Configurer SAML et SCIM avec un IAM Okta Identity Center

Vous pouvez automatiquement fournir ou synchroniser les informations des utilisateurs et des groupes depuis Okta IAM Identity Center à l'aide du protocole SCIM (System for Cross-domain Identity Management) 2.0. Pour configurer cette connexionOkta, vous utilisez votre point de terminaison SCIM pour IAM Identity Center et un jeton porteur créé automatiquement par IAM Identity Center. Lorsque vous configurez la synchronisation SCIM, vous créez un mappage de vos attributs utilisateur avec Okta les attributs nommés dans IAM Identity Center. Ce mappage correspond aux attributs utilisateur attendus entre IAM Identity Center et votre Okta compte.

Oktaprend en charge les fonctionnalités de provisionnement suivantes lorsqu'il est connecté à IAM Identity Center via SCIM :

• Créer des utilisateurs : les utilisateurs affectés à l'application IAM Identity Center dans Okta sont provisionnés dans IAM Identity Center.

• Mettre à jour les attributs utilisateur : les modifications d'attributs pour les utilisateurs affectés à l'application IAM Identity Center Okta sont mises à jour dans IAM Identity Center.

• Désactiver les utilisateurs : les utilisateurs qui ne sont pas affectés par l'application IAM Identity Center dans Okta sont désactivés dans IAM Identity Center.

• Push de groupe : les groupes (et leurs membres) Okta sont synchronisés avec IAM Identity Center.

  Note

  Pour minimiser les frais administratifs, tant Okta pour IAM Identity Center, que pour IAM Identity Center, nous vous recommandons d'attribuer et de transférer des groupes plutôt que des utilisateurs individuels.

Objectif

Dans ce didacticiel, vous allez découvrir comment configurer une connexion SAML avec Okta IAM Identity Center. Plus tard, vous synchroniserez les utilisateurs depuisOkta, à l'aide de SCIM. Dans ce scénario, vous gérez tous les utilisateurs et groupes dansOkta. Les utilisateurs se connectent via le Okta portail. Pour vérifier que tout est correctement configuré, une fois les étapes de configuration terminées, vous vous connecterez en tant qu'Oktautilisateur et vérifierez l'accès aux AWS ressources.

Note

Vous pouvez créer un Okta compte (essai gratuit) sur lequel l'application Okta's IAM Identity Center est installée. Pour les Okta produits payants, vous devrez peut-être confirmer que votre Okta licence prend en charge la gestion du cycle de vie ou des fonctionnalités similaires permettant le provisionnement sortant. Ces fonctionnalités peuvent être nécessaires pour configurer le SCIM depuis Okta IAM Identity Center.

Si vous n'avez pas encore activé IAM Identity Center, consultezActivant AWS IAM Identity Center.

Considérations

• Avant de configurer le provisionnement SCIM entre Okta et IAM Identity Center, nous vous recommandons de procéder à un premier examen. Considérations relatives à l'utilisation du provisionnement automatique

• Chaque Okta utilisateur doit avoir un prénom, un nom de famille, un nom d'utilisateur et une valeur de nom d'affichage spécifiés.

• Chaque Okta utilisateur ne dispose que d'une seule valeur par attribut de données, tel qu'une adresse e-mail ou un numéro de téléphone. Les utilisateurs possédant plusieurs valeurs ne parviendront pas à se synchroniser. Si certains utilisateurs ont plusieurs valeurs dans leurs attributs, supprimez les attributs dupliqués avant de tenter de configurer l'utilisateur dans IAM Identity Center. Par exemple, un seul attribut de numéro de téléphone peut être synchronisé, étant donné que l'attribut de numéro de téléphone par défaut est « téléphone professionnel », utilisez l'attribut « téléphone professionnel » pour stocker le numéro de téléphone de l'utilisateur, même si le numéro de téléphone de l'utilisateur est un téléphone fixe ou un téléphone mobile.

