Configurar SAML e SCIM com o Okta e o IAM Identity Center - AWS IAM Identity Center
ConsideraçõesEtapa 1: Okta: obter os metadados SAML da sua conta da OktaEtapa 2: IAM Identity Center: configurar o Okta como fonte de identidades para o IAM Identity CenterEtapa 3: IAM Identity Center e Okta: provisionar usuários do OktaEtapa 4: Okta: sincronizar os usuários do Okta com o IAM Identity CenterPassagem de atributos para controle de acesso: opcionalAtribuir acesso a Contas da AWSPróximas etapasSolução de problemas

Configurar SAML e SCIM com o Okta e o IAM Identity Center

Você pode provisionar ou sincronizar informações de usuários e grupos do Okta para o IAM Identity Center automaticamente usando o protocolo System for Cross-domain Identity Management (SCIM) 2.0. Para ter mais informações, consulte Uso de federação de identidades SAML e SCIM com provedores de identidade externos.

Para configurar essa conexão no Okta, você usa seu endpoint SCIM para o IAM Identity Center e um token de portador que é criado automaticamente pelo IAM Identity Center. Ao configurar a sincronização do SCIM, você cria um mapeamento dos atributos de usuário no Okta para os atributos nomeados no IAM Identity Center. Esse mapeamento compara os atributos de usuário esperados entre o IAM Identity Center e a sua conta da Okta.

O Okta oferece suporte aos seguintes recursos de provisionamento quando conectado ao IAM Identity Center por meio do SCIM:

  • Criar usuários: os usuários atribuídos à aplicação IAM Identity Center no Okta são provisionados no IAM Identity Center.

  • Atualizar atributos do usuário – As alterações de atributos para usuários atribuídos ao aplicativo IAM Identity Center no Okta são atualizadas no IAM Identity Center.

  • Desativar usuários – Os usuários que não estão atribuídos ao aplicativo IAM Identity Center no Okta são desativados no IAM Identity Center.

  • Push de grupo – Os grupos (e seus membros) no Okta são sincronizados com o IAM Identity Center.

    nota

    Para minimizar a sobrecarga administrativa no Okta e no IAM Identity Center, recomendamos que você atribua e envie por push para grupos em vez de usuários individuais.

Objetivo

Neste tutorial, você aprenderá passo a passo como configurar uma conexão SAML com o Okta IAM Identity Center. Posteriormente, você sincronizará os usuários do Okta usando o SCIM. Nesse cenário, você gerencia todos os usuários e grupos no Okta. Os usuários fazem login pelo Portal de acesso do Okta. Para verificar se tudo está configurado corretamente, depois de concluir as etapas de configuração, você fará login como usuário do Okta e verificará o acesso aos recursos da AWS.

nota

Você pode se cadastrar em uma conta do Okta (teste gratuito) que tem a aplicação IAM Identity Center do Okta's instalada. Para produtos da Okta pagos, talvez seja necessário confirmar se sua licença do Okta é compatível com gerenciamento do ciclo de vida ou recursos similares que permitam o provisionamento externo. Esses recursos podem ser necessários para configurar o SCIM do Okta para o IAM Identity Center.

Se você ainda não habilitou o IAM Identity Center, consulte Habilitar o AWS IAM Identity Center.

Considerações

  • Antes de configurar o provisionamento SCIM entre o Okta e o IAM Identity Center, é recomendável que você revise as Considerações sobre o uso do provisionamento automático.

  • Todo usuário do Okta deve ter um valor especificado de Nome, Sobrenome, Nome de usuário e Nome de exibição.

  • Todo usuário do Okta tem apenas um valor por atributo de dados, como endereço de e-mail ou número de telefone. Haverá falha na sincronização de usuários com vários valores. Se houver usuários com vários valores em seus atributos, remova os atributos duplicados antes de tentar provisionar o usuário no IAM Identity Center. Por exemplo, somente um único atributo de número de telefone pode ser sincronizado, já que o atributo de número de telefone padrão é "telefone comercial", use o atributo "telefone comercial" para armazenar o número de telefone do usuário, mesmo que o telefone do usuário seja residencial ou celular.

