SCIM 使用 設定 SAML和 Okta 和 IAM Identity Center - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SCIM 使用 設定 SAML和 Okta 和 IAM Identity Center

您可以從 自動佈建或同步使用者和群組資訊 Okta 使用 System for Cross-domain Identity Management (SCIM) 2.0 通訊協定 進入 IAM Identity Center。若要在 中設定此連線 Okta,您可以使用 IAM Identity Center 的SCIM端點和 IAM Identity Center 自動建立的不記名權杖。當您設定SCIM同步時,您可以在 中建立使用者屬性的映射 Okta 到 IAM Identity Center 中的具名屬性。此映射符合 IAM Identity Center 與您的 之間的預期使用者屬性 Okta 帳戶。

Okta 透過 連線至 IAM Identity Center 時, 支援下列佈建功能SCIM:

  • 建立使用者 – 在 中指派給 IAM Identity Center 應用程式的使用者 Okta 在 IAM Identity Center 中佈建。

  • 更新使用者屬性 – 在 中指派給 IAM Identity Center 應用程式的使用者的屬性變更 Okta 會在 IAM Identity Center 中更新。

  • 停用使用者 – 從 中的 IAM Identity Center 應用程式取消指派的使用者 Okta 會在 IAM Identity Center 中停用。

  • 群組推送 – 中的群組 (及其成員) Okta 會同步到 IAM Identity Center。

    注意

    將兩者的管理開銷降至最低 Okta 和 IAM Identity Center,建議您指派和推送群組,而不是個別使用者。

目標

在本教學課程中,您將逐步解說如何設定與 的SAML連線 Okta IAM 身分中心。稍後,您將同步來自 的使用者 Okta,使用 SCIM。在此案例中,您可以在 中管理所有使用者和群組 Okta。 使用者透過 登入 Okta 入口網站。若要驗證所有設定是否正確,在完成設定步驟後,您將以 身分登入 Okta 使用者並驗證對 AWS 資源的存取。

注意

您可以註冊 Okta 帳戶 (免費試用 ) 具有 Okta's 已安裝IAM Identity Center 應用程式。對於付費 Okta 產品,您可能需要確認您的 Okta 授權支援啟用傳出佈建的生命週期管理或類似功能。這些功能可能需要SCIM從 設定 Okta 至 IAM Identity Center。

如果您尚未啟用 IAM Identity Center,請參閱 啟用 AWS IAM Identity Center

  • 設定 之間的SCIM佈建之前 Okta 和 IAM Identity Center,我們建議您先檢閱 使用自動佈建的考量

  • 每個 Okta 使用者必須指定名字、姓氏使用者名稱顯示名稱值。

  • 每個 Okta 使用者每個資料屬性只有一個值,例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果使用者在其屬性中具有多個值,請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,所以即使使用者的電話號碼是家用電話或行動電話,也請使用「工作電話」屬性來儲存使用者的電話號碼。

  • 使用 時 Okta 使用 IAM Identity Center,IAMIdentity Center 通常在 中設定為應用程式 Okta。 這可讓您將 IAM Identity Center 的多個執行個體設定為多個應用程式,以支援在 的單一執行個體內存取多個 AWS 組織 Okta.

  • 不支援權限和角色屬性,且無法與 IAM Identity Center 同步。

  • 使用相同的 Okta 目前不支援指派和群組推送的 群組。在 之間維持一致的群組成員資格 Okta 和 IAM Identity Center,建立單獨的群組,並將其設定為將群組推送至 IAM Identity Center。

  1. 登入 Okta admin dashboard,展開應用程式 ,然後選取應用程式

  2. Applications (應用程式) 頁面上,選擇 Browse App Catalog (瀏覽應用程式目錄)。

  3. 在搜尋方塊中,輸入 AWS IAM Identity Center,選取要新增 IAM Identity Center 應用程式的應用程式。

  4. 選取登入索引標籤。

  5. SAML簽署憑證 下,選取動作 ,然後選取檢視 IdP 中繼資料 。新的瀏覽器索引標籤會開啟,顯示XML檔案的文件樹狀目錄。選取XML從 <md:EntityDescriptor> 到 的所有 ,</md:EntityDescriptor>並將其複製到文字檔案。

