选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

配置 SAML 和 SCIM Okta 和 IAM 身份中心

PDF
RSS
聚焦模式
配置 SAML 和 SCIM Okta 和 IAM 身份中心 - AWS IAM Identity Center
注意事项第 1 步:Okta: 从您的 SAML 元数据中获取 Okta 账户步骤 2:IAM 身份中心:配置 Okta 作为 IAM 身份中心的身份来源步骤 3:IAM 身份中心和 Okta: 供应 Okta 用户第 4 步:Okta: 同步来自的用户 Okta 使用 IAM 身份中心传递访问控制属性 – 可选将访问权限分配给 AWS 账户后续步骤故障排除

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可以自动配置或同步来自的用户和组信息 Okta 使用跨域身份管理系统 (SCIM) 2.0 协议进入 IAM 身份中心。有关更多信息,请参阅 对外部身份提供者使用 SAML 和 SCIM 身份联合验证

要在中配置此连接 Okta,您可以使用用于 IAM 身份中心的 SCIM 终端节点和由 IAM 身份中心自动创建的不记名令牌。配置 SCIM 同步时,可以在中创建用户属性的映射 Okta 到 IAM 身份中心中的命名属性。此映射与 IAM Identity Center 和您的预期用户属性相匹配 Okta account。

Okta 通过 SCIM 连接到 IAM 身份中心时,支持以下配置功能:

  • 创建用户 — 分配给 IAM 身份中心应用程序的用户 Okta 已在 IAM 身份中心进行配置。

  • 更新用户属性 — 分配到 IAM Identity Center 应用程序的用户的属性更改 Okta 已在 IAM 身份中心更新。

  • 停用用户 — 未从 IAM 身份中心应用程序分配的用户 Okta 已在 IAM 身份中心中被禁用。

  • 群组推送 — 群组(及其成员) Okta 已同步到 IAM 身份中心。

    注意

    最大限度地减少两者的管理开销 Okta 和 IAM Identity Center,我们建议您分配和推送群组,而不是个人用户。

目标

在本教程中,您将逐步使用设置 SAML 连接 Okta IAM 身份中心。稍后,您将同步来自的用户 Okta,使用 SCIM。在这种情况下,您可以管理中的所有用户和群组 Okta。 用户通过登录 Okta 传送门。要验证所有配置是否正确,请在完成配置步骤后以用户身份登录 Okta 用户并验证对 AWS 资源的访问权限。

注意

你可以注册一个 Okta 账号(免费试用)有 Okta's 已安装 IAM 身份中心应用程序。有偿的 Okta 产品,您可能需要确认您的 Okta 许可证支持生命周期管理或支持出站配置的类似功能。从以下位置配置 SCIM 可能需要这些功能 Okta 到 IAM 身份中心。

如果您尚未启用 IAM Identity Center,请参阅 启用 IAM Identity Center

注意事项

  • 在配置 SCIM 配置之前 Okta 和 IAM 身份中心,我们建议您先查看使用自动预置的注意事项

  • 每个 Okta 用户必须指定名字、姓用户名显示名称值。

  • 每个 Okta 用户的每个数据属性只有一个值,例如电子邮件地址或电话号码。若用户有多个值,则无法同步。如果用户的属性中有多个值,请先删除重复的属性,然后再尝试在 IAM Identity Center 中预置用户。例如,只能同步一个电话号码属性,因为默认的电话号码属性是“工作电话”,所以即使用户的电话号码是家庭电话号码或移动电话号码,也将使用“工作电话”属性存储其电话号码。

  • 使用时 Okta 在 IAM 身份中心中,IAM 身份中心通常配置为应用程序 Okta。 这允许您将 IAM Identity Center 的多个实例配置为多个应用程序,从而支持在单个实例中访问多 AWS 个 Organization Okta.

