選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶
使用 和 IAM Identity Center 設定 SAML Okta和 SCIM - AWS IAM Identity Center
考量事項步驟 1Okta::從Okta您的帳戶取得 SAML 中繼資料步驟 2:IAM Identity Center:將 Okta設定為 IAM Identity Center 的身分來源步驟 3:IAM Identity Center 和 Okta:佈建Okta使用者步驟 4:Okta:將來自 的使用者Okta與 IAM Identity Center 同步傳遞存取控制的屬性 - 選用將存取權指派給 AWS 帳戶後續步驟故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 和 IAM Identity Center 設定 SAML Okta和 SCIM

PDFRSS

您可以使用跨網域身分管理 (SCIM) 2.0 通訊協定,自動將使用者和群組資訊從 佈建或同步Okta到 IAM Identity Center。 SCIM 設定檔如需詳細資訊,請參閱將 SAML 和 SCIM 聯合身分與外部身分提供者搭配使用

若要在 中設定此連線Okta,您可以使用 IAM Identity Center 的 SCIM 端點和 IAM Identity Center 自動建立的承載符記。當您設定 SCIM 同步時,您可以在 中建立使用者屬性映射Okta至 IAM Identity Center 中具名屬性的映射。此映射符合 IAM Identity Center 與Okta您的帳戶之間的預期使用者屬性。

Okta 透過 SCIM 連線至 IAM Identity Center 時, 支援下列佈建功能:

  • 建立使用者 – 在 中指派給 IAM Identity Center 應用程式的使用者Okta會在 IAM Identity Center 中佈建。

  • 更新使用者屬性 – 在 中指派給 IAM Identity Center 應用程式的使用者的屬性變更Okta會在 IAM Identity Center 中更新。

  • 停用使用者 – 在 中從 IAM Identity Center 應用程式取消指派的使用者Okta,會在 IAM Identity Center 中停用。

  • 群組推送 – 中的群組 Okta (及其成員) 會同步至 IAM Identity Center。

    注意

    為了將 Okta和 IAM Identity Center 的管理開銷降至最低,建議您指派和推送群組,而不是個別使用者。

目標

在本教學課程中,您將逐步解說如何設定與 IAM Identity Center 的 SAML Okta 連線。稍後,您將使用 SCIM Okta從 同步使用者。在此案例中,您會在 中管理所有使用者和群組Okta。使用者透過 Okta 入口網站登入。若要驗證所有設定是否正確,在完成設定步驟之後,您將以Okta使用者身分登入,並確認對 AWS 資源的存取。

注意

您可以註冊已安裝 IAM Identity Center 應用程式Okta的帳戶 Okta's (免費試用)。對於付費Okta產品,您可能需要確認您的Okta授權支援生命週期管理或類似功能,以啟用傳出佈建。這些功能可能是設定從 Okta到 IAM Identity Center 的 SCIM 的必要功能。

如果您尚未啟用 IAM Identity Center,請參閱 啟用 IAM Identity Center

考量事項

  • 在 Okta和 IAM Identity Center 之間設定 SCIM 佈建之前,建議您先檢閱 使用自動佈建的考量事項

  • 每個Okta使用者都必須指定名字姓氏使用者名稱顯示名稱值。

  • 每個Okta使用者每個資料屬性只有一個值,例如電子郵件地址或電話號碼。具有多個值的任何使用者都將無法同步。如果有使用者在其屬性中具有多個值,請在嘗試在 IAM Identity Center 中佈建使用者之前移除重複的屬性。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,所以即使使用者的電話號碼是家用電話或行動電話,也請使用「工作電話」屬性來存放使用者的電話號碼。

  • Okta 搭配 IAM Identity Center 使用 時,IAM Identity Center 通常會在 中設定為應用程式Okta。這可讓您將 IAM Identity Center 的多個執行個體設定為多個應用程式,以支援在 的單一執行個體內存取多個 AWS OrganizationsOkta。

  • 不支援權限和角色屬性,且無法與 IAM Identity Center 同步。

  • 目前不支援對指派和Okta群組推送使用相同的群組。若要在 Okta和 IAM Identity Center 之間維持一致的群組成員資格,請建立個別的群組,並將其設定為將群組推送至 IAM Identity Center。

步驟 1Okta::從Okta您的帳戶取得 SAML 中繼資料

  1. 登入 Okta admin dashboard,展開應用程式,然後選取應用程式

  2. Applications (應用程式) 頁面上,選擇 Browse App Catalog (瀏覽應用程式目錄)。

  3. 在搜尋方塊中,輸入 AWS IAM Identity Center,選取要新增 IAM Identity Center 應用程式的應用程式。

  4. 選取登入索引標籤。

  5. SAML 簽署憑證下,選取動作,然後選取檢視 IdP 中繼資料。新的瀏覽器索引標籤隨即開啟,顯示 XML 檔案的文件樹狀目錄。從 選取所有 XML <md:EntityDescriptor>至 ,</md:EntityDescriptor>並將其複製到文字檔案。

