Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Configure o SAML e o SCIM com Okta e o IAM Identity Center

PDF
RSS
Modo de foco
Configure o SAML e o SCIM com Okta e o IAM Identity Center - AWS IAM Identity Center
ConsideraçõesEtapa 1: Okta: obtenha os metadados SAML do seu Okta contaEtapa 2: Centro de identidade do IAM: configurar Okta como fonte de identidade para o IAM Identity CenterEtapa 3: IAM Identity Center e Okta: Provisão Okta usuáriosEtapa 4: Okta: Sincronize usuários de Okta com o IAM Identity CenterPassagem de atributos para controle de acesso: opcionalAtribuir acesso a Contas da AWSPróximas etapasSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode provisionar ou sincronizar automaticamente as informações do usuário e do grupo a partir do Okta no IAM Identity Center usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0. Para obter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Para configurar essa conexão no Okta, você usa seu endpoint SCIM para o IAM Identity Center e um token portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos do usuário no Okta aos atributos nomeados no IAM Identity Center. Esse mapeamento corresponde aos atributos de usuário esperados entre o IAM Identity Center e seu Okta conta.

Okta oferece suporte aos seguintes recursos de provisionamento quando conectado ao IAM Identity Center por meio do SCIM:

  • Criar usuários — Usuários atribuídos ao aplicativo IAM Identity Center em Okta são provisionados no IAM Identity Center.

  • Atualizar atributos do usuário — Alterações de atributos para usuários atribuídos ao aplicativo IAM Identity Center no Okta são atualizados no IAM Identity Center.

  • Desativar usuários — Usuários que não estão atribuídos ao aplicativo IAM Identity Center em Okta estão desativados no IAM Identity Center.

  • Push em grupo — Grupos (e seus membros) em Okta são sincronizados com o IAM Identity Center.

    nota

    Para minimizar a sobrecarga administrativa em ambos Okta e o IAM Identity Center, recomendamos que você atribua e envie grupos em vez de usuários individuais.

Objetivo

Neste tutorial, você explicará como configurar uma conexão SAML com Okta Central de identidade do IAM. Posteriormente, você sincronizará os usuários de Okta, usando o SCIM. Nesse cenário, você gerencia todos os usuários e grupos no Okta. Os usuários fazem login por meio do Okta portal. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como Okta use e verifique o acesso aos AWS recursos.

nota

Você pode se inscrever para um Okta conta (teste gratuito) que tem Okta's Aplicativo IAM Identity Center instalado. Para pagamento Okta produtos, talvez seja necessário confirmar que seu Okta a licença oferece suporte ao gerenciamento do ciclo de vida ou a recursos similares que permitem o provisionamento externo. Esses recursos podem ser necessários para configurar o SCIM a partir de Okta para o IAM Identity Center.

Se você ainda não habilitou o IAM Identity Center, consulte Habilitar o IAM Identity Center.

Considerações

  • Antes de configurar o provisionamento do SCIM entre Okta e o IAM Identity Center, recomendamos que você analise primeiroConsiderações sobre o uso do provisionamento automático.

  • Cada Okta o usuário deve ter um valor especificado para nome, sobrenome, nome de usuário e nome de exibição.

  • Cada Okta o usuário tem apenas um único valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.

  • Ao usar Okta com o IAM Identity Center, o IAM Identity Center geralmente é configurado como um aplicativo no Okta. Isso permite que você configure várias instâncias do IAM Identity Center como vários aplicativos, oferecendo suporte ao acesso a várias AWS Organizations, em uma única instância do Okta.

  • Os direitos e os atributos de perfil não são compatíveis e não podem ser sincronizados com o IAM Identity Center.

  • Usando o mesmo Okta Atualmente, não há suporte para grupos para exercícios e envio em grupo. Para manter associações de grupos consistentes entre Okta e o IAM Identity Center, crie um grupo separado e configure-o para enviar grupos para o IAM Identity Center.

Etapa 1: Okta: obtenha os metadados SAML do seu Okta conta

  1. Faça login no Okta admin dashboard, expanda Aplicativos e selecione Aplicativos.

  2. Na página Applications (Aplicações), escolha Browse App Catalog (Navegar pelo App Catalog).

  3. Na caixa de pesquisa AWS IAM Identity Center, digite e selecione o aplicativo para adicionar o aplicativo IAM Identity Center.

