Configuración de SAML y SCIM con Okta e IAM Identity Center

Puede aprovisionar o sincronizar automáticamente la información de usuarios y grupos desde Okta el Centro de Identidad de IAM mediante el protocolo System for Cross-domain Identity Management (SCIM) 2.0. Esta conexión se configura en Okta, mediante el punto de conexión de SCIM para IAM Identity Center y un token de portador que se crea en IAM Identity Center. Al configurar la sincronización de SCIM, crea una asignación de los atributos de usuario en Okta con los atributos nombrados en IAM Identity Center. Este mapeo coincide con los atributos de usuario esperados entre el Centro de Identidad de IAM y su cuenta. Okta

Okta admite las siguientes características de aprovisionamiento cuando se conecta al IAM Identity Center a través de SCIM:

• Crear usuarios: los usuarios asignados a la aplicación IAM Identity Center Okta se aprovisionan en IAM Identity Center.

• Actualizar los atributos de usuario: los cambios en los atributos de los usuarios que están asignados a la aplicación IAM Identity Center Okta se actualizan en IAM Identity Center.

• Desactivar usuarios: los usuarios que no están asignados en la aplicación IAM Identity Center Okta están deshabilitados en IAM Identity Center.

• Transferencia de grupos: los grupos (y sus miembros) de Okta se sincronizan con IAM Identity Center.

  nota

  Para minimizar la sobrecarga administrativa tanto en Okta como en IAM Identity Center, le recomendamos que asigne y transfiera grupos en lugar de usuarios individuales.

Objetivo

En este tutorial, seguirá las indicaciones para configurar una conexión SAML con IAM Identity Center en Okta. Más adelante, sincronizará los usuarios desde Okta mediante SCIM. En este escenario, administrará todos los usuarios y grupos en Okta. Los usuarios inician sesión a través del portal de Okta. Para comprobar que todo está configurado correctamente, tras completar los pasos de configuración, iniciará sesión como Okta usuario y verificará el acceso a AWS los recursos.

nota

Puede registrarse para obtener una cuenta de Okta (prueba gratuita) que tenga instalada la aplicación IAM Identity Center de Okta. En el caso de los productos de pago de Okta, es posible que deba confirmar que su licencia de Okta admite la administración del ciclo de vida o capacidades similares que permitan el aprovisionamiento saliente. Estas características pueden ser necesarias para configurar SCIM desde Okta a IAM Identity Center.

Si aún no ha habilitado IAM Identity Center, consulte Habilitar AWS IAM Identity Center.

Consideraciones

• Antes de configurar el aprovisionamiento de SCIM entre el IAM Identity Center Okta y el Centro de Identidad de IAM, le recomendamos que lo revise primero. Consideraciones para utilizar el aprovisionamiento automático

• Todos los usuarios de Okta deben tener un valor especificado para Nombre, Apellidos, Nombre de usuario y Nombre de visualización.

• Cada usuario de Okta tiene un único valor por atributo de datos, como la dirección de correo electrónico o el número de teléfono. Los usuarios que tengan varios valores no se sincronizarán. Si hay usuarios que tienen varios valores en sus atributos, elimine los atributos duplicados antes de intentar aprovisionar el usuario en IAM Identity Center. Por ejemplo, solo se puede sincronizar un atributo de número de teléfono. Como el atributo de número de teléfono predeterminado es “teléfono del trabajo”, utilice el atributo “teléfono del trabajo” para almacenar el número de teléfono del usuario, incluso si el número de teléfono del usuario es un teléfono fijo o móvil.

• Cuando se utiliza Okta con el Centro de identidad de IAM, el Centro de identidad de IAM generalmente se configura como una aplicación en. Okta Esto le permite configurar varias instancias de IAM Identity Center como múltiples aplicaciones, lo que permite el acceso a varias AWS Organizaciones, dentro de una sola instancia deOkta.

• Los derechos y los atributos de rol no son compatibles y no se pueden sincronizar con IAM Identity Center.

• Actualmente, no es posible usar el mismo grupo de Okta para la transferencia de tareas y grupos. Para mantener una pertenencia uniforme a los grupos entre Okta e IAM Identity Center, cree un grupo independiente y configúrelo para enviar grupos a IAM Identity Center.

Paso 1Okta: Obtenga los metadatos de SAML de su cuenta Okta

1. Inicie sesión en el Okta admin dashboard, expanda Applications y, a continuación, seleccione Applications.

2. En la página Applications, elija Browse App Catalog (Examinar catálogo de aplicaciones).

3. En el cuadro de búsqueda AWS IAM Identity Center, escriba y seleccione la aplicación para añadir la aplicación IAM Identity Center.

