Konfigurasikan SAFL dan SCIM dengan Okta dan IAM Identity Center

Anda dapat secara otomatis menyediakan (menyinkronkan) informasi pengguna dan grup dari Okta Pusat Identitas IAM menggunakan protokol System for Cross-domain Identity Management (SCIM) v2.0. Untuk mengonfigurasi koneksi iniOkta, Anda menggunakan titik akhir SCIM untuk Pusat Identitas IAM dan token pembawa yang dibuat secara otomatis oleh IAM Identity Center. Saat mengonfigurasi sinkronisasi SCIM, Anda membuat pemetaan atribut pengguna Okta ke atribut bernama di Pusat Identitas IAM. Pemetaan ini cocok dengan atribut pengguna yang diharapkan antara IAM Identity Center dan Anda. Okta

Oktamendukung fitur penyediaan berikut saat terhubung ke IAM Identity Center melalui SCIM:

• Buat pengguna - Pengguna yang ditugaskan ke aplikasi Pusat Identitas IAM di Okta disediakan di Pusat Identitas IAM.

• Perbarui atribut pengguna - Perubahan atribut untuk pengguna yang ditugaskan ke aplikasi Pusat Identitas IAM di diperbarui di Okta Pusat Identitas IAM.

• Nonaktifkan pengguna - Pengguna yang tidak ditugaskan dari aplikasi Pusat Identitas IAM dinonaktifkan di Okta Pusat Identitas IAM.

• Group push — Grup (dan anggotanya) Okta disinkronkan ke IAM Identity Center.

  catatan

  Untuk meminimalkan overhead administratif di keduanya Okta dan Pusat Identitas IAM, sebaiknya Anda menetapkan dan mendorong grup alih-alih pengguna individu.

Jika Anda belum mengaktifkan IAM Identity Center, lihatMengaktifkan AWS IAM Identity Center.

Objektif

Dalam tutorial ini, Anda akan berjalan melalui pengaturan koneksi SAFL dengan Okta IAM Identity Center. Nanti, Anda akan menyinkronkan pengguna dariOkta, menggunakan SCIM. Dalam skenario ini, Anda mengelola semua pengguna dan grupOkta. Pengguna masuk melalui Okta portal. Untuk memverifikasi semuanya dikonfigurasi dengan benar, setelah menyelesaikan langkah-langkah konfigurasi Anda akan masuk sebagai Okta pengguna dan memverifikasi akses ke AWS sumber daya.

catatan

Anda dapat mendaftar untuk Okta akun (uji coba gratis) yang telah menginstal aplikasi Okta's IAM Identity Center. Untuk Okta produk berbayar, Anda mungkin perlu mengonfirmasi bahwa Okta lisensi mendukung manajemen siklus hidup atau kemampuan serupa yang memungkinkan penyediaan keluar. Fitur-fitur ini mungkin diperlukan untuk mengkonfigurasi SCIM dari Okta ke IAM Identity Center.

Sebelum Anda mulai

Sebelum Anda mengonfigurasi penyediaan SCIM antara Okta dan IAM Identity Center, kami sarankan Anda meninjau terlebih dahulu. Pertimbangan untuk menggunakan penyediaan otomatis

Konfirmasikan item berikut sebelum Anda memulai:

• Setiap Okta pengguna harus memiliki nilai Nama depan, nama belakang, nama pengguna dan nama tampilan yang ditentukan.

• Setiap Okta pengguna hanya memiliki satu nilai per atribut data, seperti alamat email atau nomor telepon. Setiap pengguna yang memiliki banyak nilai akan gagal untuk menyinkronkan. Jika ada pengguna yang memiliki beberapa nilai dalam atributnya, hapus atribut duplikat sebelum mencoba menyediakan pengguna di Pusat Identitas IAM. Misalnya, hanya satu atribut nomor telepon yang dapat disinkronkan, karena atribut nomor telepon default adalah “telepon kerja”, gunakan atribut “telepon kerja” untuk menyimpan nomor telepon pengguna, bahkan jika nomor telepon untuk pengguna adalah telepon rumah atau ponsel.