  4. Selecione a guia Fazer login.

  5. Em Certificados de assinatura SAML, selecione Ações e depois Visualizar metadados do IdP. Uma nova guia de navegador é aberta mostrando a árvore de documentos de um arquivo XML. Selecione todo o XML de <md:EntityDescriptor> a </md:EntityDescriptor> e copie-o em um arquivo de texto.

  6. Salve o arquivo de texto como metadata.xml.

Deixe o Okta admin dashboard Se abrir, você continuará usando esse console nas etapas posteriores.

Etapa 2: Centro de identidade do IAM: configurar Okta como fonte de identidade para o IAM Identity Center

  1. Abra o console do IAM Identity Center como um usuário com privilégios administrativos.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, escolha Ações e depois Alterar fonte de identidades.

  4. Em Escolher fonte de identidade, selecione Escolher fonte de identidade e, depois, Próximo.

  5. Em Configurar provedor de identidades externo, faça o seguinte:

    1. Em Metadados do provedor de serviços, escolha Baixar arquivo de metadados para baixar o arquivo de metadados do IAM Identity Center e salvá-lo em seu sistema. Você fornecerá o arquivo de metadados SAML do IAM Identity Center para Okta mais adiante neste tutorial.

      Copie os seguintes itens em um arquivo de texto para facilitar o acesso:

      • URL do Assertion Consumer Service (ACS) do IAM Identity Center

      • URL do emissor do IAM Identity Center

      Você vai precisar desses valores mais adiante neste tutorial.

    2. Em Metadados do provedor de identidades, em Metadados do IdP SAML, selecione Escolher arquivo e selecione o arquivo metadata.xml que você criou no procedimento anterior.

    3. Escolha Próximo.

  6. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ACEITAR.

  7. Escolha Alterar origem de identidade.

    Deixe o AWS console aberto, você continuará usando esse console na próxima etapa.

  8. Retorne ao Okta admin dashboard e selecione a guia Entrar do AWS IAM Identity Center aplicativo e, em seguida, selecione Editar.

  9. Em Configurações avançadas de login, insira o seguinte:

    • Em URL do ACS, insira o valor que você copiou para URL do Assertion Consumer Service (ACS) do IAM Identity Center

    • Em URL do emissor, insira o valor que você copiou para URL do emissor do IAM Identity Center

    • Em Formato de nome de usuário da aplicação, selecione uma das opções do menu.

      Certifique-se de que o valor escolhido seja exclusivo de cada usuário. Para este tutorial, selecione o Nome de usuário do Okta

  10. Escolha Salvar.

Agora você está pronto para provisionar usuários de Okta para o IAM Identity Center. Deixe o Okta admin dashboard abra e retorne ao console do IAM Identity Center para a próxima etapa.

Etapa 3: IAM Identity Center e Okta: Provisão Okta usuários

  1. Na página Configurações do console do IAM Identity Center, localize a caixa de informações Provisionamento automático e escolha Habilitar. Isso habilita o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e as informações do token de acesso.

  2. Na caixa de diálogo Provisionamento automático de entrada, copie os valores para as seguintes opções:

    1. Endpoint SCIM - Por exemplo, https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar o provisionamento automático no Okta mais adiante neste tutorial.

  3. Escolha Fechar.

  4. Retorne ao Okta admin dashboard e navegue até o aplicativo IAM Identity Center.

  5. Na página Aplicação do IAM Identity Center, escolha a guia Provisionamento e, no painel de navegação esquerdo, em Configurações, escolha Integração.

  6. Escolha Editar e marque a caixa de seleção ao lado de Habilitar integração de API para habilitar o provisionamento automático.

  7. Configurar Okta com os valores de provisionamento do SCIM dos AWS IAM Identity Center quais você copiou anteriormente nesta etapa:

    1. No campo URL da base, insira o valor do Endpoint SCIM.

    2. No campo Token da API, insira o valor do Token de acesso.

  8. Escolha Testar credenciais da API para verificar se as credenciais inseridas são válidas.

    A mensagem O AWS IAM Identity Center foi verificado com sucesso! é exibida.

