Configura SAML e SCIM con Okta IAM Identity Center - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura SAML e SCIM con Okta IAM Identity Center

Puoi fornire (sincronizzare) automaticamente le informazioni su utenti e gruppi da Okta IAM Identity Center utilizzando il protocollo System for Cross-domain Identity Management (SCIM) v2.0. Per configurare questa connessioneOkta, si utilizza l'endpoint SCIM per IAM Identity Center e un token bearer creato automaticamente da IAM Identity Center. Quando configuri la sincronizzazione SCIM, crei una mappatura degli attributi utente agli attributi denominati in IAM Okta Identity Center. Questa mappatura corrisponde agli attributi utente previsti tra IAM Identity Center e il tuo. Okta

Oktasupporta le seguenti funzionalità di provisioning quando è connesso a IAM Identity Center tramite SCIM:

  • Crea utenti: gli utenti assegnati all'applicazione IAM Identity Center in Okta vengono forniti in IAM Identity Center.

  • Aggiorna gli attributi utente: le modifiche agli attributi per gli utenti assegnati all'applicazione IAM Identity Center Okta vengono aggiornate in IAM Identity Center.

  • Disattiva utenti: gli utenti non assegnati dall'applicazione IAM Identity Center Okta sono disabilitati in IAM Identity Center.

  • Push di gruppo: i gruppi (e i relativi membri) Okta vengono sincronizzati con IAM Identity Center.

    Nota

    Per ridurre al minimo il sovraccarico amministrativo Okta sia per IAM Identity Center che per IAM, consigliamo di assegnare e inviare gruppi anziché singoli utenti.

Se non hai ancora abilitato IAM Identity Center, consulta. Abilitazione AWS IAM Identity Center

Obiettivo

In questo tutorial, illustrerai come configurare una connessione SAML con Okta IAM Identity Center. Successivamente, sincronizzerai gli utenti daOkta, utilizzando SCIM. In questo scenario, gestisci tutti gli utenti e i gruppi in. Okta Gli utenti accedono tramite il Okta portale. Per verificare che tutto sia configurato correttamente, dopo aver completato i passaggi di configurazione, accederai come Okta utente e verificherai l'accesso alle AWS risorse.

Nota

Puoi registrare un Okta account (prova gratuita) su cui è installata l'applicazione Okta's IAM Identity Center. Per Okta i prodotti a pagamento, potrebbe essere necessario confermare che la Okta licenza supporti la gestione del ciclo di vita o funzionalità simili che abilitano il provisioning in uscita. Queste funzionalità potrebbero essere necessarie per configurare SCIM da Okta IAM Identity Center.

Prima di configurare il provisioning SCIM tra Okta e IAM Identity Center, ti consigliamo di esaminarlo prima. Considerazioni sull'utilizzo del provisioning automatico

Conferma i seguenti elementi prima di iniziare:

  • Ogni Okta utente deve avere un valore specificato per nome, cognome, nome utente e nome visualizzato.

  • Ogni Okta utente ha un solo valore per attributo di dati, ad esempio indirizzo e-mail o numero di telefono. Tutti gli utenti con più valori non riusciranno a sincronizzarsi. Se alcuni utenti hanno più valori nei propri attributi, rimuovi gli attributi duplicati prima di tentare di eseguire il provisioning dell'utente in IAM Identity Center. Ad esempio, è possibile sincronizzare solo un attributo del numero di telefono, poiché l'attributo del numero di telefono predefinito è «telefono aziendale», utilizza l'attributo «telefono aziendale» per memorizzare il numero di telefono dell'utente, anche se il numero di telefono dell'utente è un telefono di casa o un telefono cellulare.

  • Se aggiorni l'indirizzo di un utente, devi aver specificato streetAddress, city, state, zipCode e il valore CountryCode. Se uno di questi valori non è specificato per l'Oktautente al momento della sincronizzazione, all'utente (o alle modifiche apportate all'utente) non verrà assegnato il provisioning.

Nota

Le autorizzazioni e gli attributi dei ruoli non sono supportati e non possono essere sincronizzati con IAM Identity Center.

L'utilizzo dello stesso Okta gruppo sia per le assegnazioni che per i push di gruppo non è attualmente supportato. Per mantenere coerenti le appartenenze ai gruppi tra IAM Identity Center Okta e IAM, crea un gruppo separato e configuralo per inviare i gruppi a IAM Identity Center.