• Jika Anda memperbarui alamat pengguna, Anda harus memiliki StreetAddress, kota, negara bagian, ZipCode, dan nilai CountryCode yang ditentukan. Jika salah satu nilai ini tidak ditentukan untuk Okta pengguna pada saat sinkronisasi, pengguna (atau perubahan pada pengguna) tidak akan disediakan.

catatan

Hak dan atribut peran tidak didukung dan tidak dapat disinkronkan dengan Pusat Identitas IAM.

Menggunakan Okta grup yang sama untuk tugas dan push grup saat ini tidak didukung. Untuk mempertahankan keanggotaan grup yang konsisten antara Okta dan Pusat Identitas IAM, buat grup terpisah dan konfigurasikan untuk mendorong grup ke Pusat Identitas IAM.

Langkah 1: Dapatkan metadata SAFL dari akun Anda Okta

1. Masuk keOkta admin dashboard, perluas Aplikasi, lalu pilih Aplikasi.

2. Pada halaman Aplikasi, pilih Jelajahi Katalog Aplikasi.

3. Di kotak pencarian, ketik AWS IAM Identity Center, pilih aplikasi untuk menambahkan aplikasi Pusat Identitas IAM.

4. Pilih tab Masuk.

5. Di bawah Sertifikat Penandatanganan SAMP, pilih Tindakan, lalu pilih Lihat Metadata IDP. Tab browser baru terbuka menunjukkan pohon dokumen dari file XML. Pilih semua XMLnya dari <md:EntityDescriptor> to </md:EntityDescriptor> dan salin ke file teks.

6. Simpan file teks sebagaimetadata.xml.

Biarkan Okta admin dashboard terbuka, Anda akan terus menggunakan konsol itu di langkah selanjutnya.

Langkah 2: Konfigurasikan Okta sebagai sumber identitas untuk IAM Identity Center

1. Buka konsol Pusat Identitas IAM sebagai pengguna dengan hak administratif.

2. Pilih Pengaturan di panel navigasi kiri.

3. Pada halaman Pengaturan, pilih Tindakan, lalu pilih Ubah sumber identitas.

4. Di bawah Pilih sumber identitas, pilih Penyedia identitas eksternal, lalu pilih Berikutnya.

5. Di bawah Konfigurasi penyedia identitas eksternal, lakukan hal berikut:

   1. Di bawah metadata penyedia layanan, pilih Unduh file metadata untuk mengunduh file metadata Pusat Identitas IAM dan menyimpannya di sistem Anda. Anda akan memberikan file metadata IAM Identity Center SAM untuk Okta nanti dalam tutorial ini.

      Salin item berikut ke file teks untuk memudahkan akses:

      • URL Layanan Konsumen (ACS) Pernyataan Pusat Identitas IAM

      • URL penerbit IAM Identity Center

      Anda akan membutuhkan nilai-nilai ini nanti dalam tutorial ini.

   2. Di bawah metadata penyedia identitas, di bawah IDP SAMP meta pilih Pilih file dan kemudian pilih file yang Anda buat pada langkah metadata.xml sebelumnya.

   3. Pilih Selanjutnya.

6. Setelah Anda membaca disclaimer dan siap untuk melanjutkan, masukkan ACCEPT.

7. Pilih Ubah sumber identitas.

   Biarkan AWS konsol terbuka, Anda akan terus menggunakan konsol itu di langkah berikutnya.

8. Kembali ke Okta admin dashboard dan pilih tab Masuk AWS IAM Identity Center aplikasi, lalu klik Edit.

9. Di bawah Pengaturan Masuk Lanjutan, masukkan yang berikut ini:

   • Untuk URL ACS, masukkan nilai yang Anda salin untuk URL IAM Identity Center Assertion Consumer Service (ACS)

   • Untuk URL Penerbit masukkan nilai yang Anda salin untuk URL penerbit IAM Identity Center

   • Untuk format nama pengguna Aplikasi pilih salah satu opsi dari menu tarik-turun.

