使用和 IAM 身分識別中心設定 SAML Okta 和 SCIM

您可以使用跨網域身分識別管理 (SCIM) 2.0 版通訊協定的系統，Okta將使用者和群組資訊自動佈建 (同步) 至 IAM 身分中心。若要在中設定此連線Okta，請將 SCIM 端點用於 IAM 身分中心，以及由 IAM 身分中心自動建立的承載權杖。設定 SCIM 同步時，您可Okta以在中建立使用者屬性與 IAM 身分中心中指定屬性的對應。此對應會比對 IAM 身分中心和您的Okta.

Okta透過 SCIM 連線至 IAM 身分中心時，支援下列佈建功能：

• 建立使用者 — 指派給中 IAM 身分中心應用程式的使用者會在 IAM 身分中心佈建。Okta

• 更新使用者屬性 — 在 IAM 身分中心中指派給 IAM 身分中心應用程式的使Okta用者的屬性變更會更新。

• 停用使用者 — 在 Okta IAM 身分中心中停用從中的 IAM 身分中心應用程式取消指派的使用者。

• 群組推送 — 中的群組 (及其成員) Okta 會同步至 IAM 身分中心。

  注意

  為了將Okta和 IAM 身分中心的管理開銷降到最低，我們建議您指派和推送群組，而不是個別使用者。

如果您尚未啟用 IAM 身分中心，請參閱啟用 AWS IAM Identity Center。

目的

在本教學課程中，您將逐步瞭解如何設定與 Okta IAM 身分中心的 SAML 連線。稍後，您將使用 SCIM 從Okta同步處理使用者。在此案例中，您可以管理中的所有使用者和群組Okta。使用者透過入Okta口網站登入。若要驗證所有項目的設定是否正確，在完成設定步驟後，您將以Okta使用者身分登入並驗證 AWS 資源的存取權。

注意

您可以註冊已安裝 Okta's IAM 身分中心應用程式的Okta帳戶 (免費試用)。對於付費Okta產品，您可能需要確認您的Okta授權支援生命週期管理或啟用輸出佈建的類似功能。將 SCIM 設定為 IAM 身分中心時，可能需要這些功能。Okta

開始之前

在設定Okta和 IAM 身分中心之間的 SCIM 佈建之前，我們建議您先檢閱使用自動佈建的考量。

開始之前，請先確認以下項目：

• 每個Okta使用者都必須指定「名字」、「姓氏」、「使用者名稱」和「顯示名稱」值。

• 每個Okta使用者的每個資料屬性只有一個值，例如電子郵件地址或電話號碼。任何具有多個值的使用者將無法同步處理。如果使用者的屬性中有多個值，請先移除重複的屬性，然後再嘗試在 IAM 身分中心佈建使用者。例如，只能同步一個電話號碼屬性，因為預設的電話號碼屬性是「工作電話」，因此即使使用者的電話號碼是住家電話或行動電話，也可以使用「工作電話」屬性來儲存使用者的電話號碼。

• 如果您更新使用者的地址，您必須有指定的街道地址、城市、州、郵遞區號和國家代碼值。如果在同步處理時未為Okta使用者指定這些值中的任何一個，則不會佈建使用者 (或對使用者的變更)。

注意

不支援授權和角色屬性，且無法與 IAM 身分中心同步。

目前不支援針對指派和群組推送使用相Okta同的群組。若要在Okta和 IAM 身分中心之間維持一致的群組成員資格，請建立單獨的群組並將其設定為將群組推送至 IAM 身分中心。

