本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用和 IAM 身分識別中心設定 SAML Okta 和 SCIM
您可以使用跨網域身分識別管理 (SCIM) 2.0 版通訊協定的系統,Okta將使用者和群組資訊自動佈建 (同步) 至 IAM 身分中心。若要在中設定此連線Okta,請將 SCIM 端點用於 IAM 身分中心,以及由 IAM 身分中心自動建立的承載權杖。設定 SCIM 同步時,您可Okta以在中建立使用者屬性與 IAM 身分中心中指定屬性的對應。此對應會比對 IAM 身分中心和您的Okta.
Okta透過 SCIM 連線至 IAM 身分中心時,支援下列佈建功能:
-
建立使用者 — 指派給中 IAM 身分中心應用程式的使用者會在 IAM 身分中心佈建。Okta
-
更新使用者屬性 — 在 IAM 身分中心中指派給 IAM 身分中心應用程式的使Okta用者的屬性變更會更新。
-
停用使用者 — 在 Okta IAM 身分中心中停用從中的 IAM 身分中心應用程式取消指派的使用者。
-
群組推送 — 中的群組 (及其成員) Okta 會同步至 IAM 身分中心。
注意
為了將Okta和 IAM 身分中心的管理開銷降到最低,我們建議您指派和推送群組,而不是個別使用者。
如果您尚未啟用 IAM 身分中心,請參閱啟用 AWS IAM Identity Center。
目的
在本教學課程中,您將逐步瞭解如何設定與 Okta IAM 身分中心的 SAML 連線。稍後,您將使用 SCIM 從Okta同步處理使用者。在此案例中,您可以管理中的所有使用者和群組Okta。使用者透過入Okta口網站登入。若要驗證所有項目的設定是否正確,在完成設定步驟後,您將以Okta使用者身分登入並驗證 AWS 資源的存取權。
注意
在設定Okta和 IAM 身分中心之間的 SCIM 佈建之前,我們建議您先檢閱使用自動佈建的考量。
開始之前,請先確認以下項目:
-
每個Okta使用者都必須指定「名字」、「姓氏」、「使用者名稱」和「顯示名稱」值。
-
每個Okta使用者的每個資料屬性只有一個值,例如電子郵件地址或電話號碼。任何具有多個值的使用者將無法同步處理。如果使用者的屬性中有多個值,請先移除重複的屬性,然後再嘗試在 IAM 身分中心佈建使用者。例如,只能同步一個電話號碼屬性,因為預設的電話號碼屬性是「工作電話」,因此即使使用者的電話號碼是住家電話或行動電話,也可以使用「工作電話」屬性來儲存使用者的電話號碼。
-
如果您更新使用者的地址,您必須有指定的街道地址、城市、州、郵遞區號和國家代碼值。如果在同步處理時未為Okta使用者指定這些值中的任何一個,則不會佈建使用者 (或對使用者的變更)。
注意
不支援授權和角色屬性,且無法與 IAM 身分中心同步。
目前不支援針對指派和群組推送使用相Okta同的群組。若要在Okta和 IAM 身分中心之間維持一致的群組成員資格,請建立單獨的群組並將其設定為將群組推送至 IAM 身分中心。
-
登入Okta admin dashboard,展開 [應用程式],然後選取 [應用程式]。
-
在 Applications (應用程式) 頁面上,選擇 Browse App Catalog (瀏覽應用程式目錄)。
-
在搜尋方塊中輸入 AWS IAM Identity Center,選取要新增 IAM 身分中心應用程式的應用程式。
-
選取 [登入] 索引標籤。
-
在「SAML 簽署憑證」下,選取「動作」,然後選取「檢視 IdP 中繼資料」。新的瀏覽器標籤隨即開啟,顯示 XML 檔案的文件樹狀結構。從選擇所有的 XML,
</md:EntityDescriptor>
並<md:EntityDescriptor>
將其複製到一個文本文件。 -
將文字檔另存為
metadata.xml
。
保持Okta admin dashboard開啟狀態,您將在稍後的步驟中繼續使用該主控台。
-
以具有管理權限的使用者身分開啟 IAM 身分中心主控台
。 -
在左側導覽窗格中選擇 [設定]。
-
在 [設定] 頁面上,選擇 [動作],然後選擇 [變更身分識別來源]。
-
在選擇身分識別來源下,選取外部身分識別提供者,然後選擇下一步。
-
在設定外部身分識別提供者下,執行下列操作:
-
在「服務提供者中繼資料」下,選擇「下載中繼資料檔案」以下載 IAM Identity Center 中繼資料檔案,並將其儲存在系統 您將在本教學課程Okta稍後提供 IAM 身分中心 SAML 中繼資料檔案。
將下列項目複製到文字檔案中以方便存取:
-
IAM 身分中心聲明消費者服務 (ACS) 網址
-
IAM 身分識別中心發行者 URL
在本教學課程稍後,您將需要這些值。
-
-
在身分識別提供者中繼資料下的 IdP SAML 中繼資料下,選取 [選擇檔案],然後選取您在上一個步驟中建立的
