ancora al Passaggio 2: Seleziona i set di autorizzazioni da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.

      Nell'area Set di autorizzazioni, scegli il pulsante Aggiorna. Il AdministratorAccess il set di autorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo per quel set di autorizzazioni, quindi scegli Avanti.

    3. Per il passaggio 3: Rivedi e invia, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli Invia.

      La pagina si aggiorna con un messaggio che indica che la tua pagina Account AWS è in fase di configurazione. Attendi il completamento del processo.

      Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Quando l'utente accede, avrà la possibilità di scegliere il AdministratorAccess ruolo.

  1. Accedi utilizzando un account di prova al Okta dashboard.

  2. In Le mie app, seleziona AWS IAM Identity Center icona.

  3. Dovresti vedere l' Account AWS icona. Espandi l'icona per visualizzare l'elenco a Account AWS cui l'utente può accedere. In questo tutorial hai utilizzato solo un account, quindi espandendo l'icona viene visualizzato solo un account.

  4. Seleziona l'account per visualizzare i set di autorizzazioni disponibili per l'utente. In questo tutorial hai creato il set di AdministratorAccessautorizzazioni.

  5. Accanto al set di autorizzazioni ci sono i link relativi al tipo di accesso disponibile per quel set di autorizzazioni. Quando è stato creato il set di autorizzazioni, è stato specificato l'accesso sia all'accesso programmatico che all' AWS Management Console accesso programmatico. Seleziona Console di gestione per aprire. AWS Management Console

  6. L'utente ha effettuato l'accesso a AWS Management Console.

Facoltativamente, è possibile utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare gli attributi come tag di sessione nell'SAMLasserzione. Per ulteriori informazioni sui tag di sessione, vedete Passare i tag di sessione AWS STS nella Guida per l'IAMutente.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, utilizzate il seguente attributo.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.

Ora che hai configurato Okta in qualità di provider di identità e utenti autorizzati in IAM Identity Center, puoi:

Per informazioni generali SCIM e per la SAML risoluzione dei problemi con Okta, consulta le seguenti sezioni.

Riassegnazione del provisioning a utenti e gruppi eliminati da Identity Center IAM

  • È possibile che venga visualizzato il seguente messaggio di errore nel Okta Console, se stai tentando di modificare un utente o un gruppo in Okta che una volta era sincronizzato e poi eliminato da IAM Identity Center:

    • Invio automatico del profilo dell'utente Jane Doe all'app AWS IAM Identity Center non riuscito: errore durante il tentativo di inviare l'aggiornamento del profilo per jane_doe@example.com: nessun utente restituito xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Il gruppo collegato è mancante in AWS IAM Identity Center. Modifica il gruppo collegato per riprendere a richiedere l'iscrizione al gruppo.

  • Potresti anche ricevere il seguente messaggio di errore nel OktaRegistri di sistema per utenti o gruppi di IAM Identity Center sincronizzati ed eliminati:

    • Errore Okta: Eventfailed application.provision.user.push_profile: nessun utente restituito per l'utente xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Errore Okta: application.provision.group_push.mapping.update.or.delete.failed.with.error: il gruppo collegato è mancante in AWS IAM Identity Center. Modifica il gruppo collegato per riprendere l'iscrizione al gruppo.

avvertimento

Gli utenti e i gruppi devono essere eliminati da Okta anziché IAM Identity Center se è stata effettuata la sincronizzazione Okta e IAM Identity Center utilizzandoSCIM.

Risoluzione dei problemi degli utenti eliminati di IAM Identity Center

Per risolvere questo problema con gli utenti di IAM Identity Center eliminati, gli utenti devono essere eliminati da Okta. Se necessario, questi utenti dovrebbero essere ricreati anche in Okta. Quando l'utente viene ricreato in Okta, verrà inoltre rifornito nell'IAMIdentity Center tramite. SCIM Per ulteriori informazioni sull'eliminazione di un utente, vedere Okta documentazione.

Nota

Se è necessario rimuovere un Okta l'accesso di un utente a IAM Identity Center, è necessario prima rimuoverlo dal gruppo Push e quindi dal gruppo di assegnazione in Okta. Ciò garantisce che l'utente venga rimosso dall'appartenenza al gruppo associato in IAM Identity Center. Per ulteriori informazioni sulla risoluzione dei problemi di Group Push, vedere Okta documentazione.

Risoluzione dei problemi relativi ai gruppi IAM Identity Center eliminati

Per risolvere questo problema con i gruppi IAM Identity Center eliminati, è necessario eliminare il gruppo da Okta. Se necessario, questi gruppi dovrebbero anche essere ricreati in Okta utilizzando Group Push. Quando l'utente viene ricreato in Okta, verrà anche reinserito nell'Identity Center tramite. IAM SCIM Per ulteriori informazioni sull'eliminazione di un gruppo, consulta la documentazione di Okta.

Errore di provisioning automatico in Okta

Se viene visualizzato il seguente messaggio di errore in Okta:

Il provisioning automatico dell'utente Jane Doe all'app AWS IAM Identity Center non è riuscito: utente corrispondente non trovato

Consulta la sezione Okta documentazione per ulteriori informazioni.

Risorse aggiuntive

Le seguenti risorse possono aiutarti a risolvere i problemi mentre lavori con: AWS

  • AWS re:Post- Trova FAQs e collega altre risorse per aiutarti a risolvere i problemi.

  • AWS Support- Richiedi supporto tecnico