• Lors de l'utilisation Okta avec IAM Identity Center, IAM Identity Center est généralement configuré en tant qu'application dans. Okta Cela vous permet de configurer plusieurs instances d'IAM Identity Center en tant que multiples applications, prenant en charge l'accès à plusieurs AWS Organisations, au sein d'une seule instance duOkta.

• Les droits et les attributs de rôle ne sont pas pris en charge et ne peuvent pas être synchronisés avec IAM Identity Center.

• L'utilisation du même Okta groupe pour les devoirs et le transfert de groupe n'est actuellement pas prise en charge. Pour maintenir des appartenances de groupe cohérentes entre IAM Identity Center Okta et IAM Identity Center, créez un groupe distinct et configurez-le pour transférer des groupes vers IAM Identity Center.

Étape 1 Okta : Obtenir les métadonnées SAML de votre compte Okta

1. Connectez-vous auOkta admin dashboard, développez Applications, puis sélectionnez Applications.

2. Sur la page Applications, choisissez Browse App Catalog (Parcourir le catalogue d'applications).

3. Dans le champ de recherche, tapez AWS IAM Identity Center, sélectionnez l'application pour ajouter l'application IAM Identity Center.

4. Sélectionnez l'onglet Se connecter.

5. Sous Certificats de signature SAML, sélectionnez Actions, puis Afficher les métadonnées IdP. Un nouvel onglet de navigateur s'ouvre et affiche l'arborescence du document d'un fichier XML. Sélectionnez tout le code XML de <md:EntityDescriptor> à </md:EntityDescriptor> et copiez-le dans un fichier texte.

6. Enregistrez le fichier texte sousmetadata.xml.

Laissez la console Okta admin dashboard ouverte, vous continuerez à utiliser cette console dans les étapes ultérieures.

Étape 2 : IAM Identity Center : configurer Okta en tant que source d'identité pour IAM Identity Center

1. Ouvrez la console IAM Identity Center en tant qu'utilisateur doté de privilèges administratifs.

2. Choisissez Paramètres dans le volet de navigation de gauche.

3. Sur la page Paramètres, choisissez Actions, puis Modifier la source d'identité.

4. Sous Choisir une source d'identité, sélectionnez Fournisseur d'identité externe, puis cliquez sur Suivant.

5. Sous Configurer le fournisseur d'identité externe, procédez comme suit :

   1. Sous Métadonnées du fournisseur de services, choisissez Télécharger le fichier de métadonnées pour télécharger le fichier de métadonnées IAM Identity Center et l'enregistrer sur votre système. Vous fournirez le fichier de métadonnées SAML d'IAM Identity Center Okta ultérieurement dans ce didacticiel.

      Copiez les éléments suivants dans un fichier texte pour y accéder facilement :

      • URL du service client d'assertion (ACS) du centre d'identité IAM

      • URL de l'émetteur du IAM Identity Center

      Vous aurez besoin de ces valeurs plus loin dans ce didacticiel.

   2. Sous Métadonnées du fournisseur d'identité, sous Métadonnées IDP SAML, sélectionnez Choisir un fichier, puis sélectionnez le metadata.xml fichier que vous avez créé à l'étape précédente.

   3. Choisissez Suivant.

6. Après avoir lu la clause de non-responsabilité et être prêt à continuer, saisissez ACCEPTER.

7. Choisissez Modifier la source d'identité.

   Laissez la AWS console ouverte, vous continuerez à l'utiliser à l'étape suivante.

8. Revenez à Okta admin dashboard l'onglet Connexion de l' AWS IAM Identity Center application et sélectionnez-le, puis sélectionnez Modifier.

9. Dans Paramètres de connexion avancés, entrez les informations suivantes :

   • Pour l'URL ACS, entrez la valeur que vous avez copiée pour l'URL IAM Identity Center Assertion Consumer Service (ACS)

   • Pour URL de l'émetteur, entrez la valeur que vous avez copiée pour l'URL de l'émetteur d'IAM Identity Center

   • Pour le format du nom d'utilisateur de l'application, sélectionnez l'une des options du menu.