步驟 1：從您的帳戶取得 SAML 中繼資料 Okta

1. 登入Okta admin dashboard，展開 [應用程式]，然後選取 [應用程式]。

2. 在 Applications (應用程式) 頁面上，選擇 Browse App Catalog (瀏覽應用程式目錄)。

3. 在搜尋方塊中輸入 AWS IAM Identity Center，選取要新增 IAM 身分中心應用程式的應用程式。

4. 選取 [登入] 索引標籤。

5. 在「SAML 簽署憑證」下，選取「動作」，然後選取「檢視 IdP 中繼資料」。新的瀏覽器標籤隨即開啟，顯示 XML 檔案的文件樹狀結構。從選擇所有的 XML，</md:EntityDescriptor>並<md:EntityDescriptor>將其複製到一個文本文件。

6. 將文字檔另存為metadata.xml。

保持Okta admin dashboard開啟狀態，您將在稍後的步驟中繼續使用該主控台。

步驟 2：設定Okta為 IAM 身分中心的身分識別來源

1. 以具有管理權限的使用者身分開啟 IAM 身分中心主控台。

2. 在左側導覽窗格中選擇 [設定]。

3. 在 [設定] 頁面上，選擇 [動作]，然後選擇 [變更身分識別來源]。

4. 在選擇身分識別來源下，選取外部身分識別提供者，然後選擇下一步。

5. 在設定外部身分識別提供者下，執行下列操作：

   1. 在「服務提供者中繼資料」下，選擇「下載中繼資料檔案」以下載 IAM Identity Center 中繼資料檔案，並將其儲存在系統 您將在本教學課程Okta稍後提供 IAM 身分中心 SAML 中繼資料檔案。

      將下列項目複製到文字檔案中以方便存取：

      • IAM 身分中心聲明消費者服務 (ACS) 網址

      • IAM 身分識別中心發行者 URL

      在本教學課程稍後，您將需要這些值。

   2. 在身分識別提供者中繼資料下的 IdP SAML 中繼資料下，選取 [選擇檔案]，然後選取您在上一個步驟中建立的metadata.xml檔案。

   3. 選擇下一步。

6. 閱讀免責聲明並準備繼續之後，請輸入 AC CEPT。

7. 選擇 [變更識別來源]。

   讓 AWS 主控台保持開啟狀態，您將在下一個步驟繼續使用該主控台。

8. 返回Okta admin dashboard並選取 AWS IAM Identity Center 應用程式的「登入」索引標籤，然後按一下「編輯」。

9. 在「進階登入設定」 下輸入下列項目：

   • 對於 ACS URL，請輸入您為 IAM 身分中心聲明消費者服務 (ACS) URL 複製的值

   • 對於發行者 URL，請輸入您為 IAM 身分中心簽發者 URL 複製的值

   • 對於應用程式使用者名稱格式，請從下拉式功能表中選取其中一個

     讓您選擇的值對每個使用者都是唯一的。對於本教程，請選擇 Okta 用戶名

10. 選擇儲存。

您現在可以從 Okta IAM 身分中心佈建使用者。保持Okta admin dashboard開啟狀態，然後返回 IAM 身分中心主控台進行下一個步驟。

步驟 3：提供使用者 Okta

1. 在 [設定] 頁面的 IAM Identity Center 主控台中，找出 [自動佈建資訊] 方塊，然後選擇 [啟用]。這樣可在 IAM 身分中心自動佈建，並顯示必要的 SCIM 端點和存取權杖資訊。