  1. Accedi aOkta admin dashboard, espandi Applicazioni, quindi seleziona Applicazioni.

  2. Nella pagina Applications (Applicazioni), scegli Browse App Catalog (Sfoglia catalogo app).

  3. Nella casella di ricerca AWS IAM Identity Center, digita e seleziona l'app per aggiungere l'app IAM Identity Center.

  4. Seleziona la scheda Accedi.

  5. In Certificati di firma SAML, seleziona Azioni, quindi seleziona Visualizza metadati IdP. Si apre una nuova scheda del browser che mostra l'albero dei documenti di un file XML. Seleziona tutto il codice XML da <md:EntityDescriptor> a </md:EntityDescriptor> e copialo in un file di testo.

  6. Salva il file di testo comemetadata.xml.

Lascia Okta admin dashboard aperto, continuerai a utilizzare quella console nei passaggi successivi.

  1. Apri la console IAM Identity Center come utente con privilegi amministrativi.

  2. Scegli Impostazioni nel riquadro di navigazione a sinistra.

  3. Nella pagina Impostazioni, scegli Azioni, quindi scegli Cambia origine dell'identità.

  4. In Scegli l'origine dell'identità, seleziona Provider di identità esterno, quindi scegli Avanti.

  5. In Configura provider di identità esterno, procedi come segue:

    1. In Metadati del fornitore di servizi, scegli Scarica il file di metadati per scaricare il file di metadati IAM Identity Center e salvarlo sul tuo sistema. Fornirai il file di metadati SAML di IAM Identity Center più avanti in questo Okta tutorial.

      Copia i seguenti elementi in un file di testo per accedervi facilmente:

      • URL dell'IAM Identity Center Assertion Consumer Service (ACS)

      • URL emittente di IAM Identity Center

      Questi valori ti serviranno più avanti in questo tutorial.

    2. In Metadati del provider di identità, in IdP SAML meta seleziona Scegli file, quindi seleziona metadata.xml il file creato nel passaggio precedente.

    3. Seleziona Successivo.

  6. Dopo aver letto il disclaimer e aver iniziato a procedere, inserisci ACCEPT.

  7. Scegli Cambia fonte di identità.

    Lascia la AWS console aperta, continuerai a usarla nel passaggio successivo.

  8. Torna alla scheda Accedi dell' AWS IAM Identity Center app Okta admin dashboard e seleziona, quindi fai clic su Modifica.

  9. In Impostazioni di accesso avanzate inserisci quanto segue:

    • Per l'URL ACS, inserisci il valore che hai copiato per l'URL di IAM Identity Center Assertion Consumer Service (ACS)

    • Per l'URL dell'emittente, inserisci il valore che hai copiato per l'URL dell'emittente di IAM Identity Center

    • Per il formato del nome utente dell'applicazione, seleziona una delle opzioni dal menu a discesa.

      Assicurati che il valore che scegli sia unico per ogni utente. Per questo tutorial, seleziona il nome utente Okta

  10. Selezionare Salva.

Ora sei pronto per effettuare il provisioning degli utenti da Okta IAM Identity Center. Lascia Okta admin dashboard aperto e torna alla console IAM Identity Center per il passaggio successivo.

  1. Nella console IAM Identity Center, nella pagina Impostazioni, individua la casella Informazioni sul provisioning automatico, quindi scegli Abilita. Ciò consente il provisioning automatico in IAM Identity Center e visualizza le informazioni necessarie sull'endpoint SCIM e sul token di accesso.

  2. Nella finestra di dialogo di provisioning automatico in entrata, copia ciascuno dei valori per le seguenti opzioni:

    • Endpoint SCIM

    • Token di accesso

    Più avanti in questo tutorial inserirai questi valori per configurare il provisioning. Okta

  3. Scegli Chiudi.

  4. Torna all'app IAM Identity Center Okta admin dashboard e accedi all'app IAM Identity Center.

  5. Nella pagina dell'app IAM Identity Center, scegli la scheda Provisioning, quindi nella barra di navigazione a sinistra in Impostazioni, scegli Integrazione.

  6. Scegli Modifica, quindi seleziona la casella di controllo accanto a Abilita l'integrazione delle API per abilitare il provisioning.

  7. Esegui la configurazione Okta con i valori di provisioning SCIM di IAM Identity Center che hai copiato in precedenza in questo tutorial:

    1. Nel campo Base URL, inserisci il valore dell'endpoint SCIM. Assicurati di rimuovere la barra finale alla fine dell'URL.