     Assurez-vous que la valeur que vous choisissez est unique pour chaque utilisateur. Pour ce didacticiel, sélectionnez le nom d'utilisateur Okta

10. Choisissez Enregistrer.

Vous êtes maintenant prêt à approvisionner les utilisateurs depuis Okta IAM Identity Center. Laissez le champ Okta admin dashboard ouvert et revenez à la console IAM Identity Center pour passer à l'étape suivante.

Étape 3 : IAM Identity Center et OktaOkta provisionnement des utilisateurs

1. Dans la console IAM Identity Center, sur la page Paramètres, recherchez la zone Informations de provisionnement automatique, puis choisissez Activer. Cela permet le provisionnement automatique dans IAM Identity Center et affiche les informations nécessaires sur le point de terminaison SCIM et le jeton d'accès.

2. Dans la boîte de dialogue de provisionnement automatique entrant, copiez chacune des valeurs des options suivantes :

   • Point de terminaison SCIM

   • Jeton d'accès

   Avertissement

   C'est le seul moment où vous pouvez obtenir le point de terminaison SCIM et le jeton d'accès. Assurez-vous de copier ces valeurs avant de continuer. Vous saisirez ces valeurs pour configurer le provisionnement automatique Okta plus loin dans ce didacticiel.

3. Choisissez Fermer.

4. Retournez à l'application IAM Identity Center Okta admin dashboard et naviguez vers celle-ci.

5. Sur la page de l'application IAM Identity Center, choisissez l'onglet Provisioning, puis dans le menu de navigation de gauche, sous Paramètres, choisissez Integration.

6. Choisissez Modifier, puis cochez la case à côté de Activer l'intégration des API pour activer le provisionnement automatique.

7. Configurez Okta avec les valeurs de provisionnement SCIM AWS IAM Identity Center que vous avez copiées plus tôt dans cette étape :

   1. Dans le champ URL de base, entrez la valeur du point de terminaison SCIM. Assurez-vous de supprimer la barre oblique à la fin de l'URL.

   2. Dans le champ API Token, entrez la valeur du jeton d'accès.

8. Choisissez Test API Credentials pour vérifier que les informations d'identification saisies sont valides.

   Le message AWS IAM Identity Center a été vérifié avec succès ! écrans.

9. Choisissez Enregistrer. Vous êtes redirigé vers la section Paramètres, avec l'option Intégration sélectionnée.

10. Sous Paramètres, choisissez Vers l'application, puis cochez la case Activer pour chacune des fonctionnalités de provisionnement vers l'application que vous souhaitez activer. Pour ce didacticiel, sélectionnez toutes les options.

11. Choisissez Enregistrer.

Vous êtes maintenant prêt à synchroniser vos utilisateurs depuis Okta IAM Identity Center.

Étape 4 Okta : Synchroniser les utilisateurs depuis Okta IAM Identity Center

Par défaut, aucun groupe ou utilisateur n'est attribué à votre application Okta IAM Identity Center. Les groupes de provisionnement provisionnent les utilisateurs membres du groupe. Procédez comme suit pour synchroniser les groupes et les utilisateurs avec AWS IAM Identity Center.

1. Sur la page de l'application Okta IAM Identity Center, choisissez l'onglet Assignments. Vous pouvez attribuer à la fois des personnes et des groupes à l'application IAM Identity Center.

   1. Pour affecter des personnes :

      • Sur la page Attributions, choisissez Attribuer, puis Attribuer à des personnes.

      • Choisissez les Okta utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez Attribuer, puis Enregistrer et revenir en arrière, puis cliquez sur OK.

      Cela lance le processus de mise en service des utilisateurs dans IAM Identity Center.

   2. Pour attribuer des groupes :

      • Sur la page Attributions, choisissez Attribuer, puis Attribuer aux groupes.

      • Choisissez les Okta groupes auxquels vous souhaitez accéder à l'application IAM Identity Center. Choisissez Attribuer, puis Enregistrer et revenir en arrière, puis cliquez sur OK.