  9. Escolha Salvar. Você é levado para a seção Configurações, com a opção Integração selecionada.

  10. Em Configurações, escolha Para aplicação e marque a caixa de seleção Habilitar para cada um dos atributos de Provisionamento para aplicação que você deseja habilitar. Para este tutorial, selecione todas as opções.

  11. Escolha Salvar.

Agora você está pronto para sincronizar seus usuários do Okta com o IAM Identity Center.

Etapa 4: Okta: Sincronize usuários de Okta com o IAM Identity Center

Por padrão, nenhum grupo ou usuário é atribuído ao seu Okta Aplicativo IAM Identity Center. Os grupos de aprovisionamento provisionam os usuários que são membros do grupo. Conclua as etapas a seguir para sincronizar grupos e usuários com AWS IAM Identity Center.

  1. No Okta Página do aplicativo IAM Identity Center, escolha a guia Atribuições. Você pode atribuir pessoas e grupos à aplicação IAM Identity Center.

    1. Para atribuir pessoas:

      • Na página Atribuições, escolha Atribuir e, em depois, escolha Atribuir a pessoas.

      • Selecione o Okta usuários que você deseja que tenham acesso ao aplicativo IAM Identity Center. Escolha Atribuir, Salvar e voltar e escolha Concluído.

      Isso inicia o processo de provisionamento de usuários para o IAM Identity Center.

    2. Para atribuir grupos:

      • Na página Atribuições, escolha Atribuir e depois Atribuir a grupos.

      • Selecione o Okta grupos que você deseja que tenham acesso ao aplicativo IAM Identity Center. Escolha Atribuir, Salvar e voltar e escolha Concluído.

      Isso inicia o processo de provisionamento dos usuários do grupo no IAM Identity Center.

      nota

      Talvez seja necessário especificar atributos adicionais para o grupo se eles não estiverem presentes em todos os registros de usuário. Os atributos especificados para o grupo substituirão os valores dos atributos individuais.

  2. Escolha a guia Enviar por push para grupos. Selecione o Okta grupo que você deseja sincronizar com o IAM Identity Center. Escolha Salvar.

    O status do grupo muda para Ativo depois que o grupo e seus membros são enviados automaticamente para o IAM Identity Center.

  3. Volte para a guia Atribuições.

  4. Para adicionar um indivíduo Okta usuários do IAM Identity Center, usem as seguintes etapas:

    1. Na página Atribuições, escolha Atribuir e, em seguida, escolha Atribuir a pessoas.

    2. Selecione o Okta usuários que você deseja que tenham acesso ao aplicativo IAM Identity Center. Escolha Atribuir, Salvar e voltar e escolha Concluído.

      Isso inicia o processo de provisionamento de usuários individuais para o IAM Identity Center.

      nota

      Você também pode atribuir usuários e grupos ao AWS IAM Identity Center aplicativo, na página Aplicativos do Okta admin dashboard. Para fazer isso, selecione o ícone Configurações e escolha Atribuir a usuários ou Atribuir a grupos e, em seguida, especifique o usuário ou grupo.

  5. Volte para o console do IAM Identity Center. Na navegação à esquerda, selecione Usuários, você deve ver a lista de usuários preenchida por seu Okta usuários.

Parabéns!

Você configurou com sucesso uma conexão SAML entre Okta AWS e verificaram se o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas no IAM Identity Center. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo a ele permissões administrativas para a conta de gerenciamento.

Passagem de atributos para controle de acesso: opcional

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Atribuir acesso a Contas da AWS

As etapas a seguir são necessárias apenas para conceder acesso Contas da AWS somente a. Essas etapas não são necessárias para conceder acesso aos AWS aplicativos.

Etapa 1: Central de identidade do IAM: concessão Okta acesso dos usuários às contas

  1. No painel de navegação do IAM Identity Center, em Permissões multicontas, escolha Contas da AWS.

  2. Na página Contas da AWS, a Estrutura organizacional exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

  3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

    1. Em Etapa 1: selecionar usuários e grupos, escolha o usuário que desempenhará a função de administrador. Escolha Próximo.

    2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três sub-etapas da criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

        • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

        • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

        Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

        As configurações padrão criam um conjunto de permissões chamado AdministratorAccess com a duração da sessão definida em uma hora.