     Buat sehingga nilai yang Anda pilih unik untuk setiap pengguna. Untuk tutorial ini, pilih nama pengguna Okta

10. Pilih Simpan.

Anda sekarang siap untuk menyediakan pengguna dari Pusat Okta Identitas IAM. Biarkan Okta admin dashboard terbuka, dan kembali ke konsol IAM Identity Center untuk langkah selanjutnya.

Langkah 3: Untuk menyediakan pengguna dari Okta

1. Di konsol Pusat Identitas IAM di halaman Pengaturan, cari kotak Informasi penyediaan otomatis, lalu pilih Aktifkan. Ini memungkinkan penyediaan otomatis di IAM Identity Center dan menampilkan titik akhir SCIM dan informasi token akses yang diperlukan.

2. Di kotak dialog Penyediaan otomatis masuk, salin setiap nilai untuk opsi berikut:

   • Titik akhir SCIM

   • Token akses

   Nanti dalam tutorial ini Anda akan memasukkan nilai-nilai ini untuk mengonfigurasi penyediaan. Okta

3. Pilih Tutup.

4. Kembali ke Okta admin dashboard dan navigasikan ke aplikasi Pusat Identitas IAM.

5. Pada halaman aplikasi Pusat Identitas IAM, pilih tab Penyediaan, lalu di navigasi kiri di bawah Pengaturan, pilih Integrasi.

6. Pilih Edit, lalu pilih kotak centang di samping Aktifkan integrasi API untuk mengaktifkan penyediaan.

7. Konfigurasikan Okta dengan nilai penyediaan SCIM dari IAM Identity Center yang Anda salin sebelumnya dalam tutorial ini:

   1. Di bidang URL Dasar, masukkan nilai titik akhir SCIM. Pastikan Anda menghapus garis miring ke depan di akhir URL.

   2. Di bidang Token API, masukkan nilai token Access.

8. Pilih Test API Credentials untuk memverifikasi kredensi yang dimasukkan valid.

   Pesan berhasil AWS IAM Identity Center diverifikasi! menampilkan.

9. Pilih Simpan. Anda dinavigasi ke area Pengaturan, dengan Integrasi dipilih.

10. Di bawah Pengaturan, pilih Ke Aplikasi, lalu pilih kotak centang Aktifkan untuk setiap fitur Penyediaan ke Aplikasi yang ingin Anda aktifkan. Untuk tutorial ini, pilih semua opsi.

11. Pilih Simpan.

Anda sekarang siap untuk menyinkronkan pengguna Anda Okta dengan IAM Identity Center.

Langkah 4: Sinkronisasi pengguna Okta dengan IAM Identity Center

Secara default, tidak ada grup atau pengguna yang ditetapkan ke aplikasi Pusat Okta Identitas IAM Anda. Grup penyediaan menyediakan pengguna yang menjadi anggota grup. Selesaikan langkah-langkah berikut untuk menyinkronkan grup dan pengguna dengan IAM Identity Center.

1. Di halaman aplikasi Pusat Okta Identitas IAM, pilih tab Penugasan. Anda dapat menetapkan orang dan grup ke aplikasi Pusat Identitas IAM.

   1. Untuk menugaskan orang:

      • Di halaman Penugasan, pilih Tetapkan, lalu pilih Tetapkan ke orang.

      • Pilih Okta pengguna yang ingin Anda akses ke aplikasi Pusat Identitas IAM. Pilih Tetapkan, pilih Simpan dan Kembali, lalu pilih Selesai.

      Ini memulai proses penyediaan pengguna ke IAM Identity Center.

   2. Untuk menetapkan grup:

      • Di halaman Penugasan, pilih Tetapkan, lalu pilih Tetapkan ke grup.

      • Pilih Okta grup yang ingin Anda akses ke aplikasi Pusat Identitas IAM. Pilih Tetapkan, pilih Simpan dan Kembali, lalu pilih Selesai.