    2. Nel campo Token API, inserisci il valore del token di accesso.

  8. Scegli Test API Credentials per verificare che le credenziali inserite siano valide.

    Il messaggio AWS IAM Identity Center è stato verificato con successo! visualizza.

  9. Selezionare Salva. Si passa all'area Impostazioni, con l'opzione Integrazione selezionata.

  10. In Impostazioni, scegli All'app, quindi seleziona la casella di controllo Abilita per ciascuna delle funzionalità di Provisioning to App che desideri abilitare. Per questo tutorial, seleziona tutte le opzioni.

  11. Selezionare Salva.

Ora sei pronto per sincronizzare i tuoi utenti Okta con IAM Identity Center.

Per impostazione predefinita, nessun gruppo o utente viene assegnato all'app Okta IAM Identity Center. I gruppi di provisioning forniscono il provisioning agli utenti che sono membri del gruppo. Completa i seguenti passaggi per sincronizzare gruppi e utenti con IAM Identity Center.

  1. Nella pagina dell'app Okta IAM Identity Center, scegli la scheda Assegnazioni. Puoi assegnare sia persone che gruppi all'app IAM Identity Center.

    1. Per assegnare persone:

      • Nella pagina Assegnazioni, scegli Assegna, quindi scegli Assegna a persone.

      • Scegli gli Okta utenti a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli Assegna, scegli Salva e torna indietro, quindi scegli Fine.

      Questo avvia il processo di provisioning degli utenti in IAM Identity Center.

    2. Per assegnare gruppi:

      • Nella pagina Assegnazioni, scegli Assegna, quindi scegli Assegna ai gruppi.

      • Scegli i Okta gruppi a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli Assegna, scegli Salva e torna indietro, quindi scegli Fine.

      Questo avvia il processo di provisioning degli utenti del gruppo in IAM Identity Center.

      Nota

      Potrebbe esserti richiesto di specificare attributi aggiuntivi per il gruppo se non sono presenti in tutti i record degli utenti. Gli attributi specificati per il gruppo sovrascriveranno i valori dei singoli attributi.

  2. Scegliete la scheda Push Groups. Scegli il Okta gruppo che contiene tutti i gruppi che hai assegnato all'app IAM Identity Center. Selezionare Salva.

    Lo stato del gruppo cambia in Attivo dopo che il gruppo e i suoi membri sono stati trasferiti a IAM Identity Center.

  3. Torna alla scheda Assegnazioni.

  4. Se hai utenti che non sono membri dei gruppi che hai inviato a IAM Identity Center, aggiungili singolarmente utilizzando i seguenti passaggi:

    Nella pagina Assegnazioni, scegli Assegna, quindi scegli Assegna a persone.

  5. Scegli gli Okta utenti a cui desideri che abbiano accesso all'app IAM Identity Center. Scegli Assegna, scegli Salva e torna indietro, quindi scegli Fine.

    Questo avvia il processo di provisioning dei singoli utenti in IAM Identity Center.

    Nota

    Puoi anche assegnare utenti e gruppi all' AWS IAM Identity Center app, dalla pagina Applicazioni di. Okta admin dashboard Per fare ciò, seleziona l'icona Impostazioni, quindi scegli Assegna a utenti o Assegna a gruppi, quindi specifica l'utente o il gruppo.

  6. Torna alla console IAM Identity Center. Nella barra di navigazione a sinistra, seleziona Utenti, dovresti vedere l'elenco degli utenti popolato dai tuoi Okta utenti.

Complimenti!

Hai configurato correttamente una connessione SAML tra Okta e AWS e hai verificato che il provisioning automatico funzioni. Ora puoi assegnare questi utenti ad account e applicazioni in IAM Identity Center. Per questo tutorial, nel passaggio successivo designiamo uno degli utenti come amministratore di IAM Identity Center concedendo loro le autorizzazioni amministrative per l'account di gestione.

  1. Nel pannello di navigazione di IAM Identity Center, in Autorizzazioni multiaccount, scegli. Account AWS

  2. Nella Account AWSpagina, la struttura organizzativa mostra la radice dell'organizzazione con gli account sottostanti nella gerarchia. Seleziona la casella di controllo per il tuo account di gestione, quindi seleziona Assegna utenti o gruppi.

  3. Viene visualizzato il flusso di lavoro Assegna utenti e gruppi. Consiste in tre fasi:

    1. Per il passaggio 1: Seleziona utenti e gruppi scegli l'utente che svolgerà la funzione di amministratore. Quindi scegli Successivo.