  • Ao usar o Okta com o IAM Identity Center, IAM Identity Center geralmente é configurado como uma aplicação no Okta. Isso permite que você configure várias instâncias do IAM Identity Center como várias aplicações, permitindo acesso a várias organizações da AWS em uma única instância do Okta.

  • Os direitos e os atributos de perfil não são compatíveis e não podem ser sincronizados com o IAM Identity Center.

  • Atualmente não é possível usar o mesmo grupo do Okta para atribuições e envio automático de grupos. Para manter as associações dos grupos consistentes entre o Okta e o IAM Identity Center, crie um grupo separado e configure-o para enviar automaticamente os grupos para o IAM Identity Center.

Etapa 1: Okta: obter os metadados SAML da sua conta da Okta

  1. Faça login no Okta admin dashboard, expanda Aplicações e selecione Aplicações.

  2. Na página Applications (Aplicações), escolha Browse App Catalog (Navegar pelo App Catalog).

  3. Na caixa de pesquisa, digite AWS IAM Identity Center, selecione a aplicação para adicioná-la ao IAM Identity Center.

  4. Selecione a guia Fazer login.

  5. Em Certificados de assinatura SAML, selecione Ações e depois Visualizar metadados do IdP. Uma nova guia de navegador é aberta mostrando a árvore de documentos de um arquivo XML. Selecione todo o XML de <md:EntityDescriptor> a </md:EntityDescriptor> e copie-o em um arquivo de texto.

  6. Salve o arquivo de texto como metadata.xml.

Deixe o Okta admin dashboard aberto, pois você continuará usando esse console em etapas posteriores.

Etapa 2: IAM Identity Center: configurar o Okta como fonte de identidades para o IAM Identity Center

  1. Abra o console do IAM Identity Center como um usuário com privilégios administrativos.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Na página Configurações, escolha Ações e depois Alterar fonte de identidades.

  4. Em Escolher fonte de identidade, selecione Escolher fonte de identidade e, depois, Próximo.

  5. Em Configurar provedor de identidades externo, faça o seguinte:

    1. Em Metadados do provedor de serviços, escolha Baixar arquivo de metadados para baixar o arquivo de metadados do IAM Identity Center e salvá-lo em seu sistema. Você fornecerá o arquivo de metadados SAML do IAM Identity Center ao Okta posteriormente neste tutorial.

      Copie os seguintes itens em um arquivo de texto para facilitar o acesso:

      • URL do Assertion Consumer Service (ACS) do IAM Identity Center

      • URL do emissor do IAM Identity Center

      Você vai precisar desses valores mais adiante neste tutorial.

    2. Em Metadados do provedor de identidades, em Metadados do IdP SAML, selecione Escolher arquivo e selecione o arquivo metadata.xml que você criou no procedimento anterior.

    3. Escolha Próximo.

  6. Depois de ler a isenção de responsabilidade e estar pronto para continuar, insira ACEITAR.

  7. Escolha Alterar origem de identidade.

    Deixe o console da AWS aberto, pois você continuará usando esse console no próximo procedimento.

  8. Volte para o Okta admin dashboard e selecione a guia Fazer login da aplicação AWS IAM Identity Center e selecione Editar.

  9. Em Configurações avançadas de login, insira o seguinte:

    • Em URL do ACS, insira o valor que você copiou para URL do Assertion Consumer Service (ACS) do IAM Identity Center

    • Em URL do emissor, insira o valor que você copiou para URL do emissor do IAM Identity Center

    • Em Formato de nome de usuário da aplicação, selecione uma das opções do menu.

      Certifique-se de que o valor escolhido seja exclusivo de cada usuário. Para este tutorial, selecione o Nome de usuário do Okta

  10. Escolha Salvar.

Agora você está pronto para provisionar usuários do Okta no IAM Identity Center. Deixe o Okta admin dashboard aberto e volte para o console do IAM Identity Center para o realizar a próxima etapa.

Etapa 3: IAM Identity Center e Okta: provisionar usuários do Okta

  1. Na página Configurações do console do IAM Identity Center, localize a caixa de informações Provisionamento automático e escolha Habilitar. Isso habilita o provisionamento automático no IAM Identity Center e exibe as informações necessárias do endpoint SCIM e as informações do token de acesso.