      Ini memulai proses penyediaan pengguna dalam grup ke IAM Identity Center.

      catatan

      Anda mungkin diminta untuk menentukan atribut tambahan untuk grup jika atribut tersebut tidak ada di semua catatan pengguna. Atribut yang ditentukan untuk grup akan mengganti nilai atribut individual apa pun.

2. Pilih tab Push Groups. Pilih Okta grup yang berisi semua grup yang Anda tetapkan ke aplikasi Pusat Identitas IAM. Pilih Simpan.

   Status grup berubah menjadi Aktif setelah grup dan anggotanya didorong ke Pusat Identitas IAM.

3. Kembali ke tab Tugas.

4. Jika Anda memiliki pengguna yang bukan anggota grup yang Anda dorong ke IAM Identity Center, tambahkan mereka satu per satu menggunakan langkah-langkah berikut:

   Di halaman Penugasan, pilih Tetapkan, lalu pilih Tetapkan ke Orang.

5. Pilih Okta pengguna yang ingin Anda akses ke aplikasi Pusat Identitas IAM. Pilih Tetapkan, pilih Simpan dan Kembali, lalu pilih Selesai.

   Ini memulai proses penyediaan pengguna individu ke IAM Identity Center.

   catatan

   Anda juga dapat menetapkan pengguna dan grup ke AWS IAM Identity Center aplikasi, dari halaman Aplikasi. Okta admin dashboard Untuk melakukan ini pilih ikon Pengaturan dan kemudian pilih Tetapkan ke Pengguna atau Tetapkan ke Grup dan kemudian tentukan pengguna atau grup.

6. Kembali ke konsol Pusat Identitas IAM. Di navigasi kiri, pilih Pengguna, Anda akan melihat daftar pengguna yang diisi oleh Okta pengguna Anda.

Selamat!

Anda telah berhasil mengatur koneksi SAMP antara Okta dan AWS dan telah memverifikasi bahwa penyediaan otomatis berfungsi. Anda sekarang dapat menetapkan pengguna ini ke akun dan aplikasi di IAM Identity Center. Untuk tutorial ini, pada langkah berikutnya mari kita menunjuk salah satu pengguna sebagai administrator IAM Identity Center dengan memberikan mereka izin administratif ke akun manajemen.

Langkah 5: Berikan Okta pengguna akses ke akun

1. Di panel navigasi Pusat Identitas IAM, di bawah izin Multi-akun, pilih. Akun AWS

2. Pada Akun AWShalaman, struktur Organisasi menampilkan akar organisasi Anda dengan akun Anda di bawahnya dalam hierarki. Pilih kotak centang untuk akun manajemen Anda, lalu pilih Tetapkan pengguna atau grup.

3. Tampilan alur kerja Tetapkan pengguna dan grup. Ini terdiri dari tiga langkah:

   1. Untuk Langkah 1: Pilih pengguna dan grup pilih pengguna yang akan melakukan fungsi pekerjaan administrator. Lalu pilih Selanjutnya.

   2. Untuk Langkah 2: Pilih set izin pilih Buat set izin untuk membuka tab baru yang memandu Anda melalui tiga sub-langkah yang terlibat dalam membuat set izin.

      1. Untuk Langkah 1: Pilih jenis set izin lengkapi yang berikut ini:

         • Dalam Jenis set izin, pilih Set izin yang telah ditentukan sebelumnya.

         • Dalam Kebijakan untuk set izin yang telah ditentukan sebelumnya, pilih AdministratorAccess.

         Pilih Selanjutnya.

      2. Untuk Langkah 2: Tentukan detail set izin, pertahankan pengaturan default, dan pilih Berikutnya.

         Pengaturan default membuat set izin bernama AdministratorAccessdengan durasi sesi diatur ke satu jam.