  6. 將文字檔案儲存為 metadata.xml

保持Okta admin dashboard開啟,您將在後續步驟中繼續使用此主控台。

步驟 2:IAM Identity Center:將 Okta設定為 IAM Identity Center 的身分來源

  1. 以具有管理權限的使用者身分開啟 IAM Identity Center 主控台

  2. 在左側導覽窗格中選擇設定

  3. 設定頁面上,選擇動作,然後選擇變更身分來源

  4. 選擇身分來源下,選取外部身分提供者,然後選擇下一步

  5. 設定外部身分提供者下,執行下列動作:

    1. 服務提供者中繼資料下,選擇下載中繼資料檔案以下載 IAM Identity Center 中繼資料檔案,並將其儲存在您的系統上。您將在本教學課程Okta稍後提供 IAM Identity Center SAML 中繼資料檔案。

      將下列項目複製到文字檔案以方便存取:

      • IAM Identity Center Assertion Consumer Service (ACS) URL

      • IAM Identity Center 發行者 URL

      您稍後在本教學課程中將需要這些值。

    2. 身分提供者中繼資料下,於 IdP SAML 中繼資料下,選取選擇檔案,然後選取您在上一個步驟中建立metadata.xml的檔案。

    3. 選擇 Next (下一步)

  6. 在您閱讀免責聲明並準備好繼續之後,請輸入 ACCEPT

  7. 選擇變更身分來源

    保持 AWS 主控台開啟,您將在下一個步驟中繼續使用此主控台。

  8. 返回 Okta admin dashboard,然後選取 AWS IAM Identity Center 應用程式的登入索引標籤,然後選取編輯

  9. 進階登入設定下,輸入下列項目:

    • 針對 ACS URL,輸入您為 IAM Identity Center Assertion Consumer Service (ACS) URL 複製的值

    • 針對發行者 URL,輸入您為 IAM Identity Center 發行者 URL 複製的值

    • 對於應用程式使用者名稱格式,從功能表中選取其中一個選項。

      確保您選擇的值對每個使用者都是唯一的。針對本教學課程,選取 Okta 使用者名稱

  10. 選擇 Save (儲存)。

您現在可以將使用者從 佈建Okta至 IAM Identity Center。保持Okta admin dashboard開啟,並返回 IAM Identity Center 主控台進行下一個步驟。

步驟 3:IAM Identity Center 和 Okta:佈建Okta使用者

  1. 設定頁面上的 IAM Identity Center 主控台中,找到自動佈建資訊方塊,然後選擇啟用。這會在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。

  2. 傳入自動佈建對話方塊中,複製下列選項的每個值:

    1. SCIM 端點 - 例如,https://scim.us-east-2.amazonaws.com/1111111111-2222-3333-444-555555555/scim/v2

    2. 存取字符 - 選擇顯示字符以複製值。

    警告

    這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。您將在本教學課程Okta稍後輸入這些值來設定自動佈建。

  3. 選擇關閉

  4. 返回 Okta admin dashboard並導覽至 IAM Identity Center 應用程式。

  5. IAM Identity Center 應用程式頁面上,選擇佈建索引標籤,然後在設定下的左側導覽中,選擇整合

  6. 選擇編輯,然後選擇啟用 API 整合旁的核取方塊,以啟用自動佈建。

  7. Okta 使用您在此步驟中稍早複製 AWS IAM Identity Center 的 SCIM 佈建值來設定 :

    1. 基本 URL 欄位中,輸入 SCIM 端點值。

    2. API Token 欄位中,輸入 Access Token 值。

  8. 選擇測試 API 登入資料來驗證輸入的登入資料是否有效。

    訊息AWS IAM Identity Center 已成功驗證! 隨即顯示。

  9. 選擇 Save (儲存)。系統會將您移至設定區段,並選取整合

  10. 設定下,選擇至應用程式,然後針對您要啟用的每個佈建至應用程式功能,選取啟用核取方塊。在此教學課程中,選取所有選項。

  11. 選擇 Save (儲存)。

您現在可以從 同步您的使用者Okta與 IAM Identity Center。

步驟 4:Okta:將來自 的使用者Okta與 IAM Identity Center 同步

根據預設,不會將群組或使用者指派給您的 Okta IAM Identity Center 應用程式。佈建群組會佈建屬於群組成員的使用者。完成下列步驟,以同步群組和使用者 AWS IAM Identity Center。