  2. Na caixa de diálogo Provisionamento automático de entrada, copie os valores para as seguintes opções:

    1. SCIM endpoint - por exemplo, https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. Token de acesso: escolha Mostrar token para copiar o valor.

    Atenção

    Esse é a única vez que você pode obter o endpoint e o token de acesso SCIM. Certifique-se de copiar esses valores antes de prosseguir. Você inserirá esses valores para configurar o provisionamento automático no Okta mais adiante neste tutorial.

  3. Escolha Fechar.

  4. Volte para o Okta admin dashboard e navegue até a aplicação IAM Identity Center.

  5. Na página Aplicação do IAM Identity Center, escolha a guia Provisionamento e, no painel de navegação esquerdo, em Configurações, escolha Integração.

  6. Escolha Editar e marque a caixa de seleção ao lado de Habilitar integração de API para habilitar o provisionamento automático.

  7. Configure Okta com os valores de provisionamento SCIM do AWS IAM Identity Center que você copiou anteriormente nesta etapa:

    1. No campo URL da base, insira o valor do Endpoint SCIM.

    2. No campo Token da API, insira o valor do Token de acesso.

  8. Escolha Testar credenciais da API para verificar se as credenciais inseridas são válidas.

    A mensagem O AWS IAM Identity Center foi verificado com sucesso! é exibida.

  9. Escolha Salvar. Você é levado para a seção Configurações, com a opção Integração selecionada.

  10. Em Configurações, escolha Para aplicação e marque a caixa de seleção Habilitar para cada um dos atributos de Provisionamento para aplicação que você deseja habilitar. Para este tutorial, selecione todas as opções.

  11. Escolha Salvar.

Agora você está pronto para sincronizar os usuários do Okta com o IAM Identity Center.

Etapa 4: Okta: sincronizar os usuários do Okta com o IAM Identity Center

Por padrão, nenhum usuário ou grupo está atribuído à aplicação IAM Identity Center do Okta. Os grupos de aprovisionamento provisionam os usuários que são membros do grupo. Conclua as etapas a seguir para sincronizar grupos e usuários com o AWS IAM Identity Center.

  1. Na página Aplicação do IAM Identity Center do Okta, escolha a guia Atribuições. Você pode atribuir pessoas e grupos à aplicação IAM Identity Center.

    1. Para atribuir pessoas:

      • Na página Atribuições, escolha Atribuir e, em depois, escolha Atribuir a pessoas.

      • Escolha os usuários do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha Atribuir, Salvar e voltar e escolha Concluído.

      Isso inicia o processo de provisionamento de usuários para o IAM Identity Center.

    2. Para atribuir grupos:

      • Na página Atribuições, escolha Atribuir e depois Atribuir a grupos.

      • Escolha os grupos do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha Atribuir, Salvar e voltar e escolha Concluído.

      Isso inicia o processo de provisionamento dos usuários do grupo no IAM Identity Center.

      nota

      Talvez seja necessário especificar atributos adicionais para o grupo se eles não estiverem presentes em todos os registros de usuário. Os atributos especificados para o grupo substituirão os valores dos atributos individuais.

  2. Escolha a guia Enviar por push para grupos. Escolha o grupo do Okta que você deseja sincronizar com o IAM Identity Center. Escolha Salvar.

    O status do grupo muda para Ativo depois que o grupo e seus membros são enviados automaticamente para o IAM Identity Center.

  3. Volte para a guia Atribuições.

  4. Para adicionar usuários individuais do Okta ao IAM Identity Center, use as seguintes etapas:

    1. Na página Atribuições, escolha Atribuir e, em seguida, escolha Atribuir a pessoas.

    2. Escolha os usuários do Okta que você deseja que tenham acesso à aplicação IAM Identity Center. Escolha Atribuir, Salvar e voltar e escolha Concluído.

      Isso inicia o processo de provisionamento de usuários individuais para o IAM Identity Center.

      nota

      Você também pode atribuir usuários e grupos à aplicação AWS IAM Identity Center na página Aplicações do Okta admin dashboard. Para fazer isso, selecione o ícone de Configurações e escolha Atribuir a usuários ou Atribuir a grupos e especifique o usuário ou o grupo.