4. Seleccione la pestaña Sign On.

5. En SAML Signing Certificates, seleccione Actions y, a continuación, View IdP Metadata. Se abre una nueva pestaña del navegador en la que se muestra el árbol de documentos de un archivo XML. Seleccione todo el XML de <md:EntityDescriptor> a </md:EntityDescriptor> y cópielo en un archivo de texto.

6. Guarde el archivo de texto como metadata.xml.

Deje esta Okta admin dashboard opción abierta y seguirá utilizando esta consola en los pasos posteriores.

Paso 2: Centro de identidad de IAM: configurarlo Okta como fuente de identidad para el Centro de identidades de IAM

1. Abra la consola de IAM Identity Center como usuario con privilegios administrativos.

2. Elija Configuración en el panel de navegación izquierdo.

3. En la página Configuración, seleccione Acciones y, a continuación, seleccione Cambiar el origen de identidad.

4. En Elegir la fuente de identidad, seleccione Proveedor de identidades externo y, a continuación, Siguiente.

5. En Configurar un proveedor de identidad externo, haga lo siguiente:

   1. En Metadatos del proveedor de servicios, seleccione Descargar archivo de metadatos para descargar el archivo de metadatos de IAM Identity Center y guardarlo en el sistema. Proporcionará el archivo de metadatos de SAML de IAM Identity Center a Okta más adelante en este tutorial.

      Copie los siguientes elementos en un archivo de texto para acceder a ellos fácilmente:

      • URL del Servicio de consumidor de aserciones (ACS) de IAM Identity Center

      • URL del emisor de IAM Identity Center

      Necesitará estos valores más adelante en este tutorial.

   2. En Metadatos del proveedor de identidad, en Metadatos SAML del IdP, selecciona Elegir archivo y, a continuación, selecciona el metadata.xml archivo que creaste en el paso anterior.

   3. Elija Siguiente.

6. Cuando haya leído el aviso legal, introduzca ACCEPT para continuar.

7. Elija Cambiar fuente de identidad.

   Deje la AWS consola abierta y seguirá utilizándola en el siguiente paso.

8. Vuelva a la pestaña Iniciar sesión de la AWS IAM Identity Center aplicación Okta admin dashboard y, a continuación, seleccione Editar.

9. En Advanced Sign-on Settings, ingrese lo siguiente:

   • En el caso de la URL de ACS, introduzca el valor que ha copiado para la URL de IAM Identity Center Assertion Consumer Service (ACS)

   • En la URL del emisor, introduzca el valor que ha copiado para la URL del emisor del IAM Identity Center

   • Para el formato de nombre de usuario de la aplicación, seleccione una de las opciones del menú.

     Asegúrese de que el valor que elija sea único para cada usuario. Para este tutorial, seleccione Okta username.

10. Seleccione Guardar.

Ahora está preparado para aprovisionar usuarios desde el Centro Okta de Identidad de IAM. Déjelo Okta admin dashboard abierto y vuelva a la consola del IAM Identity Center para continuar con el siguiente paso.

Paso 3: Centro de identidad de IAM y Okta aprovisionamiento de usuarios Okta

1. En la consola de IAM Identity Center, en la página Configuración, busque el cuadro de información Aprovisionamiento automático y, a continuación, seleccione Habilitar. Esto habilita el aprovisionamiento automático en IAM Identity Center y muestra la información necesaria sobre el punto de conexión de SCIM y el token de acceso.

2. En el cuadro de diálogo Aprovisionamiento automático entrante, copie cada uno de los valores de las siguientes opciones:

   • Punto de conexión de SCIM

   • Token de acceso

   aviso

   Este es el único momento en el que puede obtener el punto final y el token de acceso del SCIM. Asegúrese de copiar estos valores antes de continuar. Introducirá estos valores para configurar el aprovisionamiento automático Okta más adelante en este tutorial.

3. Elija Close.

4. Vuelva al Okta admin dashboard y acceda a la aplicación IAM Identity Center.

5. En la página de la aplicación IAM Identity Center, seleccione la pestaña Aprovisionamiento y, a continuación, en el menú de navegación de la izquierda, en Configuración, elija Integración.

6. Seleccione Editar y, a continuación, seleccione la casilla de verificación situada junto a Habilitar la integración de la API para activar el aprovisionamiento automático.

