连接到 Okta SSO - Amazon Chime

要完成本指南中的步骤,您必须是 Amazon Chime 系统管理员。如需 Amazon Chime 桌面客户端、网络应用程序或移动应用程序方面的帮助,请参阅《Amazon Chime 用户指南》中的获取支持

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接到 Okta SSO

如果您有企业账户,则可以连接到 Okta SSO 以进行身份验证和分配用户权限。

注意

如果您需要创建企业账户(这将允许您管理一组指定电子邮件地址域中的所有用户),请参阅申请域

将 Amazon Chime 连接到 Okta 需要在 Okta 管理控制台中配置两个应用程序。第一个应用程序需要手动配置,然后通过 OpenID Connect 验证用户使用 Amazon Chime 服务的身份。第二个应用程序作为 Amazon Chime SCIM 预置,可以在 Okta Integration Network (OIN) 中使用。经过配置后,此应用程序会向 Amazon Chime 推送有关用户和组更改的更新内容。

连接到 Okta SSO

  1. Okta 管理控制台中创建 Amazon Chime 应用程序 (OpenID Connect):

    1. 登录 Okta 管理控制面板,然后选择 Add Application (添加应用程序)。在 Create New Application (创建新应用程序) 对话框中,依次选择 WebNext (下一步)

    2. 配置应用程序设置

      1. 命名应用程序 Amazon Chime

      2. 对于 Login Redirect URI (登录重定向 URI),请输入以下值:https://signin.id.ue1.app.chime.aws/auth/okta/callback

      3. Allowed Grant Types (允许的授权类型) 部分中,选择所有选项以启用它们。

      4. Login initiated by (登录发起方) 下拉菜单中,选择 Either (Okta or App) (两者之一 (Okta 或应用程序)),然后选择所有相关选项。

      5. 对于 Initiate Login URI (启动登录 URI),请输入以下值:https://signin.id.ue1.app.chime.aws/auth/okta

      6. 选择保存

      7. 保持此页面打开,因为您将需要 Client ID (客户端 ID)Client secret (客户端密钥)Issuer URI (发布者 URI) 信息用于步骤 2。

  2. 在 Amazon Chime 控制台中,按照以下步骤操作:

    1. Okta single-sign on configuration (Okta single-sign on 配置) 页面的顶部,选择 Set up incoming keys (设置传入密钥)

    2. Setup incoming Okta keys (设置传入 Okta 密钥) 对话框中:

      1. 粘贴 Okta 应用程序设置页面上的客户端 ID客户端密钥信息。

      2. 粘贴 Okta API 页面上的相应的发布者 URIIssuer URI (颁发者 URI) 必须是 Okta 域,例如 https://example.okta.com

  3. Okta 管理控制台中设置 Amazon Chime SCIM 预置应用程序,以便与 Amazon Chime 交换选定的身份和组成员资格信息:

    1. Okta 管理控制台中,依次选择应用程序添加应用程序,搜索 Amazon Chime SCIM 预置,然后添加此应用程序。

      重要

      在初始设置期间,同时选择 Do not display application to users (不向用户显示应用程序)Do not display application icon in the Okta Mobile App (不在 Okta 移动应用程序中显示应用程序图标),然后选择 Done (完成)

    2. Provisioning (预配置) 选项卡上,选择 Configure API Integration (配置 API 集成),然后选择 Enable API Integration (启用 API 集成)。保留此页面打开,因为您需要在接下来的步骤中向其复制 API 访问密钥。

    3. 在 Amazon Chime 控制台中,选择创建访问密钥以创建 API 访问密钥。将此密钥复制到配置 API 集成对话框中的 Okta API 令牌字段,选择测试集成,然后选择保存

    4. 配置 Okta 将用于更新 Amazon Chime 的操作和属性。在 Provisioning (预配置) 选项卡的 To App (至应用程序) 部分下方,选择 Edit (编辑),在 Enable Users (启用用户)Update User Attributes (更新用户属性)Deactivate Users (停用用户) 中选择,然后选择 Save (保存)

    5. Assignments (分配) 选项卡上,授予用户对新 SCIM 应用程序的权限。

      重要

      无论有无许可,亚马逊都建议您通过包含所有需要访问 Amazon Chime 的用户的组来授予权限。该组必须是在前面的步骤 1 中,分配面向用户的 OIDC 应用程序时所用的同一个组。否则,最终用户将无法登录。

    6. 推送组选项卡上,配置要同步到 Amazon Chime 的组和成员资格。这些组用于区分基本用户和高级用户。

  4. 在 Amazon Chime 中配置目录组:

    1. 在 Amazon Chime 控制台中,导航到 Okta 单一登录配置页面。

    2. Directory groups (目录组) 下,选择 Add new groups (添加新组)

    3. 输入要添加到 Amazon Chime 的目录组名称。该名称必须与在步骤 3-f 中配置的 Push Groups (推送组) 之一完全相符。

    4. 选择此组中的用户应该获取 Basic (基本) 还是 Pro (高级) 功能,然后选择 Save (保存)。重复此过程来配置额外的组。

      注意

      如果您收到错误消息,说明找不到该组,则两个系统可能未完成同步。请等待几分钟,然后重新选择 Add new groups (添加新组)

为目录组用户选择的 Basic 版或 Pro 版功能会影响这些用户在 Amazon Chime 企业账户中的许可证、功能和费用。有关更多信息,请参阅定价