    2. Per il Passaggio 2: Seleziona i set di autorizzazioni, scegli Crea set di autorizzazioni per aprire una nuova scheda che illustra i tre passaggi secondari necessari per creare un set di autorizzazioni.

      1. Per la Fase 1: Seleziona il tipo di set di autorizzazioni, completa quanto segue:

        • In Tipo di set di autorizzazioni, scegli Set di autorizzazioni predefinito.

        • In Politica per il set di autorizzazioni predefinito, scegli. AdministratorAccess

        Seleziona Successivo.

      2. Per la Fase 2: Specificate i dettagli del set di autorizzazioni, mantenete le impostazioni predefinite e scegliete Avanti.

        Le impostazioni predefinite creano un set di autorizzazioni denominato AdministratorAccesscon la durata della sessione impostata su un'ora.

      3. Per il passaggio 3: revisione e creazione, verifica che il tipo di set di autorizzazioni utilizzi la politica AWS gestita AdministratorAccess. Scegli Crea. Nella pagina Set di autorizzazioni viene visualizzata una notifica che informa che il set di autorizzazioni è stato creato. Ora puoi chiudere questa scheda nel tuo browser web.

      Nella scheda Assegna utenti e gruppi del browser, sei ancora al Passaggio 2: Seleziona i set di autorizzazioni da cui hai avviato il flusso di lavoro per la creazione del set di autorizzazioni.

      Nell'area Set di autorizzazioni, scegli il pulsante Aggiorna. Il set di AdministratorAccessautorizzazioni creato viene visualizzato nell'elenco. Seleziona la casella di controllo relativa al set di autorizzazioni, quindi scegli Avanti.

    3. Per il passaggio 3: revisione e invio, esamina l'utente e il set di autorizzazioni selezionati, quindi scegli Invia.

      La pagina si aggiorna con un messaggio che indica Account AWS che stai configurando. Attendi il completamento del processo.

      Verrai reindirizzato alla Account AWS pagina. Un messaggio di notifica ti informa che il tuo Account AWS è stato riassegnato e che il set di autorizzazioni aggiornato è stato applicato. Quando l'utente accede, avrà la possibilità di scegliere il ruolo. AdministratorAccess

      Nota

      La sincronizzazione automatica di SCIM supporta Okta solo il provisioning degli utenti; i gruppi non vengono assegnati automaticamente. Non è possibile creare gruppi per gli utenti utilizzandoOkta. AWS Management Console Dopo aver assegnato il provisioning agli utenti, puoi creare gruppi utilizzando un'operazione CLI o API

  1. Accedi Okta dashboard utilizzando un account utente di prova.

  2. In Le mie app seleziona l'AWS IAM Identity Centericona.

  3. Hai effettuato l'accesso al portale e puoi vedere l' Account AWS icona. Espandi l'icona per visualizzare l'elenco a Account AWS cui l'utente può accedere. In questo tutorial hai utilizzato solo un account, quindi espandendo l'icona viene visualizzato solo un account.

  4. Seleziona l'account per visualizzare i set di autorizzazioni disponibili per l'utente. In questo tutorial hai creato il set di AdministratorAccessautorizzazioni.

  5. Accanto al set di autorizzazioni ci sono i link relativi al tipo di accesso disponibile per quel set di autorizzazioni. Quando è stato creato il set di autorizzazioni, è stato specificato che sia la console di gestione che l'accesso programmatico fossero abilitati, quindi queste due opzioni sono presenti. Seleziona Console di gestione per aprire. AWS Management Console

  6. L'utente ha effettuato l'accesso alla console.

Facoltativamente, puoi utilizzare la Attributi per il controllo degli accessi funzionalità di IAM Identity Center per passare un Attribute elemento con l'Nameattributo https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} impostato su. Questo elemento consente di passare attributi come tag di sessione nell'asserzione SAML. Per ulteriori informazioni sui tag di sessione, consulta Passing session tag AWS STS in the IAM User Guide.

Per passare gli attributi come tag di sessione, includi l'elemento AttributeValue che specifica il valore del tag. Ad esempio, per passare la coppia chiave-valore del tagCostCenter = blue, usa il seguente attributo.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se devi aggiungere più attributi, includi un Attribute elemento separato per ogni tag.

Ora che ti sei configurato Okta come provider di identità e hai assegnato il provisioning agli utenti in IAM Identity Center, puoi: