Konfiguration von SAML und SCIM mit einem IAM Okta Identity Center

Mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) Okta können Sie Benutzer- und Gruppeninformationen automatisch aus dem IAM Identity Center bereitstellen oder synchronisieren. Um diese Verbindung zu konfigurierenOkta, verwenden Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Okta zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und Ihrem Konto. Okta

Oktaunterstützt die folgenden Bereitstellungsfunktionen, wenn Sie über SCIM mit IAM Identity Center verbunden sind:

• Benutzer erstellen — Benutzer, die der IAM Identity Center-Anwendung in zugewiesen Okta sind, werden in IAM Identity Center bereitgestellt.

• Benutzerattribute aktualisieren — Attributänderungen für Benutzer, die der IAM Identity Center-Anwendung in zugewiesen sind, Okta werden in IAM Identity Center aktualisiert.

• Benutzer deaktivieren — Benutzer, denen die Zuweisung zur IAM Identity Center-Anwendung in aufgehoben wurde, Okta sind in IAM Identity Center deaktiviert.

• Gruppen-Push — Gruppen (und ihre Mitglieder) Okta werden mit IAM Identity Center synchronisiert.

  Anmerkung

  Um den Verwaltungsaufwand Okta sowohl in IAM Identity Center als auch in IAM Identity Center zu minimieren, empfehlen wir, Gruppen zuzuweisen und zu pushen, anstatt einzelne Benutzer zu verwenden.

Zielsetzung

In diesem Tutorial werden Sie Schritt für Schritt die Einrichtung einer SAML-Verbindung mit Okta IAM Identity Center beschrieben. Später werden Sie Benutzer mithilfe von Okta SCIM synchronisieren. In diesem Szenario verwalten Sie alle Benutzer und Gruppen inOkta. Benutzer melden sich über das Okta Portal an. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Okta Benutzer an und verifizieren den Zugriff auf AWS Ressourcen.

Anmerkung

Sie können sich für ein Okta Konto (kostenlose Testversion) registrieren, auf dem die Okta's IAM Identity Center-Anwendung installiert ist. Bei kostenpflichtigen Okta Produkten müssen Sie möglicherweise überprüfen, ob Ihre Okta Lizenz das Lifecycle-Management oder ähnliche Funktionen unterstützt, die eine ausgehende Bereitstellung ermöglichen. Diese Funktionen sind möglicherweise erforderlich, um SCIM von zu IAM Identity Center Okta zu konfigurieren.

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unter. Aktivieren AWS IAM Identity Center

Überlegungen

• Bevor Sie die SCIM-Bereitstellung zwischen Okta und IAM Identity Center konfigurieren, empfehlen wir Ihnen, dies zunächst zu überprüfen. Überlegungen zur Verwendung der automatischen Bereitstellung

• Für jeden Okta Benutzer müssen die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden.

• Jeder Okta Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer, die mehrere Werte haben, können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.

• Bei Verwendung Okta mit IAM Identity Center wird IAM Identity Center in der Regel als Anwendung in konfiguriert. Okta Auf diese Weise können Sie mehrere Instanzen von IAM Identity Center als mehrere Anwendungen konfigurieren, die den Zugriff auf mehrere AWS Organizations innerhalb einer einzigen Instanz von unterstützen. Okta

• Berechtigungen und Rollenattribute werden nicht unterstützt und können nicht mit IAM Identity Center synchronisiert werden.

• Die Verwendung derselben Okta Gruppe sowohl für Zuweisungen als auch für Gruppen-Push wird derzeit nicht unterstützt. Um konsistente Gruppenmitgliedschaften zwischen Okta und IAM Identity Center aufrechtzuerhalten, erstellen Sie eine separate Gruppe und konfigurieren Sie sie so, dass Gruppen per Push an IAM Identity Center weitergeleitet werden.

Schritt 1Okta: Rufen Sie die SAML-Metadaten von Ihrem Konto ab Okta

1. Melden Sie sich bei anOkta admin dashboard, erweitern Sie Anwendungen und wählen Sie dann Anwendungen aus.

2. Wählen Sie auf der Seite Applications (Anwendungen) die Option Browse App Catalog (App-Katalog durchsuchen) aus.

3. Geben Sie in das Suchfeld die App ein AWS IAM Identity Centerund wählen Sie sie aus, um die IAM Identity Center-App hinzuzufügen.

4. Wählen Sie den Tab Anmelden aus.

5. Wählen Sie unter SAML-Signaturzertifikate die Option Aktionen und dann IdP-Metadaten anzeigen aus. Ein neuer Browser-Tab wird geöffnet, der den Dokumentenbaum einer XML-Datei anzeigt. Wählen Sie das gesamte XML von <md:EntityDescriptor> bis aus </md:EntityDescriptor> und kopieren Sie es in eine Textdatei.

6. Speichern Sie die Textdatei untermetadata.xml.

Lassen Sie das Fenster Okta admin dashboard geöffnet, Sie werden diese Konsole in den späteren Schritten weiter verwenden.

Schritt 2: IAM Identity Center: Okta Als Identitätsquelle für IAM Identity Center konfigurieren

1. Öffnen Sie die IAM Identity Center-Konsole als Benutzer mit Administratorrechten.

2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

3. Wählen Sie auf der Seite Einstellungen die Option Aktionen und dann Identitätsquelle ändern aus.

4. Wählen Sie unter Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

5. Gehen Sie unter Externen Identitätsanbieter konfigurieren wie folgt vor:

   1. Wählen Sie unter Metadaten des Dienstanbieters die Option Metadatendatei herunterladen aus, um die IAM Identity Center-Metadatendatei herunterzuladen und auf Ihrem System zu speichern. Sie werden die SAML-Metadatendatei für IAM Identity Center Okta später in diesem Tutorial bereitstellen.

      Kopieren Sie die folgenden Elemente in eine Textdatei, um den Zugriff zu erleichtern:

      • URL des IAM Identity Center Assertion Consumer Service (ACS)

      • URL des IAM Identity Center-Ausstellers

      Sie benötigen diese Werte später in diesem Tutorial.

   2. Wählen Sie unter Identitätsanbieter-Metadaten unter IdP-SAML-Metadaten die Option Datei auswählen und wählen Sie dann die metadata.xml Datei aus, die Sie im vorherigen Schritt erstellt haben.

   3. Wählen Sie Weiter aus.

6. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ACCEPT ein.

7. Wählen Sie „Identitätsquelle ändern“.

   Lassen Sie die AWS Konsole geöffnet, Sie werden diese Konsole im nächsten Schritt weiter verwenden.

8. Kehren Sie zur AWS IAM Identity Center App zurück Okta admin dashboard und wählen Sie die Registerkarte Anmelden aus. Wählen Sie dann Bearbeiten aus.

9. Geben Sie unter Erweiterte Anmeldeeinstellungen Folgendes ein:

   • Geben Sie für ACS-URL den Wert ein, den Sie für die IAM Identity Center Assertion Consumer Service (ACS) -URL kopiert haben

   • Geben Sie für Issuer URL den Wert ein, den Sie für IAM Identity Center Issuer URL kopiert haben

   • Wählen Sie für das Format des Anwendungsbenutzernamens eine der Optionen aus dem Menü aus.

     Stellen Sie sicher, dass der von Ihnen gewählte Wert für jeden Benutzer einzigartig ist. Wählen Sie für dieses Tutorial den Okta-Benutzernamen

10. Wählen Sie Speichern.

Sie sind jetzt bereit, Benutzer vom IAM Identity Center aus Okta bereitzustellen. Lassen Sie das Okta admin dashboard Fenster geöffnet und kehren Sie für den nächsten Schritt zur IAM Identity Center-Konsole zurück.

Schritt 3: IAM Identity Center undOkta: Benutzer bereitstellen Okta

1. Suchen Sie in der IAM Identity Center-Konsole auf der Seite Einstellungen nach dem Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpunkt- und Zugriffstoken-Informationen angezeigt.

2. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen:

   • SCIM-Endpunkt

   • Zugriffstoken

   Warnung

   Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken erhalten können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte Okta später in diesem Tutorial eingeben, um die automatische Bereitstellung zu konfigurieren.

3. Klicken Sie auf Schließen.

4. Kehren Sie zur IAM Identity Center App zurück Okta admin dashboard und navigieren Sie zur App.

5. Wählen Sie auf der Seite der IAM Identity Center-App den Tab Provisioning und wählen Sie dann in der linken Navigationsleiste unter Einstellungen die Option Integration aus.

6. Wählen Sie Bearbeiten und aktivieren Sie dann das Kontrollkästchen neben API-Integration aktivieren, um die automatische Bereitstellung zu aktivieren.

7. Verwenden Sie für die Konfiguration Okta die SCIM-Bereitstellungswerte AWS IAM Identity Center , die Sie zuvor in diesem Schritt kopiert haben:

   1. Geben Sie im Feld Basis-URL den SCIM-Endpunktwert ein. Stellen Sie sicher, dass Sie den abschließenden Schrägstrich am Ende der URL entfernen.

   2. Geben Sie im Feld API-Token den Wert für das Zugriffstoken ein.

8. Wählen Sie API-Anmeldeinformationen testen, um zu überprüfen, ob die eingegebenen Anmeldeinformationen gültig sind.

   Die Nachricht AWS IAM Identity Center wurde erfolgreich verifiziert! zeigt an.

9. Wählen Sie Speichern. Sie werden in den Bereich Einstellungen verschoben, in dem Integration ausgewählt ist.

10. Wählen Sie unter Einstellungen die Option Zur App aus und aktivieren Sie dann das Kontrollkästchen Aktivieren für jede der Funktionen von Provisioning to App, die Sie aktivieren möchten. Wählen Sie für dieses Tutorial alle Optionen aus.

11. Wählen Sie Speichern.

Sie sind jetzt bereit, Ihre Benutzer Okta mit IAM Identity Center zu synchronisieren.