      Cela lance le processus de mise en service des utilisateurs du groupe dans IAM Identity Center.

      Note

      Vous devrez peut-être spécifier des attributs supplémentaires pour le groupe s'ils ne figurent pas dans tous les enregistrements utilisateur. Les attributs spécifiés pour le groupe remplaceront toute valeur d'attribut individuelle.

2. Choisissez l'onglet Push Groups. Choisissez le Okta groupe que vous souhaitez synchroniser avec IAM Identity Center. Choisissez Enregistrer.

   Le statut du groupe passe à Actif une fois que le groupe et ses membres ont été transférés vers IAM Identity Center.

3. Retournez à l'onglet Affectations.

4. Pour ajouter des Okta utilisateurs individuels à IAM Identity Center, procédez comme suit :

   1. Sur la page Attributions, choisissez Attribuer, puis Attribuer à des personnes.

   2. Choisissez les Okta utilisateurs auxquels vous souhaitez avoir accès à l'application IAM Identity Center. Choisissez Attribuer, puis Enregistrer et revenir en arrière, puis cliquez sur OK.

      Cela lance le processus de mise en service des utilisateurs individuels dans IAM Identity Center.

      Note

      Vous pouvez également attribuer des utilisateurs et des groupes à l' AWS IAM Identity Center application, depuis la page Applications duOkta admin dashboard. Pour ce faire, sélectionnez l'icône Paramètres, puis choisissez Attribuer aux utilisateurs ou Attribuer aux groupes, puis spécifiez l'utilisateur ou le groupe.

5. Retournez à la console IAM Identity Center. Dans le volet de navigation de gauche, sélectionnez Utilisateurs. Vous devriez voir la liste des utilisateurs renseignée par vos Okta utilisateurs.

Félicitations !

Vous avez correctement configuré une connexion SAML entre Okta et AWS et vous avez vérifié que le provisionnement automatique fonctionne. Vous pouvez désormais attribuer ces utilisateurs à des comptes et à des applications dans IAM Identity Center. Dans le cadre de ce didacticiel, à l'étape suivante, désignons l'un des utilisateurs comme administrateur du centre d'identité IAM en lui accordant des autorisations administratives sur le compte de gestion.

Étape 5 : IAM Identity Center : accordez aux Okta utilisateurs l'accès aux comptes

1. Dans le volet de navigation d'IAM Identity Center, sous Autorisations multi-comptes, sélectionnez. Comptes AWS

2. Sur la Comptes AWSpage, la structure organisationnelle affiche la racine de votre organisation avec vos comptes en dessous dans la hiérarchie. Cochez la case correspondant à votre compte de gestion, puis sélectionnez Attribuer des utilisateurs ou des groupes.

3. Le flux de travail Attribuer des utilisateurs et des groupes s'affiche. Il se compose de trois étapes :

   1. Pour l'étape 1 : Sélectionnez les utilisateurs et les groupes, choisissez l'utilisateur qui exécutera la fonction d'administrateur. Ensuite, sélectionnez Suivant.

   2. Pour l'étape 2 : sélectionner des ensembles d'autorisations, choisissez Créer un ensemble d'autorisations pour ouvrir un nouvel onglet qui vous guide à travers les trois sous-étapes nécessaires à la création d'un ensemble d'autorisations.

      1. Pour l'étape 1 : Sélectionnez le type d'ensemble d'autorisations, procédez comme suit :

         • Dans Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations prédéfini.

         • Dans Politique pour un ensemble d'autorisations prédéfini, sélectionnez AdministratorAccess.

         Choisissez Suivant.

      2. Pour l'étape 2 : Spécifiez les détails de l'ensemble d'autorisations, conservez les paramètres par défaut et choisissez Next.

         Les paramètres par défaut créent un ensemble d'autorisations nommé AdministratorAccessavec une durée de session fixée à une heure.