  1. Okta IAM Identity Center 應用程式頁面中,選擇指派索引標籤。您可以同時將人員和群組指派給 IAM Identity Center 應用程式。

    1. 若要指派人員:

      • 指派頁面中,選擇指派,然後選擇指派給人員

      • 選擇您想要存取 IAM Identity Center 應用程式Okta的使用者。選擇指派,選擇儲存並返回,然後選擇完成

      這會開始將使用者佈建至 IAM Identity Center 的程序。

    2. 若要指派群組:

      • 指派頁面中,選擇指派,然後選擇指派給群組

      • 選擇您想要存取 IAM Identity Center 應用程式的Okta群組。選擇指派,選擇儲存並返回,然後選擇完成

      這會開始將群組中的使用者佈建至 IAM Identity Center 的程序。

      注意

      如果群組不存在於所有使用者記錄中,您可能需要指定群組的其他屬性。為群組指定的屬性會覆寫任何個別屬性值。

  2. 選擇推送群組索引標籤。選擇您要與 IAM Identity Center 同步的Okta群組。選擇 Save (儲存)。

    群組及其成員推送至 IAM Identity Center 後,群組狀態會變更為作用中

  3. 返回指派索引標籤。

  4. 若要將個別Okta使用者新增至 IAM Identity Center,請使用下列步驟:

    1. 指派頁面中,選擇指派,然後選擇指派給人員

    2. 選擇您想要存取 IAM Identity Center 應用程式Okta的使用者。選擇指派,選擇儲存並返回,然後選擇完成

      這會開始將個別使用者佈建至 IAM Identity Center 的程序。

      注意

      您也可以從 的應用程式頁面,將使用者和群組指派給 AWS IAM Identity Center 應用程式Okta admin dashboard。若要執行此操作,請選取設定圖示,然後選擇指派給使用者指派給群組,然後指定使用者或群組。

  5. 返回 IAM Identity Center 主控台。在左側導覽中,選取使用者,您應該會看到使用者填入Okta的使用者清單。

恭喜您!

您已成功在 Okta和 之間設定 SAML 連線, AWS 並已驗證自動佈建是否正常運作。您現在可以將這些使用者指派給 IAM Identity Center 中的帳戶和應用程式。在本教學課程中,在下一個步驟中,我們將其中一個使用者授予管理帳戶的管理許可,以指定為 IAM Identity Center 管理員。

傳遞存取控制的屬性 - 選用

您可以選擇性地使用 IAM Identity Center 中的 存取控制的屬性功能,將 屬性設為 的 Name Attribute元素傳遞https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱《IAM 使用者指南》中的在 中傳遞工作階段標籤 AWS STS

若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue 元素。例如,若要傳遞標籤鍵/值對 CostCenter = blue,請使用下列屬性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性,請為每個標籤加入單獨的Attribute元素。

將存取權指派給 AWS 帳戶

下列步驟僅需要授予 AWS 帳戶 的存取權。這些步驟不需要授予 AWS 應用程式存取權。

步驟 1:IAM Identity Center:授予Okta使用者帳戶存取權

  1. 在 IAM Identity Center 導覽窗格中的多帳戶許可下,選擇 AWS 帳戶

  2. AWS 帳戶頁面上,組織結構會顯示您的組織根目錄,其中包含階層中其下的 帳戶。選取管理帳戶的核取方塊,然後選取指派使用者或群組

  3. 此時會顯示指派使用者和群組工作流程。它包含三個步驟:

    1. 針對步驟 1:選取使用者和群組,選擇將執行管理員任務功能的使用者。然後選擇下一步

    2. 針對步驟 2:選取許可集,選擇建立許可集以開啟新索引標籤,引導您完成建立許可集所涉及的三個子步驟。

      1. 對於步驟 1:選取許可集類型完成下列項目:

        • 許可集類型中,選擇預先定義的許可集

        • 預先定義許可集的政策中,選擇 AdministratorAccess

        選擇 Next (下一步)

      2. 對於步驟 2:指定許可集詳細資訊,保留預設設定,然後選擇下一步

        預設設定會建立名為 AdministratorAccess 的許可集,並將工作階段持續時間設為一小時。

      3. 對於步驟 3:檢閱和建立,確認許可集類型使用 AWS 受管政策 AdministratorAccess。選擇 Create (建立)。在許可集頁面上,會出現通知,通知您已建立許可集。您現在可以在 Web 瀏覽器中關閉此索引標籤。