  5. Volte para o console do IAM Identity Center. No painel de navegação esquerdo, selecione Usuários. Você deve ver a lista de usuários preenchida com seus usuários do Okta.

Parabéns!

Você configurou com sucesso uma conexão SAML entre o Okta e o AWS, e verificou que o provisionamento automático está funcionando. Agora você pode atribuir esses usuários a contas no IAM Identity Center. Para este tutorial, na próxima etapa, vamos designar um dos usuários como administrador do IAM Identity Center, concedendo a ele permissões administrativas para a conta de gerenciamento.

Passagem de atributos para controle de acesso: opcional

Opcionalmente, você pode usar o atributo Atributos para controle de acesso no IAM Identity Center para passar um elemento Attribute com o atributo Name definido como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento permite que você passe atributos como tags de sessão na declaração do SAML. Para obter mais informações sobre tags de sessão, consulte Passar tags de sessão AWS STS no Guia de usuário do IAM.

Para passar atributos como tags de sessão, inclua o elemento AttributeValue que especifica o valor da tag. Por exemplo, para passar o par chave-valor de tag CostCenter = blue, use o atributo a seguir.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Se você precisar adicionar vários atributos, inclua um elemento separado Attribute para cada tag.

Atribuir acesso a Contas da AWS

As próximas etapas só são necessárias para conceder acesso apenas a Contas da AWS. Essas etapas não são necessárias para conceder acesso a aplicações da AWS.

Etapa 1: IAM Identity Center: conceder aos usuários do Okta acesso a contas

  1. No painel de navegação do IAM Identity Center, em Permissões multicontas, escolha Contas da AWS.

  2. Na página Contas da AWS, a Estrutura organizacional exibe a raiz organizacional com as contas abaixo dela na hierarquia. Marque a caixa de seleção da conta de gerenciamento e selecione Atribuir usuários ou grupos.

  3. O fluxo de trabalho Atribuir usuários e grupos é exibido. Ele consiste em três etapas:

    1. Em Etapa 1: selecionar usuários e grupos, escolha o usuário que desempenhará a função de administrador. Em seguida, escolha Próximo.

    2. Em Etapa 2: selecionar conjuntos de permissões, escolha Criar conjunto de permissões para abrir uma nova guia que orienta você pelas três sub-etapas da criação de um conjunto de permissões.

      1. Em Etapa 1: selecionar o tipo de conjunto de permissões, preencha o seguinte:

        • Em Tipo de conjunto de permissões, escolha Conjunto de permissões predefinido.

        • Em Política para conjunto de permissões predefinido, escolha AdministratorAccess.

        Escolha Próximo.

      2. Em Etapa 2: especificar detalhes do conjunto de permissões, mantenha as configurações padrão e escolha Avançar.

        As configurações padrão criam um conjunto de permissões denominado AdministratorAccess com a duração da sessão definida como uma hora.

      3. Em Etapa 3: revisar e criar, verifique se o Tipo de conjunto de permissões usa a política gerenciada pela AWS AdministratorAccess. Escolha Criar. Na página Conjuntos de permissões, é exibida uma notificação informando que o conjunto de permissões foi criado. Você agora pode fechar essa guia do navegador.

      Na guia Atribuir usuários e grupos do navegador, você ainda está na Etapa 2: selecionar conjuntos de permissões na qual você iniciou o fluxo de trabalho de criação do conjunto de permissões.

      Na área Conjuntos de permissões, escolha o botão Atualizar. O conjunto de permissões AdministratorAccess que você criou aparece na lista. Marque a caixa de seleção do conjunto de permissões e escolha Avançar.

    3. Na Etapa 3: revisar e enviar, revise o usuário e o conjunto de permissões selecionados e escolha Enviar.

      A página é atualizada com uma mensagem informando que a sua Conta da AWS está sendo configurada. Aguarde a conclusão do processo.

      Você será levado de volta para a página Contas da AWS. Uma mensagem informa que a sua Conta da AWS foi reprovisionada e que o conjunto de permissões atualizado foi aplicado. Quando o usuário fizer login, ele terá a opção de escolher o perfil AdministratorAccess.