metadata.xml
檔案。 -
選擇下一步。
-
-
閱讀免責聲明並準備繼續之後,請輸入 AC CEPT。
-
選擇 [變更識別來源]。
讓 AWS 主控台保持開啟狀態,您將在下一個步驟繼續使用該主控台。
-
返回Okta admin dashboard並選取 AWS IAM Identity Center 應用程式的「登入」索引標籤,然後按一下「編輯」。
-
在「進階登入設定」 下輸入下列項目:
-
對於 ACS URL,請輸入您為 IAM 身分中心聲明消費者服務 (ACS) URL 複製的值
-
對於發行者 URL,請輸入您為 IAM 身分中心簽發者 URL 複製的值
-
對於應用程式使用者名稱格式,請從下拉式功能表中選取其中一個
讓您選擇的值對每個使用者都是唯一的。對於本教程,請選擇 Okta 用戶名
-
-
選擇儲存。
您現在可以從 Okta IAM 身分中心佈建使用者。保持Okta admin dashboard開啟狀態,然後返回 IAM 身分中心主控台進行下一個步驟。
-
在 [設定] 頁面的 IAM Identity Center 主控台中,找出 [自動佈建資訊] 方塊,然後選擇 [啟用]。這樣可在 IAM 身分中心自動佈建,並顯示必要的 SCIM 端點和存取權杖資訊。
-
在「輸入自動佈建」對話方塊中,複製下列選項的每個值:
-
SCIM 端點
-
訪問令牌
稍後在本教學課程中,您將輸入這些值以在中配置佈建Okta。
-
-
選擇關閉。
-
返回Okta admin dashboard並瀏覽至 IAM 身分中心應用程式。
-
在 IAM 身分中心應用程式頁面上,選擇 [佈建] 索引標籤,然後在左側導覽中的 [設定] 下方選擇 [整合]。
-
選擇 [編輯],然後選取 [啟用 API 整合] 旁的核取方塊以啟用佈建。
-
使Okta用您先前在本教學課程中複製的 IAM 身分中心的 SCIM 佈建值進行設定:
-
在「基礎 URL」欄位中,輸入 SCIM 端點值。確保您刪除了 URL 末尾的正斜線。
-
在「API 權杖」欄位中,輸入存取權杖值。
-
-
選擇「測試 API 認證」以驗證輸入的認證是否有效。
訊息已AWS IAM Identity Center 成功驗證! 顯示器。
-
選擇儲存。您會導覽至 「設定」 區域,並選取「整合」。
-
在 [設定] 下,選擇 [至應用程式],然後針對您要啟用的每個 [佈建至應用程式] 功能選取 [啟用] 核取方塊。對於此自學課程,請選取所有選項。
-
選擇儲存。
您現在可以使用 IAM 身分中心同步處理使用者。Okta
根據預設,不會將任何群組或使用者指派給您的 Okta IAM 身分中心應用程式。啟動設定群組會提供屬於群組成員的使用者。完成下列步驟,以使用 IAM 身分中心同步群組和使用者。
-
在 OktaIAM 身分中心應用程式頁面中,選擇指派索引標籤。您可以將人員和群組指派給 IAM 身分中心應用程式。
-
若要指派人員:
-
在 [指派] 頁面中,選擇 [指派],然後選擇 [指派給人員]。
-
選擇您想要存取 IAM 身分中心應Okta用程式的使用者。選擇「指派」,選擇「儲存並返回」,然後選擇「完成」。
這會啟動將使用者佈建至 IAM 身分中心的程序。
-
-
若要指派群組:
-
在 [指派] 頁面中,選擇 [指派],然後選擇 [指派給群組]。
-
選擇您想要存取 IAM 身分中心應用程式的Okta群組。選擇「指派」,選擇「儲存並返回」,然後選擇「完成」。
這會啟動將群組中的使用者佈建至 IAM 身分識別中心的程序。
注意
如果群組的其他屬性不存在於所有使用者記錄中,您可能需要為群組指定其他屬性。為群組指定的屬性會覆寫任何個別屬性值。
-
-
-
選擇「植入群組」頁標。選擇包含您指派給 IAM 身分中心應用程式之所有群組的群組。Okta選擇儲存。
群組及其成員推送至 IAM 身分中心後,群組狀態會變更為「作用中」。
-
返回 [指派] 索引標籤。
-
如果您的使用者不是您推送至 IAM 身分中心的群組成員,請使用下列步驟個別新增使用者:
在 [指派] 頁面中,選擇 [指派],然後選擇 [指派給人員]。
-
選擇您想要存取 IAM 身分中心應Okta用程式的使用者。選擇「指派」,選擇「儲存並返回」,然後選擇「完成」。
這會啟動將個別使用者佈建至 IAM 身分識別中心的程序。
注意
您也可以從的 [應用 AWS IAM Identity Center 程式] 頁面,將使用者和群組指派給應用程式Okta admin dashboard。若要執行此操作,請選取 [設定] 圖示,然後選擇 [指派給使用者] 或 [指派給群組],然後指定使用者或群組。
-
返回 IAM 身分中心主控台。在左側導覽列中,選取 [使用者],您應該會看到由您的使Okta用者填入的使用者清單。
恭喜您!