Schritt 4Okta: Synchronisieren Sie Benutzer Okta mit IAM Identity Center

Standardmäßig sind Ihrer Okta IAM Identity Center-App keine Gruppen oder Benutzer zugewiesen. Durch die Bereitstellung von Gruppen werden die Benutzer bereitgestellt, die Mitglieder der Gruppe sind. Gehen Sie wie folgt vor, um Gruppen und Benutzer mit AWS IAM Identity Center zu synchronisieren.

1. Wählen Sie auf der Seite der OktaIAM Identity Center-App den Tab Zuweisungen aus. Sie können der IAM Identity Center-App sowohl Personen als auch Gruppen zuweisen.

   1. So weisen Sie Personen zu:

      • Wählen Sie auf der Seite „Aufgaben“ die Option „Zuweisen“ und dann „Personen zuweisen“ aus.

      • Wählen Sie die Okta Benutzer aus, die Zugriff auf die IAM Identity Center-App haben sollen. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung der Benutzer für IAM Identity Center gestartet.

   2. So weisen Sie Gruppen zu:

      • Wählen Sie auf der Seite „Zuweisungen“ die Option „Zuweisen“ und dann „Zu Gruppen zuweisen“.

      • Wählen Sie die Okta Gruppen aus, für die Sie Zugriff auf die IAM Identity Center-App haben möchten. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung der Benutzer in der Gruppe für IAM Identity Center gestartet.

      Anmerkung

      Möglicherweise müssen Sie zusätzliche Attribute für die Gruppe angeben, wenn diese nicht in allen Benutzerdatensätzen vorhanden sind. Die für die Gruppe angegebenen Attribute haben Vorrang vor allen individuellen Attributwerten.

2. Wählen Sie die Registerkarte Push-Gruppen. Wählen Sie die Okta Gruppe aus, die Sie mit IAM Identity Center synchronisieren möchten. Wählen Sie Speichern.

   Der Gruppenstatus ändert sich in Aktiv, nachdem die Gruppe und ihre Mitglieder per Push an IAM Identity Center weitergeleitet wurden.

3. Kehren Sie zur Registerkarte „Zuweisungen“ zurück.

4. Gehen Sie wie folgt vor, um einzelne Okta Benutzer zu IAM Identity Center hinzuzufügen:

   1. Wählen Sie auf der Seite „Zuweisungen“ die Option „Zuweisen“ und anschließend „Personen zuweisen“.

   2. Wählen Sie die Okta Benutzer aus, die Zugriff auf die IAM Identity Center-App haben sollen. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Damit wird der Prozess der Bereitstellung der einzelnen Benutzer für IAM Identity Center gestartet.

      Anmerkung

      Sie können der AWS IAM Identity Center App auch Benutzer und Gruppen zuweisen, und zwar auf der Anwendungsseite von. Okta admin dashboard Wählen Sie dazu das Einstellungssymbol aus und wählen Sie dann Benutzern zuweisen oder Zu Gruppen zuweisen und geben Sie dann den Benutzer oder die Gruppe an.

5. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie in der linken Navigationsleiste Benutzer aus. Sie sollten die Benutzerliste sehen, in der Ihre Okta Benutzer aufgeführt sind.

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML-Verbindung zwischen Okta und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in IAM Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.

Schritt 5: IAM Identity Center: Gewähren Sie Okta Benutzern Zugriff auf Konten

1. Wählen Sie im Navigationsbereich von IAM Identity Center unter Berechtigungen für mehrere Konten die Option. AWS-Konten

2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

   1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Wählen Sie anschließend Weiter.

   2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte beim Erstellen eines Berechtigungssatzes führt.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

         • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

         • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

         Wählen Sie Weiter aus.

      2. Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

         Mit den Standardeinstellungen wird ein Berechtigungssatz AdministratorAccessmit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Erstellen. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte AdministratorAccessBerechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

   3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Absenden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. AdministratorAccess

Schritt 6Okta: Bestätigen Sie den Okta Benutzerzugriff auf Ressourcen AWS

1. Melden Sie sich mit einem Testkonto bei der anOkta dashboard.

2. Wählen Sie unter Meine Apps das AWS IAM Identity Center Symbol aus.

3. Sie sollten das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste zu sehen, auf AWS-Konten die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.

4. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den AdministratorAccessBerechtigungssatz erstellt.

5. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie sowohl den Zugriff auf den als auch den AWS Management Console programmatischen Zugriff angegeben. Wählen Sie Managementkonsole aus, um die zu öffnen. AWS Management Console

6. Der Benutzer ist bei angemeldet AWS Management Console.

(Optional) Übergabe von Attributen für die Zugriffskontrolle

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Nächste Schritte

Nachdem Sie nun Okta als Identitätsanbieter konfiguriert und Benutzer in IAM Identity Center bereitgestellt haben, können Sie:

• Zugriff gewähren auf AWS-Konten, siehe. Weisen Sie Benutzerzugriff zu AWS-Konten

• Zugriff auf Cloud-Anwendungen gewähren, sieheWeisen Sie Benutzerzugriff auf Anwendungen in der IAM Identity Center-Konsole zu.

• Konfigurieren Sie Berechtigungen auf der Grundlage von Aufgabenfunktionen, siehe Einen Berechtigungssatz erstellen.