  • 不支持权限和角色属性,也无法将其同步到 IAM Identity Center。

  • 使用相同的 Okta 目前不支持同时使用群组进行作业和群组推送。在两者之间保持一致的群组成员资格 Okta 和 IAM Identity Center,创建一个单独的群组并将其配置为将群组推送到 IAM 身份中心。

第 1 步:Okta: 从您的 SAML 元数据中获取 Okta 账户

  1. 登录 Okta admin dashboard,展开应用程序,然后选择应用程序

  2. 应用程序页面,选择浏览应用程序目录

  3. 在搜索框中键入 AWS IAM Identity Center,选择要添加 IAM Identity Center 应用程序的应用程序。

  4. 选择登录选项卡。

  5. SAML 签名证书下,选择操作,然后选择查看 IdP 元数据。将打开一个新的浏览器选项卡,显示 XML 文件的文档树。选择从 <md:EntityDescriptor></md:EntityDescriptor> 的所有 XML,将其复制到文本文件。

  6. 将文本文件保存为 metadata.xml

离开 Okta admin dashboard 打开,您将在后续步骤中继续使用此控制台。

步骤 2:IAM 身份中心:配置 Okta 作为 IAM 身份中心的身份来源

  1. 以具有管理权限的用户身份打开 IAM Identity Center 控制台

  2. 在左侧导航窗格中,选择设置

  3. 设置页面,选择操作,然后选择更改身份源

  4. 选择身份源下选择外部身份提供者,然后选择下一步

  5. 配置外部身份提供商下,执行以下操作:

    1. 服务提供商元数据下,选择下载元数据文件,以下载 IAM Identity Center 元数据文件,并将其保存在您的系统中。您需要将 IAM 身份中心 SAML 元数据文件提供给 Okta 在本教程的后面部分。

      将以下项目复制到文本文件,以便于访问:

      • IAM Identity Center 断言使用者服务 (ACS) URL

      • IAM Identity Center 发布者 URL

      本教程稍后会用到这些值。

    2. 身份提供者元数据下的 IdP SAML 元数据下,选择选择文件,然后选择您在上一步创建的 metadata.xml 文件。

    3. 选择下一步

  6. 阅读免责声明并准备继续操作后,输入接受

  7. 选择更改身份源

    保持 AWS 控制台处于打开状态,您将在下一步中继续使用此控制台。

  8. 返回到 Okta admin dashboard ,然后选择 AWS IAM Identity Center 应用程序的 “登录” 选项卡,然后选择 “编辑”。

  9. 高级登录设置下,输入以下内容:

    • ACS URL 中,输入您复制的 IAM Identity Center 断言使用者服务(ACS)URL

    • 发布者 URL 中,输入您复制的 IAM Identity Center 发布者 URL

    • 应用程序用户名格式中,选择菜单中的一个选项。

      确保您选择的值对每个用户来说都是唯一的。在本教程中,选择 Okta 用户名

  10. 选择保存

现在,您可以从中配置用户了 Okta 到 IAM 身份中心。离开 Okta admin dashboard 打开,然后返回 IAM 身份中心控制台进行下一步。

步骤 3:IAM 身份中心和 Okta: 供应 Okta 用户

  1. 在 IAM Identity Center 控制台的设置页面,找到自动预置信息框,然后选择启用。这会在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。

  2. 入站自动预置对话框中,复制以下选项的各个值:

    1. SCIM 端点 ——例如,https://scim。 us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

    2. 访问令牌 - 选择显示令牌以复制该值。

    警告

    这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前,务必复制这些值。您将在中输入这些值来配置自动配置 Okta 在本教程的后面部分。

  3. 选择关闭

  4. 返回到 Okta admin dashboard 然后导航到 IAM 身份中心应用程序。

  5. IAM Identity Center 应用程序页面,选择预置选项卡,然后在左侧导航栏的设置下选择集成

  6. 选择编辑,然后选中启用 API 集成旁边的复选框,以启用自动预置。

  7. 配置 Okta 使用您在本步骤前面复制 AWS IAM Identity Center 的 SCIM 配置值:

    1. 基本 URL 字段,输入 SCIM 端点值。

    2. API 令牌字段,输入访问令牌值。

  8. 选择测试 API 凭证以验证输入的凭证是否有效。

    将显示 AWS IAM Identity Center 验证成功!消息。

  9. 选择保存。您将移至设置部分,集成为选中状态。

  10. 设置下,选择至应用程序,然后为每个要启用的预置至应用程序功能选择启用复选框。在本教程中,请选择所有选项。

  11. 选择保存

现在,您可以同步来自的用户了 Okta 使用 IAM 身份中心。

第 4 步:Okta: 同步来自的用户 Okta 使用 IAM 身份中心

默认情况下,不会向您分配任何群组或用户 Okta IAM 身份中心应用程序。通过预置组,该组的成员用户也会被预置。完成以下步骤,将群组和用户与同步 AWS IAM Identity Center。