  6. 將文字檔案儲存為 metadata.xml

離開 Okta admin dashboard 開啟時,您將在後續步驟中繼續使用此主控台。

  1. 以具有管理權限的使用者身分開啟 IAM Identity Center 主控台

  2. 在左側導覽窗格中選擇設定

  3. 設定頁面上,選擇動作 ,然後選擇變更身分來源

  4. 選擇身分來源 下,選取外部身分提供者 ,然後選擇下一個

  5. 設定外部身分提供者 下,執行下列動作:

    1. 服務供應商中繼資料 下,選擇下載中繼資料檔案以下載 IAM Identity Center 中繼資料檔案,並將其儲存在您的系統上。您將提供 IAM Identity Center SAML中繼資料檔案給 Okta 本教學課程稍後的內容。

      將下列項目複製到文字檔案,以便輕鬆存取:

      • IAM Identity Center Assertion 消費者服務 (ACS) URL

      • IAM Identity Center 發行者 URL

      在本教學稍後部分,您將需要這些值。

    2. 身分提供者中繼資料 下,於 IdP SAML中繼資料 下,選取選擇檔案,然後選取您在上一個步驟中建立metadata.xml的檔案。

    3. 選擇 Next (下一步)

  6. 在您閱讀免責聲明並準備好繼續之後,請輸入 ACCEPT

  7. 選擇變更身分來源

    保持 AWS 主控台開啟,您將在下一個步驟中繼續使用此主控台。

  8. 返回至 Okta admin dashboard 然後選取 AWS IAM Identity Center 應用程式的登入索引標籤,然後選取編輯

  9. 進階登入設定下,輸入以下內容:

    • 針對 ACS URL,輸入您為 IAM Identity Center Assertion Consumer Service (ACS) URL複製的值

    • 針對發行者 URL,輸入您為 IAM Identity Center 發行者URL複製的值

    • 對於應用程式使用者名稱格式 ,從功能表中選取其中一個選項。

      確保您選擇的值對每個使用者都是唯一的。針對本教學課程,選取 Okta 使用者名稱

  10. 選擇 Save (儲存)。

您現在可以從 佈建使用者 Okta 至 IAM Identity Center。離開 Okta admin dashboard 開啟,並返回 IAM Identity Center 主控台進行下一個步驟。

  1. 設定頁面上的IAM身分中心主控台中,找到自動佈建資訊方塊,然後選擇啟用 。這會在 IAM Identity Center 中啟用自動佈建,並顯示必要的SCIM端點和存取權杖資訊。

  2. 傳入自動佈建對話方塊中,複製下列選項的每個值:

    1. SCIM endpoint - 例如 https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2

    2. 存取權杖 - 選擇顯示權杖以複製值。

    警告

    這是您唯一可以取得SCIM端點和存取權杖的時機。在繼續之前,請務必複製這些值。您將輸入這些值,以在 中設定自動佈建 Okta 本教學課程稍後的內容。

  3. 選擇關閉

  4. 返回至 Okta admin dashboard 並導覽至 IAM Identity Center 應用程式。

  5. IAM Identity Center 應用程式頁面上,選擇佈建索引標籤,然後在設定 下的左側導覽中,選擇整合

  6. 選擇編輯 ,然後選擇啟用API整合旁邊的核取方塊以啟用自動佈建。

  7. 設定 Okta 使用您在此步驟中先前複製 AWS IAM Identity Center 的SCIM佈建值:

    1. 基礎URL欄位中,輸入SCIM端點值。

    2. API權杖欄位中,輸入存取權杖值。

  8. 選擇測試API憑證來驗證輸入的憑證是否有效。

    訊息AWS IAM Identity Center 已成功驗證! 隨即顯示。

  9. 選擇 Save (儲存)。您已移至設定區段,並選取整合

  10. 設定 下,選擇至應用程式 ,然後針對您要啟用的每個佈建至應用程式功能,選取啟用核取方塊。針對本教學課程,選取所有選項。

  11. 選擇 Save (儲存)。

您現在可以從 同步您的使用者 Okta 使用 IAM Identity Center。

根據預設,不會將群組或使用者指派給您的 Okta IAM Identity Center 應用程式。佈建群組會佈建屬於群組成員的使用者。完成下列步驟,以使用 同步群組和使用者 AWS IAM Identity Center。

  1. 中Okta IAM Identity Center 應用程式頁面,選擇指派索引標籤。您可以同時將人員和群組指派給 IAM Identity Center 應用程式。