2. 在「輸入自動佈建」對話方塊中，複製下列選項的每個值：

   • SCIM 端點

   • 訪問令牌

   稍後在本教學課程中，您將輸入這些值以在中配置佈建Okta。

3. 選擇關閉。

4. 返回Okta admin dashboard並瀏覽至 IAM 身分中心應用程式。

5. 在 IAM 身分中心應用程式頁面上，選擇 [佈建] 索引標籤，然後在左側導覽中的 [設定] 下方選擇 [整合]。

6. 選擇 [編輯]，然後選取 [啟用 API 整合] 旁的核取方塊以啟用佈建。

7. 使Okta用您先前在本教學課程中複製的 IAM 身分中心的 SCIM 佈建值進行設定：

   1. 在「基礎 URL」欄位中，輸入 SCIM 端點值。確保您刪除了 URL 末尾的正斜線。

   2. 在「API 權杖」欄位中，輸入存取權杖值。

8. 選擇「測試 API 認證」以驗證輸入的認證是否有效。

   訊息已AWS IAM Identity Center 成功驗證！ 顯示器。

9. 選擇儲存。您會導覽至 「設定」 區域，並選取「整合」。

10. 在 [設定] 下，選擇 [至應用程式]，然後針對您要啟用的每個 [佈建至應用程式] 功能選取 [啟用] 核取方塊。對於此自學課程，請選取所有選項。

11. 選擇儲存。

您現在可以使用 IAM 身分中心同步處理使用者。Okta

步驟 4：使用 IAM 身分中心同步處理使用者 Okta

根據預設，不會將任何群組或使用者指派給您的 Okta IAM 身分中心應用程式。啟動設定群組會提供屬於群組成員的使用者。完成下列步驟，以使用 IAM 身分中心同步群組和使用者。

1. 在 OktaIAM 身分中心應用程式頁面中，選擇指派索引標籤。您可以將人員和群組指派給 IAM 身分中心應用程式。

   1. 若要指派人員：

      • 在 [指派] 頁面中，選擇 [指派]，然後選擇 [指派給人員]。

      • 選擇您想要存取 IAM 身分中心應Okta用程式的使用者。選擇「指派」，選擇「儲存並返回」，然後選擇「完成」。

      這會啟動將使用者佈建至 IAM 身分中心的程序。

   2. 若要指派群組：

      • 在 [指派] 頁面中，選擇 [指派]，然後選擇 [指派給群組]。

      • 選擇您想要存取 IAM 身分中心應用程式的Okta群組。選擇「指派」，選擇「儲存並返回」，然後選擇「完成」。

      這會啟動將群組中的使用者佈建至 IAM 身分識別中心的程序。

      注意

      如果群組的其他屬性不存在於所有使用者記錄中，您可能需要為群組指定其他屬性。為群組指定的屬性會覆寫任何個別屬性值。

2. 選擇「植入群組」頁標。選擇包含您指派給 IAM 身分中心應用程式之所有群組的群組。Okta選擇儲存。

   群組及其成員推送至 IAM 身分中心後，群組狀態會變更為「作用中」。

3. 返回 [指派] 索引標籤。

4. 如果您的使用者不是您推送至 IAM 身分中心的群組成員，請使用下列步驟個別新增使用者：

   在 [指派] 頁面中，選擇 [指派]，然後選擇 [指派給人員]。

5. 選擇您想要存取 IAM 身分中心應Okta用程式的使用者。選擇「指派」，選擇「儲存並返回」，然後選擇「完成」。

   這會啟動將個別使用者佈建至 IAM 身分識別中心的程序。

   注意

   您也可以從的 [應用 AWS IAM Identity Center 程式] 頁面，將使用者和群組指派給應用程式Okta admin dashboard。若要執行此操作，請選取 [設定] 圖示，然後選擇 [指派給使用者] 或 [指派給群組]，然後指定使用者或群組。

6. 返回 IAM 身分中心主控台。在左側導覽列中，選取 [使用者]，您應該會看到由您的使Okta用者填入的使用者清單。

恭喜您！

您已成功設定Okta和之間的 SAML 連線，並 AWS 且已驗證自動佈建正在運作。您現在可以在 IAM 身分中將這些使用者指派給帳戶和應用程式。在本教學課程中，在下一個步驟中，讓我們將其中一位使用者授與管理帳戶的管理權限，指定其中一位使用者為 IAM Identity Center 管理員。