      3. Untuk Langkah 3: Tinjau dan buat, verifikasi bahwa jenis set Izin menggunakan kebijakan AWS terkelola AdministratorAccess. Pilih Buat. Pada halaman Set izin, pemberitahuan muncul memberi tahu Anda bahwa set izin telah dibuat. Anda dapat menutup tab ini di browser web Anda sekarang.

      Pada tab Tetapkan pengguna dan grup browser, Anda masih pada Langkah 2: Pilih set izin dari mana Anda memulai alur kerja set izin buat.

      Di area set Izin, pilih tombol Refresh. Set AdministratorAccessizin yang Anda buat muncul dalam daftar. Pilih kotak centang untuk set izin tersebut dan kemudian pilih Berikutnya.

   3. Untuk Langkah 3: Tinjau dan kirimkan ulasan pengguna dan set izin yang dipilih, lalu pilih Kirim.

      Halaman diperbarui dengan pesan bahwa Anda Akun AWS sedang dikonfigurasi. Tunggu sampai proses selesai.

      Anda dikembalikan ke Akun AWS halaman. Pesan notifikasi memberi tahu Anda bahwa pesan Anda Akun AWS telah direvisi dan set izin yang diperbarui diterapkan. Saat pengguna masuk, mereka akan memiliki opsi untuk memilih peran. AdministratorAccess

      catatan

      Sinkronisasi otomatis SCIM Okta hanya mendukung pengguna penyediaan; grup tidak disediakan secara otomatis. Anda tidak dapat membuat grup untuk Okta pengguna menggunakan AWS Management Console. Setelah menyediakan pengguna, Anda dapat membuat grup menggunakan operasi CLI atau API

Langkah 6: Konfirmasikan akses Okta pengguna ke AWS sumber daya

1. Masuk ke Okta dashboard menggunakan akun pengguna uji.

2. Di bawah Aplikasi Saya pilih AWS IAM Identity Center ikon.

3. Anda masuk ke portal dan dapat melihat Akun AWS ikonnya. Perluas ikon itu untuk melihat daftar Akun AWS yang dapat diakses pengguna. Dalam tutorial ini Anda hanya bekerja dengan satu akun, jadi memperluas ikon hanya menampilkan satu akun.

4. Pilih akun untuk menampilkan set izin yang tersedia bagi pengguna. Dalam tutorial ini Anda membuat set AdministratorAccessizin.

5. Di samping set izin adalah tautan untuk jenis akses yang tersedia untuk set izin tersebut. Saat Anda membuat set izin, Anda menetapkan konsol manajemen dan akses terprogram diaktifkan, sehingga dua opsi tersebut ada. Pilih Konsol manajemen untuk membuka AWS Management Console.

6. Pengguna masuk ke konsol.

(Opsional) Melewati atribut untuk kontrol akses

Anda dapat menggunakan Atribut untuk kontrol akses fitur ini secara opsional di Pusat Identitas IAM untuk meneruskan Attribute elemen dengan Name atribut yang disetel ke. https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} Elemen ini memungkinkan Anda untuk meneruskan atribut sebagai tanda sesi dalam pernyataan SAML. Untuk informasi selengkapnya tentang tag sesi, lihat Melewati tag sesi AWS STS di Panduan Pengguna IAM.

Untuk menyampaikan atribut sebagai tag sesi, sertakan elemen AttributeValue yang menentukan nilai tag. Misalnya, untuk meneruskan pasangan nilai kunci tagCostCenter = blue, gunakan atribut berikut.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Jika Anda perlu menambahkan beberapa atribut, sertakan Attribute elemen terpisah untuk setiap tag.

Langkah selanjutnya

Sekarang setelah Anda mengonfigurasi Okta sebagai penyedia identitas dan pengguna yang disediakan di Pusat Identitas IAM, Anda dapat:

• Berikan akses ke Akun AWS, lihatTetapkan akses pengguna ke Akun AWS.

• Berikan akses ke aplikasi cloud, lihatTetapkan akses pengguna ke aplikasi di konsol Pusat Identitas IAM.

• Mengonfigurasi izin berdasarkan fungsi pekerjaan, lihat Membuat set izin