    1. 若要指派人員:

      • 指派頁面中,選擇指派 ,然後選擇指派給人員

      • 選擇 Okta 您想要存取 IAM Identity Center 應用程式的使用者。選擇指派 ,選擇儲存並返回 ,然後選擇完成

      這會開始將使用者佈建至 IAM Identity Center 的程序。

    2. 若要指派群組:

      • 指派頁面中,選擇指派 ,然後選擇指派給群組

      • 選擇 Okta 您想要存取 IAM Identity Center 應用程式的 群組。選擇指派 ,選擇儲存並返回 ,然後選擇完成

      這會開始將群組中的使用者佈建至 IAM Identity Center 的程序。

      注意

      如果群組不存在於所有使用者記錄中,您可能需要為群組指定其他屬性。為群組指定的屬性會覆寫任何個別屬性值。

  2. 選擇推送群組索引標籤。選擇 Okta 您要與 IAM Identity Center 同步的 群組。選擇 Save (儲存)。

    群組及其成員推送至 IAM Identity Center 後,群組狀態會變更為作用中

  3. 返回指派索引標籤。

  4. 若要新增個人 Okta 身分IAM中心的使用者,請使用下列步驟:

    1. 指派頁面中,選擇指派 ,然後選擇指派給人員

    2. 選擇 Okta 您想要存取 IAM Identity Center 應用程式的使用者。選擇指派 ,選擇儲存並返回 ,然後選擇完成

      這會開始將個別使用者佈建至 IAM Identity Center 的程序。

      注意

      您也可以從 的應用程式頁面,將使用者和群組指派給 AWS IAM Identity Center 應用程式 Okta admin dashboard。 若要執行此操作,請選取設定圖示,然後選擇指派給使用者指派給群組,然後指定使用者或群組。

  5. 返回 IAM Identity Center 主控台。在左側導覽中,選取使用者 ,您應該會看到 填入的使用者清單 Okta 使用者。

恭喜您!

您已成功設定 之間的SAML連線 Okta 和 AWS 並確認自動佈建正常運作。您現在可以將這些使用者指派給 IAM Identity Center 中的帳戶和應用程式。對於本教學課程,在下一個步驟中,我們將其中一個使用者授予管理帳戶的管理許可,以將其指定為 IAM Identity Center 管理員。

  1. 在 IAM Identity Center 導覽窗格中的多帳戶許可 下,選擇 AWS 帳戶

  2. AWS 帳戶頁面上,組織結構會在階層中顯示您的組織根及其下的帳戶。選取管理帳戶的核取方塊,然後選取指派使用者或群組

  3. 顯示指派使用者和群組工作流程。它由三個步驟組成:

    1. 對於步驟 1:選取使用者和群組 ,選擇將執行管理員任務功能的使用者。然後選擇下一步

    2. 對於步驟 2:選取許可集 ,選擇建立許可集以開啟新索引標籤,引導您完成建立許可集所涉及的三個子步驟。

      1. 對於步驟 1:選取許可集類型完成下列操作:

        • 許可集類型 中,選擇預先定義的許可集

        • 預先定義許可集 的政策中,選擇 AdministratorAccess

        選擇 Next (下一步)

      2. 對於步驟 2:指定許可集詳細資訊 ,保留預設設定,然後選擇下一步

        預設設定會建立名為 的許可集 AdministratorAccess 工作階段持續時間設定為一小時。

      3. 對於步驟 3:檢閱並建立 ,確認許可集類型使用 AWS 受管政策 AdministratorAccess。選擇 Create (建立)。在許可集頁面上,會出現通知,通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      指派使用者和群組瀏覽器索引標籤上,您仍在步驟 2:選取您從中啟動建立許可集工作流程的許可集。

      許可集區域中,選擇重新整理按鈕。所以此 AdministratorAccess 您建立的許可集會出現在清單中。選取該許可集的核取方塊,然後選擇下一步。

    3. 對於步驟 3:檢閱並提交 ,檢閱選取的使用者和許可集,然後選擇提交

      頁面會以 AWS 帳戶 正在設定 的訊息進行更新。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您,您的 AWS 帳戶 已重新佈建,並套用已更新的許可集。當使用者登入時,他們可以選擇 AdministratorAccess 角色。

  1. 使用測試帳戶登入 Okta dashboard.