      指派使用者和群組瀏覽器索引標籤上,您仍在步驟 2:選取您從中開始建立許可集工作流程的許可集。

      許可集區域中,選擇重新整理按鈕。您建立的 AdministratorAccess 許可集會出現在清單中。選取該許可集的核取方塊,然後選擇下一步

    3. 對於步驟 3:檢閱並提交,檢閱選取的使用者和許可集,然後選擇提交

      頁面會更新 AWS 帳戶 您的 設定的訊息。等待程序完成。

      您會返回 AWS 帳戶 頁面。通知訊息會通知您, AWS 帳戶 您的 已重新佈建,並套用更新的許可集。當使用者登入時,他們可以選擇 AdministratorAccess 角色。

步驟 2:Okta:確認Okta使用者存取 AWS 資源

  1. 使用測試帳戶登入 Okta dashboard。

  2. 我的應用程式下,選取 AWS IAM Identity Center 圖示。

  3. 您應該會看到 AWS 帳戶 圖示。展開該圖示以查看使用者可存取 AWS 帳戶 的清單。在本教學課程中,您只使用單一帳戶,因此展開圖示只會顯示一個帳戶。

  4. 選取帳戶以顯示使用者可用的許可集。在本教學課程中,您已建立 AdministratorAccess 許可集。

  5. 許可集旁是該許可集可用的存取類型連結。當您建立許可集時,您會指定對 AWS Management Console 和 程式設計存取的存取權。選取管理主控台以開啟 AWS Management Console。

  6. 使用者已登入 AWS Management Console。

後續步驟

現在您已在 IAM Identity Center 中將 Okta設定為身分提供者和佈建使用者,您可以:

故障診斷

如需使用 進行一般 SCIM 和 SAML 故障診斷Okta,請參閱下列章節:

重新佈建從 IAM Identity Center 刪除的使用者和群組

  • 如果您在 中嘗試變更曾同步的使用者或群組,然後從 IAM Identity Center 刪除Okta,您可能會在Okta主控台中收到下列錯誤訊息:

    • 使用者 Jane Doe 自動推送設定檔至應用程式 AWS IAM Identity Center 失敗:嘗試推送 jane_doe@example.com 的設定檔更新時發生錯誤:未傳回使用者 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • 連結的群組遺失 AWS IAM Identity Center。變更連結的群組,以繼續推送群組成員資格。

  • 您也可以在 Okta的 Systems Logs 中,收到同步和刪除 IAM Identity Center 使用者或群組的下列錯誤訊息:

    • Okta 錯誤:Eventfailed application.provision.user.push_profile :未傳回使用者 xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta 錯誤:application.provision.group_push.mapping.update.or.delete.failed.with.error:連結的群組遺失 AWS IAM Identity Center。變更連結的群組,以繼續推送群組成員資格。

警告

如果您已使用 SCIM 同步和 IAM Identity Center,則應該從 IAM Identity Center 刪除使用者Okta和群組,Okta而非 IAM Identity Center。

對已刪除的 IAM Identity Center 使用者進行故障診斷

若要解決已刪除 IAM Identity Center 使用者的此問題,必須從 刪除使用者Okta。如有必要,這些使用者也需要在 中重新建立Okta。在 中重新建立使用者時Okta,也會透過 SCIM 將其重新佈建至 IAM Identity Center。如需刪除使用者的詳細資訊,請參閱 Okta 文件

注意

如果您需要移除Okta使用者對 IAM Identity Center 的存取權,您應該先將其從群組推送中移除,然後在 中移除其指派群組Okta。這可確保從 IAM Identity Center 中的關聯群組成員資格中移除使用者。如需群組推送疑難排解的詳細資訊,請參閱 Okta 文件

對已刪除的 IAM Identity Center 群組進行故障診斷

若要解決已刪除 IAM Identity Center 群組的問題,必須從 Okta 刪除該群組。如有必要,這些群組也需要使用群組推送在 Okta 中重新建立。在 Okta 中重新建立使用者時,也會透過 SCIM 將其重新佈建至 IAM Identity Center。如需刪除群組的詳細資訊,請參閱 Okta 文件

中的自動佈建錯誤 Okta

如果您在 中收到下列錯誤訊息Okta:

使用者 Jane Doe 自動佈建至應用程式 AWS IAM Identity Center 失敗:找不到相符的使用者

如需詳細資訊,請參閱 Okta 文件

其他資源

下列資源可協助您在使用 時進行故障診斷 AWS:

  • AWS re:Post - 尋找FAQs和其他資源的連結,以協助您疑難排解問題。

  • AWS 支援 - 取得技術支援

下一個主題:

OneLogin

上一個主題:

Microsoft Entra ID

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。