      3. Para a Etapa 3: revisar e criar, verifique se o tipo de conjunto de permissões usa a política AWS gerenciada AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, é exibida uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      Na área Conjuntos de permissões, escolha o botão Atualizar. O conjunto de AdministratorAccess permissões que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

    3. Na Etapa 3: revisar e enviar, revise o usuário e o conjunto de permissões selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você retornará à Contas da AWS página. Uma mensagem de notificação informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher a AdministratorAccess função.

Etapa 2: Okta: Confirmar Okta acesso dos usuários aos AWS recursos

  1. Faça login usando uma conta de teste no Okta dashboard.

  2. Em Meus aplicativos, selecione a AWS IAM Identity Center Ícone .

  3. Você deve ver o Conta da AWS ícone. Expanda esse ícone para ver a lista Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.

  4. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de AdministratorAccesspermissões.

  5. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Ao criar o conjunto de permissões, você especificou o acesso tanto ao acesso programático AWS Management Console quanto ao acesso programático. Selecione Console de gerenciamento para abrir o AWS Management Console.

  6. O usuário faz login no AWS Management Console.

Próximas etapas

Agora que você configurou Okta como provedor de identidade e usuários provisionados no IAM Identity Center, você pode:

Solução de problemas

Para solução de problemas gerais de SCIM e SAML com Okta, consulte as seções a seguir:

Reprovisionamento de usuários e grupos excluídos do IAM Identity Center

  • Você pode receber a seguinte mensagem de erro no Okta Console, se você estiver tentando alterar um usuário ou grupo no Okta que uma vez foi sincronizado e depois excluído do IAM Identity Center:

    • AWS IAM Identity Center Falha no envio automático do perfil do usuário Jane Doe para o aplicativo: Erro ao tentar enviar a atualização do perfil parajane_doe@example.com: Nenhum usuário retornou para o usuário xxxxx-xxxxxx-xxxxx-xxxxxxx

    • O grupo vinculado está ausente em AWS IAM Identity Center. Altere o grupo vinculado para retomar o envio automático de associações ao grupo.

  • Você também pode receber a seguinte mensagem de erro no Okta's Systems Logs para usuários ou grupos do IAM Identity Center sincronizados e excluídos:

    • Erro Okta: eventfailed application.provision.user.push_profile: Nenhum usuário retornou para o usuário xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Erro Okta: application.provision.group_push.mapping.update.or.delete.failed.with.error: o grupo vinculado está ausente. AWS IAM Identity Center Altere o grupo vinculado para retomar o envio automático de associações ao grupo.

Atenção

Usuários e grupos devem ser excluídos do Okta em vez do IAM Identity Center, se você tiver sincronizado Okta e o IAM Identity Center usando o SCIM.

Solução de problemas de usuários excluídos do IAM Identity Center

Para resolver esse problema com usuários excluídos do IAM Identity Center, os usuários devem ser excluídos do Okta. Se necessário, esses usuários também precisariam ser recriados no Okta. Quando o usuário é recriado em Okta, ele também será reprovisionado no IAM Identity Center por meio do SCIM. Para obter mais informações sobre como excluir um usuário, consulte Okta documentação.

nota

Se você precisar remover um Okta acesso do usuário ao IAM Identity Center, você deve primeiro removê-lo do Group Push e depois do Grupo de Atribuição no Okta. Isso garante que o usuário seja removido da associação ao grupo associado no IAM Identity Center. Para obter mais informações sobre a solução de problemas do Group Push, consulte Okta documentação.

Solução de problemas de grupos do IAM Identity Center excluídos

Para resolver esse problema de grupos do IAM Identity Center excluídos, os usuários devem ser excluídos do Okta. Se necessário, esses grupos também precisariam ser recriados no Okta usando o envio automático de grupo. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um grupo, consulte a documentação do Okta.

Erro de provisionamento automático em Okta

Se você receber a seguinte mensagem de erro no Okta:

Falha no provisionamento automático da usuária Jane Doe para o aplicativo: usuário correspondente AWS IAM Identity Center não encontrado

Consulte Okta documentação para obter mais informações.

Recursos adicionais

Os recursos a seguir podem ajudá-lo a solucionar problemas enquanto você trabalha com AWS:

  • AWS re:Post- Encontre FAQs e vincule outros recursos para ajudá-lo a solucionar problemas.

  • AWS Support: obter suporte técnico

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.