  1. Okta IAM Identity Center 应用程序页面,选择任务选项卡。您可以将人员和组分配至 IAM Identity Center 应用程序。

    1. 要分配人员:

      • 分配页面,选择分配,然后选择分配给人员

      • 选择 Okta 您希望有权访问 IAM 身份中心应用程序的用户。选择分配,选择保存并返回,然后选择完成

      这将启动将用户预置到 IAM Identity Center 的过程。

    2. 要分配组:

      • 分配页面,选择分配,然后选择分配给组

      • 选择 Okta 您希望有权访问 IAM 身份中心应用程序的群组。选择分配,选择保存并返回,然后选择完成

      这将启动将组中的用户预置到 IAM Identity Center 的过程。

      注意

      如果所有用户记录中都没有该组的属性,您可能需要为该组指定其他属性。为组指定的属性将覆盖任何单独属性的值。

  2. 选择推送组选项卡。选择 Okta 您要与 IAM 身份中心同步的群组。选择保存

    将组及其成员推送到 IAM Identity Center 后,组状态将更改为活动

  3. 返回分配选项卡。

  4. 添加个人 Okta 用户访问 IAM 身份中心,请按以下步骤操作:

    1. 分配页面,选择分配,然后选择分配给人员

    2. 选择 Okta 您希望有权访问 IAM 身份中心应用程序的用户。选择分配,选择保存并返回,然后选择完成

      这将启动将单个用户预置到 IAM Identity Center 的过程。

      注意

      您也可以从应用程序的 “应用程序” 页面为 AWS IAM Identity Center 应用程序分配用户和群组 Okta admin dashboard。 为此,请选择 “设置” 图标,然后选择 “分配给用户” 或 “分配给群组”,然后指定用户或群组。

  5. 返回 IAM Identity Center 控制台。在左侧导航栏中,选择 “用户”,您应该会看到由您填充的用户列表 Okta 用户。

恭喜您!

您已成功在两者之间建立 SAML 连接 Okta AWS 并已验证自动配置正在起作用。您现在可以在 IAM Identity Center 中将这些用户分配给账户和应用程序。在本教程的下一步,我们将指定一名用户,通过赋予其对管理账户的管理权限,使其成为 IAM Identity Center 管理员。

传递访问控制属性 – 可选

您可以选择使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}Attribute 元素。此元素允许您将属性作为 SAML 断言中的会话标签传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 AWS STS中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对CostCenter = blue,请使用以下属性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。

将访问权限分配给 AWS 账户

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

步骤 1:IAM 身份中心:授予 Okta 用户对账户的访问权限

  1. 在 IAM Identity Center 导航窗格的多账户权限下,选择 AWS 账户

  2. AWS 账户 页面,组织结构将显示您的组织根目录,您的账户将以分层结构列于其下方。选中管理账户对应的复选框,然后选择分配用户或组

  3. 此时将显示分配用户和组工作流程。它包括三个步骤:

    1. 对于步骤 1:选择用户和组,选择将要执行管理员工作职能的用户。然后选择下一步

    2. 对于步骤 2:选择权限集,选择创建权限集打开新的标签页,该标签页将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于步骤 1:选择权限集类型,请完成以下操作:

        • 权限集类型中,选择预定义权限集

        • 预定义权限集的策略中,选择AdministratorAccess

        选择下一步

      2. 对于步骤 2:指定权限集详细信息,保留默认设置,并选择下一步

        默认设置会创建名为AdministratorAccess、会话持续时间设置为一小时的权限集。

      3. 对于 “步骤 3:查看并创建”,请验证权限集类型是否使用 AWS 托管策略AdministratorAccess。选择创建权限集页面会显示通知,告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      分配用户和组浏览器标签页,您仍处于步骤 2:选择权限集,您将在这里启动创建权限集工作流程。