7. Configure Okta con los valores de aprovisionamiento de SCIM AWS IAM Identity Center que copió anteriormente en este paso:

   1. En el campo Base URL, ingrese el valor de Punto de conexión de SCIM. Asegúrese de eliminar la barra inclinada que aparece al final de la URL.

   2. En el campo API Token, ingrese el valor de Token de acceso.

8. Elija Verificar credenciales de API para comprobar que las credenciales introducidas son válidas.

   Aparecerá el mensaje AWS IAM Identity Center was verified successfully!.

9. Seleccione Guardar. Pasará a la sección de configuración, con la opción Integración seleccionada.

10. En Configuración, selecciona Ir a la aplicación y, a continuación, selecciona la casilla Habilitar para cada una de las funciones de aprovisionamiento a la aplicación que quieras habilitar. Para este tutorial, seleccione todas las opciones.

11. Seleccione Guardar.

Ya tiene todo listo para sincronizar los usuarios desde Okta con IAM Identity Center.

Paso 4Okta: Sincronizar los usuarios desde el Centro de Identidad de Okta IAM

De forma predeterminada, no hay ningún usuario o grupo asignado a su aplicación IAM Identity Center de Okta. Los grupos de aprovisionamiento aprovisionan a los usuarios que sean miembros del grupo. Complete los siguientes pasos para sincronizar grupos y usuarios con. AWS IAM Identity Center

1. En la página de la aplicación Okta IAM Identity Center, seleccione la pestaña Asignaciones. Puede asignar personas y grupos a la aplicación IAM Identity Center.

   1. Para asignar personas:

      • En la página Assignments, seleccione Assign y, a continuación, seleccione Assign to people.

      • Seleccione los usuarios de Okta que desee que tengan acceso a la aplicación IAM Identity Center. Seleccione Asignar, luego Guardar y volver y, a continuación, seleccione Terminado.

      Esto inicia el proceso de aprovisionamiento de los usuarios en IAM Identity Center.

   2. Para asignar grupos:

      • En la página Assignments, seleccione Assign y, a continuación, seleccione Assign to groups.

      • Seleccione los grupos de Okta que desee que tengan acceso a la aplicación IAM Identity Center. Seleccione Asignar, luego Guardar y volver y, a continuación, seleccione Terminado.

      Esto inicia el proceso de aprovisionamiento del usuario o los usuarios en IAM Identity Center.

      nota

      Es posible que deba especificar más atributos para el grupo si no están presentes en todos los registros de usuario. Los atributos especificados para el grupo anularán cualquier valor de atributo individual.

2. Seleccione la pestaña Transferir grupos. Elija el Okta grupo que desee sincronizar con el IAM Identity Center. Seleccione Guardar.

   El estado del grupo cambia a Active después de que el grupo y sus miembros se hayan transferido a IAM Identity Center.

3. Vuelva a la pestaña Assignments.

4. Para añadir Okta usuarios individuales al Centro de identidades de IAM, siga estos pasos:

   1. En la página de tareas, seleccione Asignar y, a continuación, seleccione Asignar a personas.

   2. Seleccione los usuarios de Okta que desee que tengan acceso a la aplicación IAM Identity Center. Seleccione Asignar, luego Guardar y volver y, a continuación, seleccione Terminado.

      Esto inicia el proceso de aprovisionamiento de los usuarios individuales en IAM Identity Center.

      nota

      También puede asignar usuarios y grupos a la AWS IAM Identity Center aplicación desde la página Aplicaciones delOkta admin dashboard. Para ello, seleccione el icono Settings, seleccione Assign to Users o Assign to Groups y, a continuación, especifique el usuario o el grupo.

5. Vuelva a la consola de IAM Identity Center. En el menú de navegación de la izquierda, seleccione Users. Debería ver la lista de usuarios rellenada por sus usuarios de Okta.

¡Enhorabuena!

Ha configurado correctamente una conexión SAML entre Okta AWS y ha comprobado que el aprovisionamiento automático funciona. Ahora puede asignar a estos usuarios cuentas y aplicaciones en IAM Identity Center. Para este tutorial, en el siguiente paso designaremos a uno de los usuarios como administrador de IAM Identity Center mediante la concesión de permisos administrativos en la cuenta de administración.

Paso 5: Centro de identidad de IAM: permite a Okta los usuarios acceder a las cuentas

1. En el panel de navegación del IAM Identity Center, en Permisos para varias cuentas, seleccione Cuentas de AWS.

2. En la página Cuentas de AWS, la opción Estructura organizativa muestra la raíz organizativa con las cuentas situadas por debajo de ella en la jerarquía. Seleccione la casilla de verificación de su cuenta de administración y, a continuación, seleccione Asignar usuarios o grupos.