  2. 我的應用程式 下,選取 AWS IAM Identity Center 圖示。

  3. 您應該會看到 AWS 帳戶 圖示。展開該圖示以查看使用者可存取 AWS 帳戶 的清單。在本教學課程中,您只使用單一帳戶,因此展開圖示只會顯示一個帳戶。

  4. 選取帳戶以顯示使用者可用的許可集。在本教學課程中,您已建立AdministratorAccess許可集。

  5. 許可集旁是該許可集可用存取類型的連結。當您建立許可集時,您會指定對 AWS Management Console 和 程式設計存取的存取權。選取管理主控台以開啟 AWS Management Console。

  6. 使用者已登入 AWS Management Console。

您可以選擇性地使用 IAM Identity Center 中的 存取控制的屬性功能,將 Name 屬性設定為 的 Attribute元素傳遞。 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}此元素可讓您在SAML宣告中將屬性傳遞為工作階段標籤。如需工作階段標籤的詳細資訊,請參閱 IAM 使用者指南 中的傳遞工作階段標籤 AWS STS

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵值對 CostCenter = blue,請使用下列屬性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤包含個別的Attribute元素。

現在您已設定 Okta 身為身分提供者和 IAM Identity Center 中的佈建使用者,您可以:

使用 進行一般SCIM和SAML疑難排解 Okta,請參閱下列章節。

重新佈建從 IAM Identity Center 刪除的使用者和群組

  • 您可能會在 中收到下列錯誤訊息 Okta 主控台,如果您嘗試在 中變更使用者或群組 Okta 已同步,然後從 IAM Identity Center 中刪除:

    • 使用者 Jane Doe 自動推送設定檔至應用程式 AWS IAM Identity Center 失敗:嘗試推送 jane_doe@example.com 的設定檔更新時發生錯誤:未傳回使用者的使用者 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • 中缺少連結的群組 AWS IAM Identity Center。變更連結的群組,以繼續推送群組成員資格。

  • 您也可以在 中收到下列錯誤訊息 Okta同步和已刪除 IAM Identity Center 使用者或群組的系統日誌:

    • Okta 錯誤:Eventfailed application.provision.user.push_profile:未傳回使用者的使用者 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta 錯誤:application.provision.group_push.mapping.update.or.delete.failed.with.error: 中缺少連結的群組 AWS IAM Identity Center。變更連結的群組,以繼續推送群組成員資格。

警告

使用者和群組應從 中刪除 Okta 如果您已同步,而不是 IAM Identity Center Okta 和 IAM Identity CenterSCIM。

對已刪除的 IAM Identity Center 使用者進行故障診斷

若要解決已刪除 IAM Identity Center 使用者的問題,必須從 中刪除使用者 Okta。 如有必要,這些使用者也需要在 中重新建立 Okta。 當使用者重新建立於 時 Okta,它也會透過 重新佈建至 IAM Identity CenterSCIM。如需刪除使用者的詳細資訊,請參閱 Okta 文件

注意

如果您需要移除 Okta 使用者對 IAM Identity Center 的存取權,您應該先將其從其 Group Push 中移除,然後在 中移除其指派群組 Okta。 這可確保使用者已從 IAM Identity Center 中的關聯群組成員資格中移除。如需群組推送疑難排解的詳細資訊,請參閱 Okta 文件

對已刪除的 IAM Identity Center 群組進行故障診斷

若要使用已刪除的 IAM Identity Center 群組解決此問題,必須從 Okta 中刪除該群組。如有必要,這些群組也需要使用群組推送在 Okta 中重新建立。在 Okta 中重新建立使用者時,也會透過 將其重新佈建至 IAM Identity CenterSCIM。如需刪除群組的詳細資訊,請參閱 Okta 文件

中的自動佈建錯誤 Okta

如果您在 中收到下列錯誤訊息 Okta:

使用者 Jane Doe 與應用程式的自動佈建 AWS IAM Identity Center 失敗:找不到相符的使用者

請參閱Okta 文件以取得詳細資訊。

其他資源

當您使用 時,下列資源可協助您進行疑難排解 AWS:

  • AWS re:Post - 尋找FAQs並連結至其他資源,以協助您疑難排解問題。

  • AWS Support - 取得技術支援