      权限集区域,选择刷新按钮。您创建的AdministratorAccess权限集将出现在列表中。选择该权限集的复选框,然后选择下一步

    3. 对于步骤 3:查看并提交,请查看选定的用户和权限集,然后选择提交

      页面更新时会显示一条消息,告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息,告知您 AWS 账户 已重新配置您的权限集,并且已应用更新的权限集。当用户登录时,他们可以选择角色。AdministratorAccess

第 2 步:Okta: 确认 Okta 用户对 AWS 资源的访问权限

  1. 使用测试账号登录到 Okta dashboard.

  2. 在 “我的应用程序” 下,选择 AWS IAM Identity Center 图标。

  3. 您应该会看到该 AWS 账户 图标。展开该图标可查看用户可以访问的 AWS 账户 列表。在本教程中,您只使用了一个账户,因此展开图标只显示一个账户。

  4. 选择账户,以显示用户可用的权限集。在本教程中,您创建了AdministratorAccess权限集。

  5. 权限集旁边是该权限集可用访问权限类型的链接。创建权限集时,您指定了对权限 AWS Management Console 和编程访问权限的访问权限。选择管理控制台,打开 AWS Management Console。

  6. 用户已登录到 AWS Management Console。

后续步骤

现在你已经配置好了 Okta 作为身份提供商和 IAM Identity Center 中的预配置用户,您可以:

故障排除

有关一般的 SCIM 和 SAML 故障排除 Okta,请参阅以下章节:

重新配置从 IAM Identity Center 删除的用户和组

  • 您可能会在中收到以下错误消息 Okta 控制台,如果您正在尝试更改用户或群组 Okta 它曾经被同步,然后从 IAM 身份中心删除:

    • 自动将用户个人资料推送Jane Doe到应用程序 AWS IAM Identity Center 失败:尝试推送个人资料更新时出错jane_doe@example.com:用户未返回任何用户 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • 中缺少关联的群组 AWS IAM Identity Center。Change the linked group to resume pushing group memberships.

  • 您还可能在中收到以下错误消息 Okta的已同步和已删除的 IAM Identity Center 用户或群组的系统日志:

    • Okta 错误:事件失败 application.provision.user.puser.push_profile:用户未返回任何 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta 错误:application.provision.group_group_push.mapping.update.or.delete.failed.with.error:中缺少链接组。 AWS IAM Identity Center Change the linked group to resume pushing group memberships.

警告

应从中删除用户和群组 Okta 如果您已同步,则不是 IAM 身份中心 Okta 以及使用 SCIM 的 IAM 身份中心。

排查已删除的 IAM Identity Center 用户问题

要解决已删除的 IAM Identity Center 用户的问题,必须将这些用户从中删除 Okta。 如有必要,还需要在中重新创建这些用户 Okta。 在中重新创建用户时 Okta,它还将通过 SCIM 重新配置到 IAM 身份中心。有关删除用户的更多信息,请参阅 Okta 文档

注意

如果你需要移除 Okta 用户对 IAM Identity Center 的访问权限,您应该先将他们从群组推送中移除,然后将其从群组推送中移除,然后将其从 Okta。 这可确保用户从 IAM Identity Center 中的关联群组成员资格中移除。有关群组推送疑难解答的更多信息,请参阅 Okta 文档

排查已删除的 IAM Identity Center 组问题

要解决已删除的 IAM Identity Center 组的这一问题,必须从 Okta 中删除组。如有必要,还需要使用“组推送”在 Okta 中重新创建这些组。在 Okta 中重新创建用户时,还会通过 SCIM 将其重新预置到 IAM Identity Center。有关删除组的更多信息,请参阅 Okta 文档

中的自动配置错误 Okta

如果您在中收到以下错误消息 Okta:

将用户 Jane Doe 自动配置到应用程序 AWS IAM Identity Center 失败:未找到匹配的用户

请参阅 。Okta 文档以获取更多信息。

其他资源

以下资源可以帮助您在使用时进行故障排除 AWS:

下一主题:

OneLogin

上一主题:

Microsoft Entra ID

需要帮助吗?

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。