步驟 5：授予Okta使用者帳戶存取權

1. 在「IAM 身分中心」導覽窗格的「多帳戶權限」下，選擇AWS 帳戶。

2. 在AWS 帳戶頁面上，組織結構會在階層中顯示您的組織根目錄，並在其下方顯示您的帳戶。選取管理帳戶的核取方塊，然後選取 [指派使用者或群組]。

3. 指派使用者和群組工作流程隨即顯示。它由三個步驟組成：

   1. 對於步驟 1：選取使用者和群組，請選擇要執行管理員工作職能的使用者。然後選擇下一步。

   2. 針對步驟 2：選取權限集選擇 [建立權限集] 以開啟新索引標籤，逐步引導您完成建立權限集所涉及的三個子步驟。

      1. 對於步驟 1：選取權限集類型，請完成下列步驟：

         • 在 [權限集類型] 中，選擇 [預先定義的權限集

         • 在預先定義權限集的原則中，選擇AdministratorAccess。

         選擇下一步。

      2. 針對 [步驟 2: 指定權限集詳細資料]、保留預設設定，然後選擇 [下一步]。

         預設設定會建立名為AdministratorAccess工作階段持續時間設定為一小時的權限集。

      3. 對於步驟 3：檢閱和建立，請確認「權限集」類型是否使用 AWS 受管理的原則AdministratorAccess。選擇建立。在 [權限集] 頁面上會出現通知，通知您已建立權限集。您現在可以在 Web 瀏覽器中關閉此選項卡。

      在 [指派使用者和群組] 瀏覽器索引標籤上，您仍在執行 [步驟 2: 選取啟動建立權限集工作流程的權限集] 中。

      在「權限集」區域中，選擇「重新整理」按鈕。您建立的AdministratorAccess權限集會顯示在清單中。選取該權限集的核取方塊，然後選擇 [下一步]。

   3. 對於步驟 3：檢閱並提交檢閱選取的使用者和權限集，然後選擇 [提交]。

      頁面會更新並顯示正在設 AWS 帳戶 定您的訊息。等待，直到該過程完成。

      您將返回 AWS 帳戶 頁面。通知訊息會通知您已重新佈建，且 AWS 帳戶 已套用更新的權限集。當用戶登錄時，他們將有選擇角色的選項AdministratorAccess。

      注意

      來自 SCIM 自動同步處理Okta僅支援佈建使用者；不會自動佈建群組。您無法Okta使用 AWS Management Console. 佈建使用者之後，您可以使用 CLI 或 API 作業建立群組

步驟 6：確認Okta使用者存取 AWS 資源

1. 使用測試Okta dashboard使用者帳戶登入。

2. 在「我的應用程式」下選取AWS IAM Identity Center圖示。

3. 您已登入入口網站，可以看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取的 AWS 帳戶 清單。在本教程中，您只使用一個帳戶，因此展開圖標僅顯示一個帳戶。

4. 選取帳戶以顯示使用者可用的權限集。在本教學課程中，您建立了AdministratorAccess權限集。

5. 權限集旁邊是該權限集可用存取類型的連結。建立權限集時，您已指定同時啟用管理主控台和程式設計存取，因此會出現這兩個選項。選取管理主控台以開啟 AWS Management Console。

6. 使用者已登入主控台。

(選擇性) 傳遞屬性以進行存取控制

您可以選擇性地使用 IAM 身分中心中的存取控制的屬性功能來傳遞Name屬性設定為的Attribute元素https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊，請參閱 IAM 使用者指南 AWS STS中的「傳遞工作階段標籤」。

若要將屬性做為工作階段標籤傳遞，請包含指定標籤值的 AttributeValue 元素。例如，若要傳遞標籤鍵值配對CostCenter = blue，請使用下列屬性。

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要新增多個屬性，請為每個標籤包含單獨的Attribute元素。

後續步驟

現在，您已在 IAM 身分中心設定Okta為身分識別提供者並佈建使用者，您可以：

• 授與存取權 AWS 帳戶，請參閱指派使用者存取權給 AWS 帳戶。

• 授予雲端應用程式的存取權，請參閱在 IAM 身分中心主控台中指派應用程式的使用者存取權。

• 根據工作職能設定權限，請參閱建立權限集