3. Aparecerá el flujo de trabajo Asignar usuarios y grupos. Consta de tres pasos:

   1. Para el paso 1: Seleccione los usuarios y los grupos, elija el usuario que realizará la función de administrador. A continuación, elija Next.

   2. En el paso 2: seleccionar conjuntos de permisos, elija Crear conjunto de permisos para abrir una nueva pestaña que le guiará por los tres subpasos necesarios para crear un conjunto de permisos.

      1. En Paso 1: selección del tipo de conjunto de permisos, haga lo siguiente:

         • En Tipo de conjunto de permisos, seleccione Conjunto de permisos predefinido.

         • En Política para un conjunto de permisos predefinido, elija AdministratorAccess.

         Elija Siguiente.

      2. En Paso 2: especificación de los detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente.

         La configuración predeterminada crea un conjunto de permisos denominado AdministratorAccesscon una duración de sesión establecida en una hora.

      3. En el paso 3: revisar y crear, compruebe que el tipo de conjunto de permisos utiliza la política AWS gestionada AdministratorAccess. Seleccione Crear. En la página Conjuntos de permisos, aparece una notificación que le informa de que se creó el conjunto de permisos. Ya puede cerrar esta pestaña en su navegador web.

      En la pestaña Asignar usuarios y grupos del navegador, todavía está en Paso 2: selección de los conjuntos de permisos, donde empezó el flujo de trabajo de creación de conjuntos de permisos.

      En el área Conjuntos de permisos, pulse el botón Actualizar. El conjunto de AdministratorAccesspermisos que ha creado aparece en la lista. Seleccione la casilla de verificación del conjunto de permisos y, a continuación, seleccione Siguiente.

   3. Para el paso 3: revisar y enviar, revise el usuario y el conjunto de permisos seleccionados y, a continuación, seleccione Enviar.

      La página se actualiza con un mensaje en el que se indica que Cuenta de AWS se está configurando. Espere hasta que finalice el proceso.

      Volverá a la Cuentas de AWS página. Un mensaje de notificación le informa de que se Cuenta de AWS ha vuelto a aprovisionar y se ha aplicado el conjunto de permisos actualizado. Cuando el usuario inicie sesión, tendrá la opción de elegir el rol. AdministratorAccess

Paso 6Okta: Confirme el acceso de Okta los usuarios a los recursos AWS

1. Inicie sesión con una cuenta de prueba enOkta dashboard.

2. En Mis aplicaciones, selecciona el AWS IAM Identity Center icono.

3. Deberías ver el Cuenta de AWS icono. Amplíe el icono para ver la lista de Cuentas de AWS a las que puede acceder el usuario. En este tutorial, solo trabajó con una cuenta, por lo que al expandir el icono solo se muestra una cuenta.

4. Seleccione la cuenta para ver los conjuntos de permisos disponibles para el usuario. En este tutorial, creó el conjunto de AdministratorAccesspermisos.

5. Junto al conjunto de permisos hay enlaces para el tipo de acceso disponible para ese conjunto de permisos. Al crear el conjunto de permisos, especificó el acceso tanto al acceso como al AWS Management Console acceso programático. Seleccione Consola de administración para abrir la AWS Management Console.

6. El usuario ha iniciado sesión en. AWS Management Console

(Opcional) Paso de atributos para el control de acceso

Si lo desea, puede utilizar la característica Atributos para controlar el acceso de IAM Identity Center para transferir un elemento Attribute con el atributo Name configurado como https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}. Este elemento le permite pasar atributos como etiquetas de sesión en la aserción SAML. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS en la Guía del usuario de IAM.

Para pasar atributos como etiquetas de sesión, incluya el elemento AttributeValue que especifica el valor de la etiqueta. Por ejemplo, utilice el siguiente atributo para pasar los pares clave-valor de etiquetas CostCenter = blue.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si necesita añadir varios atributos, incluya un elemento Attribute independiente para cada etiqueta.

Siguientes pasos

Ahora que ha configurado Okta como proveedor de identidades y ha aprovisionado a usuarios en IAM Identity Center, puede hacer lo siguiente:

• Conceda acceso a Cuentas de AWS, consulteAsigne el acceso de los usuarios a Cuentas de AWS.

• Para conceder acceso a las aplicaciones en la nube, consulte Asignar el acceso de los usuarios a las aplicaciones en la consola de IAM Identity Center.

• Configure los permisos en función de las funciones del trabajo; consulte Crear un conjunto de permisos.