您已成功設定Okta和之間的 SAML 連線,並 AWS 且已驗證自動佈建正在運作。您現在可以在 IAM 身分中將這些使用者指派給帳戶和應用程式。在本教學課程中,在下一個步驟中,讓我們將其中一位使用者授與管理帳戶的管理權限,指定其中一位使用者為 IAM Identity Center 管理員。
-
在「IAM 身分中心」導覽窗格的「多帳戶權限」下,選擇AWS 帳戶。
-
在AWS 帳戶頁面上,組織結構會在階層中顯示您的組織根目錄,並在其下方顯示您的帳戶。選取管理帳戶的核取方塊,然後選取 [指派使用者或群組]。
-
指派使用者和群組工作流程隨即顯示。它由三個步驟組成:
-
對於步驟 1:選取使用者和群組,請選擇要執行管理員工作職能的使用者。然後選擇下一步。
-
針對步驟 2:選取權限集選擇 [建立權限集] 以開啟新索引標籤,逐步引導您完成建立權限集所涉及的三個子步驟。
-
對於步驟 1:選取權限集類型,請完成下列步驟:
-
在 [權限集類型] 中,選擇 [預先定義的權限集
-
在預先定義權限集的原則中,選擇AdministratorAccess。
選擇下一步。
-
-
針對 [步驟 2: 指定權限集詳細資料]、保留預設設定,然後選擇 [下一步]。
預設設定會建立名為
AdministratorAccess
工作階段持續時間設定為一小時的權限集。 -
對於步驟 3:檢閱和建立,請確認「權限集」類型是否使用 AWS 受管理的原則AdministratorAccess。選擇建立。在 [權限集] 頁面上會出現通知,通知您已建立權限集。您現在可以在 Web 瀏覽器中關閉此選項卡。
在 [指派使用者和群組] 瀏覽器索引標籤上,您仍在執行 [步驟 2: 選取啟動建立權限集工作流程的權限集] 中。
在「權限集」區域中,選擇「重新整理」按鈕。您建立的
AdministratorAccess
權限集會顯示在清單中。選取該權限集的核取方塊,然後選擇 [下一步]。 -
-
對於步驟 3:檢閱並提交檢閱選取的使用者和權限集,然後選擇 [提交]。
頁面會更新並顯示正在設 AWS 帳戶 定您的訊息。等待,直到該過程完成。
您將返回 AWS 帳戶 頁面。通知訊息會通知您已重新佈建,且 AWS 帳戶 已套用更新的權限集。當用戶登錄時,他們將有選擇角色的選項
AdministratorAccess
。注意
來自 SCIM 自動同步處理Okta僅支援佈建使用者;不會自動佈建群組。您無法Okta使用 AWS Management Console. 佈建使用者之後,您可以使用 CLI 或 API 作業建立群組
-
-
使用測試Okta dashboard使用者帳戶登入。
-
在「我的應用程式」下選取AWS IAM Identity Center圖示。
-
您已登入入口網站,可以看到 AWS 帳戶 圖示。展開該圖示以查看使用者可以存取的 AWS 帳戶 清單。在本教程中,您只使用一個帳戶,因此展開圖標僅顯示一個帳戶。
-
選取帳戶以顯示使用者可用的權限集。在本教學課程中,您建立了AdministratorAccess權限集。
-
權限集旁邊是該權限集可用存取類型的連結。建立權限集時,您已指定同時啟用管理主控台和程式設計存取,因此會出現這兩個選項。選取管理主控台以開啟 AWS Management Console。
-
使用者已登入主控台。
您可以選擇性地使用 IAM 身分中心中的存取控制的屬性功能來傳遞Name
屬性設定為的Attribute
元素https://aws.amazon.com/SAML/Attributes/AccessControl:
。此元素可讓您在 SAML 聲明中將屬性做為工作階段標籤傳遞。如需工作階段標籤的詳細資訊,請參閱 IAM 使用者指南 AWS STS中的「傳遞工作階段標籤」。{TagKey}
若要將屬性做為工作階段標籤傳遞,請包含指定標籤值的 AttributeValue
元素。例如,若要傳遞標籤鍵值配對CostCenter = blue
,請使用下列屬性。
<saml:AttributeStatement> <saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter"> <saml:AttributeValue>blue </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
如果您需要新增多個屬性,請為每個標籤包含單獨的Attribute
元素。
現在,您已在 IAM 身分中心設定Okta為身分識別提供者並佈建使用者,您可以:
-
授與存取權 AWS 帳戶,請參閱指派使用者存取權給 AWS 帳戶。
-
授予雲端應用程式的存取權,請參閱在 IAM 身分中心主控台中指派應用程式的使用者存取權。
-
根據工作職能設定權限,請參閱建立權限集