Etapa 2: Okta: confirmar o acesso dos usuários do Okta aos recursos da AWS

  1. Faça login usando uma conta de teste no Okta dashboard.

  2. Em Minhas aplicações, selecione o ícone do AWS IAM Identity Center.

  3. Você deve ver o ícone da Conta da AWS. Expanda esse ícone para ver a lista de Contas da AWS que o usuário pode acessar. Neste tutorial, você só trabalhou com uma conta, portanto, a expansão do ícone só mostra uma conta.

  4. Selecione a conta para exibir os conjuntos de permissões disponíveis para o usuário. Neste tutorial, você criou o conjunto de permissões AdministratorAccess.

  5. Ao lado do conjunto de permissões, há links para o tipo de acesso disponível para aquele conjunto de permissões. Quando criou o conjunto de permissões, você especificou o acesso ao AWS Management Console e o acesso programático. Selecione Console de gerenciamento para abrir o AWS Management Console.

  6. O usuário faz login no AWS Management Console.

Próximas etapas

Agora que você configurou o Okta como provedor de identidades e provisionou usuários no IAM Identity Center, você pode:

Solução de problemas

Para solucionar problemas gerais de SCIM e SAML com o Okta, consulte as seguintes seções:

Reprovisionamento de usuários e grupos excluídos do IAM Identity Center

  • Você poderia receber a seguinte mensagem de erro no console do Okta se estivesse tentando alterar um usuário ou grupo do Okta que já foi sincronizado e depois excluído do IAM Identity Center:

    • Falha do no envio automático do perfil da usuária Maria da Silva para a aplicação AWS IAM Identity Center: erro ao tentar enviar automaticamente a atualização do perfil para maria_silva@exemplo.com: nenhum usuário retornado para o usuário xxxxx-xxxxxx-xxxxx-xxxxxxx

    • O grupo vinculado está faltando no AWS IAM Identity Center. Altere o grupo vinculado para retomar o envio automático de associações ao grupo.

  • Você também poderia receber a seguinte mensagem de erro nos logs de sistemas do Okta para usuários ou grupos do IAM Identity Center sincronizados e excluídos:

    • Erro do Okta: Eventfailed application.provision.user.push_profile : Nenhum usuário retornado para o usuário xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Erro do Okta: application.provision.group_push.mapping.update.or.delete.failed.with.error : o grupo vinculado está faltado em AWS IAM Identity Center. Altere o grupo vinculado para retomar o envio automático de associações ao grupo.

Atenção

Usuários e grupos devem ser excluídos do Okta em vez do IAM Identity Center se você tiver sincronizado o Okta com o IAM Identity Center usando SCIM.

Solução de problemas de usuários excluídos do IAM Identity Center

Para resolver esse problema de usuários excluídos do IAM Identity Center, os usuários devem ser excluídos do Okta. Se necessário, esses usuários também deveriam ser recriados emOkta. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um usuário, consulte a documentação do Okta.

nota

Se você precisar remover o acesso de um usuário do Okta ao IAM Identity Center, primeiro remova-o do envio automático de grupo e depois do grupo de atribuição no Okta. Isso garante que o usuário seja removido da sua associação ao grupo correspondente no IAM Identity Center. Para obter mais informações sobre solução de problemas de envio automático de grupo, consulte a documentação do Okta.

Solução de problemas de grupos do IAM Identity Center excluídos

Para resolver esse problema de grupos do IAM Identity Center excluídos, os usuários devem ser excluídos do Okta. Se necessário, esses grupos também precisariam ser recriados no Okta usando o envio automático de grupo. Quando o usuário for recriado no Okta, ele também será reprovisionado no IAM Identity Center por SCIM. Para ter mais informações sobre a exclusão de um grupo, consulte a documentação do Okta.

Erro de provisionamento automático no Okta

Se você recebeu um a seguinte mensagem de erro no Okta:

Falha no provisionamento automático da usuária Maria da Silva para a aplicação AWS IAM Identity Center: usuário correspondente não encontrado

Consulte a documentação do Okta para obter mais informações.

Recursos adicionais

Os seguintes recursos podem ajudar você a solucionar problemas ao trabalhar com o AWS:

  • AWS re:Post: encontre as perguntas frequentes e links para outros recursos para ajudar você a solucionar problemas.

  • AWS Support: obter suporte técnico