      3. Pour l'étape 3 : révision et création, vérifiez que le type d'ensemble d'autorisations utilise la politique AWS gérée AdministratorAccess. Choisissez Créer. Sur la page Ensembles d'autorisations, une notification apparaît pour vous informer que l'ensemble d'autorisations a été créé. Vous pouvez maintenant fermer cet onglet dans votre navigateur Web.

      Dans l'onglet du navigateur Attribuer des utilisateurs et des groupes, vous êtes toujours à l'étape 2 : Sélectionnez les ensembles d'autorisations à partir desquels vous avez lancé le flux de travail de création d'ensembles d'autorisations.

      Dans la zone Ensembles d'autorisations, cliquez sur le bouton Actualiser. L'ensemble AdministratorAccessd'autorisations que vous avez créé apparaît dans la liste. Cochez la case correspondant à cet ensemble d'autorisations, puis choisissez Next.

   3. Pour l'étape 3 : Révision et envoi, passez en revue l'utilisateur et l'ensemble d'autorisations sélectionnés, puis choisissez Soumettre.

      La page Compte AWS est mise à jour avec un message indiquant que vous êtes en cours de configuration. Patientez jusqu'à ce que le processus soit terminé.

      Vous êtes renvoyé à la Comptes AWS page. Un message de notification vous informe que votre Compte AWS compte a été réapprovisionné et que l'ensemble d'autorisations mis à jour a été appliqué. Lorsque l'utilisateur se connecte, il a la possibilité de choisir le AdministratorAccessrôle.

Étape 6 Okta : Confirmer l'accès Okta des utilisateurs aux AWS ressources

1. Connectez-vous à l'aide d'un compte de test auOkta dashboard.

2. Sous Mes applications, sélectionnez l'AWS IAM Identity Centericône.

3. Vous devriez voir l' Compte AWS icône. Développez cette icône pour voir la liste des Comptes AWS objets auxquels l'utilisateur peut accéder. Dans ce didacticiel, vous n'avez travaillé qu'avec un seul compte. Par conséquent, l'extension de l'icône ne permet d'afficher qu'un seul compte.

4. Sélectionnez le compte pour afficher les ensembles d'autorisations disponibles pour l'utilisateur. Dans ce didacticiel, vous avez créé l'ensemble AdministratorAccessd'autorisations.

5. À côté de l'ensemble d'autorisations se trouvent des liens indiquant le type d'accès disponible pour cet ensemble d'autorisations. Lorsque vous avez créé l'ensemble d'autorisations, vous avez spécifié l'accès à la fois à l'accès programmatique AWS Management Console et à l'accès programmatique. Sélectionnez Console de gestion pour ouvrir le AWS Management Console.

6. L'utilisateur est connecté au AWS Management Console.

(Facultatif) Transmission d'attributs pour le contrôle d'accès

Vous pouvez éventuellement utiliser la Attributs pour le contrôle d’accès fonctionnalité d'IAM Identity Center pour transmettre un Attribute élément dont l'Nameattribut est défini sur. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Cet élément vous permet de transmettre des attributs en tant que balises de session dans l'assertion SAML. Pour plus d'informations sur les balises de session, consultez la section Transmission de balises de session AWS STS dans le guide de l'utilisateur IAM.

Pour transmettre des attributs en tant que balises de session, incluez l'élément AttributeValue qui spécifie la valeur de la balise. Par exemple, pour transmettre la paire clé-valeur du tagCostCenter = blue, utilisez l'attribut suivant.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Si vous devez ajouter plusieurs attributs, incluez un Attribute élément distinct pour chaque balise.

Étapes suivantes

Maintenant que vous avez configuré Okta en tant que fournisseur d'identité et que vous avez configuré les utilisateurs dans IAM Identity Center, vous pouvez :

• Accorder l'accès à Comptes AWS, voirAttribuer un accès utilisateur à Comptes AWS.

• Accordez l'accès aux applications cloud, voirAttribuer un accès utilisateur aux applications dans la console IAM Identity Center.

• Configurez les autorisations en fonction des fonctions du travail, voir Création d'un ensemble d'autorisations.