Konfigurowanie usługi Okta jako dostawcy tożsamości (wersja zapoznawcza)

Notatka

Od 1 kwietnia 2025 r. usługa Microsoft Entra Permissions Management nie będzie już dostępna do zakupu, a 1 października 2025 r. wycofamy i przestaniemy obsługiwać ten produkt. Więcej informacji można znaleźć tutaj.

W tym artykule opisano sposób integrowania usługi Okta jako dostawcy tożsamości (IdP) dla konta usług Amazon Web Services (AWS) w usłudze Microsoft Entra Permissions Management.

Wymagane uprawnienia:

konta	wymagane uprawnienia	Dlaczego?
Zarządzanie uprawnieniami	Administrator zarządzania uprawnieniami	Administrator może tworzyć i edytować konfigurację dołączania systemu autoryzacji platformy AWS.
Okta	Administrator zarządzania dostępem do API	Administrator może dodać aplikację w portalu Okta i dodać lub edytować zakres interfejsu API.
AWS	Uprawnienia platformy AWS jawnie	Administrator powinien mieć możliwość uruchomienia stosu CloudFormation w celu utworzenia 1. Sekret AWS w Secrets Manager; 2. Zarządzana polityka umożliwiająca roli odczytanie tajemnicy AWS.

Notatka

Podczas konfigurowania aplikacji Amazon Web Services (AWS) w Okta sugerowana składnia grupy ról AWS to (aws#{account alias]#{role name}#{account #]). Przykładowy wzorzec Regex dla nazwy filtra grupy to:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Zarządzanie uprawnieniami odczytuje domyślne sugerowane filtry. Niestandardowe wyrażenie regularne dla składni grupowej nie jest wspierane.

Jak skonfigurować usługę Okta jako dostawcę tożsamości

1. Zaloguj się do portalu Okta jako administrator zarządzania dostępem API.
2. Utwórz nową aplikację usługi API Okta.
3. W konsoli administracyjnej przejdź do pozycji Aplikacje.
4. Na stronie Tworzenie nowej integracji aplikacji wybierz pozycję API Services.
5. Wprowadź nazwę integracji aplikacji i kliknij Zapisz.
6. Skopiuj identyfikator klienta do użycia w przyszłości.
7. W sekcji Poświadczenia klienta na karcie Ogólne kliknij przycisk Edytuj, aby zmienić metodę uwierzytelniania klienta.
8. Wybierz klucz publiczny/klucz prywatny jako metodę uwierzytelniania klienta.
9. Pozostaw domyślną opcję Zapisz klucze w Okta, a następnie kliknij Dodaj klucz.
10. Kliknij Dodaj, a następnie w oknie dialogowym Dodawanie klucza publicznego wklej swój klucz publiczny lub kliknij Wygeneruj nowy klucz, aby automatycznie wygenerować nowy klucz RSA o długości 2048 bitów.
11. Skopiuj Identyfikator Klucza Publicznego do użycia w przyszłości.
12. Kliknij Wygeneruj nowy klucz, a klucze publiczne i prywatne są wyświetlane w formacie JWK.
13. Kliknij PEM. Klucz prywatny jest wyświetlany w formacie PEM. Jest to jedyna okazja do zapisania klucza prywatnego. Kliknij pozycję Kopiuj do schowka, aby skopiować klucz prywatny i zapisać go w bezpiecznym miejscu.
14. Kliknij Gotowe. Nowy klucz publiczny jest teraz zarejestrowany w aplikacji i jest wyświetlany w tabeli w sekcji KLUCZE PUBLICZNE na karcie Ogólne.
15. Na karcie Zakresy interfejsu API usługi Okta przyznaj następujące zakresy:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Fakultatywny. Kliknij kartę Limity przepustowości aplikacji, aby dostosować procent wykorzystania limitu przepustowości dla tej aplikacji usługi. Domyślnie każda nowa aplikacja ustawia tę wartość procentową na 50 procent.

Konwertowanie klucza publicznego na ciąg Base64

1. Zobacz instrukcje dotyczące przy użyciu tokenu osobistego dostępu (PAT).

Znajdź adres URL usługi Okta (nazywany również domeną Okta)

Ten adres URL usługi Okta lub domena Okta jest zapisana w tajemnicy platformy AWS.

1. Zaloguj się do organizacji usługi Okta przy użyciu konta administratora.
2. Wyszukaj domenę Okta URL/Okta w nagłówku globalnym pulpitu nawigacyjnego. Po zlokalizowaniu zanotuj adres URL usługi Okta w aplikacji, takiej jak Notatnik. Ten adres URL będzie potrzebny do wykonania następnych kroków.

Konfigurowanie szczegółów stosu platformy AWS

1. Wypełnij następujące pola na ekranie szablonu CloudFormation, Określ szczegóły stosu, korzystając z informacji z aplikacji Okta.
   • Nazwa stosu — nazwa wybrana przez nas
   • Lub adres URL Adres URL usługi Okta organizacji, na przykład: https://companyname.okta.com
   • Client Id — w sekcji Poświadczenia klienta aplikacji Okta
   • identyfikator klucza publicznego — kliknij przycisk Dodaj > Wygeneruj nowy klucz. Klucz publiczny jest generowany
   • klucz prywatny (w formacie PEM) - ciąg zakodowany w formacie Base64 klucza prywatnego w formacie PEM

   Notatka

   Przed przekonwertowaniem na ciąg Base64 należy skopiować cały tekst w polu, w tym kreskę przed ROZPOCZĘCIEM KLUCZA PRYWATNEGO i po ZAKOŃCZENIU KLUCZA PRYWATNEGO.

2. Po zakończeniu ekranu szablonu CloudFormation z sekcją Określ szczegóły stosu, kliknij Dalej.
3. Na ekranie Konfigurowanie opcji stosu kliknij Dalej.
4. Przejrzyj informacje, które wprowadziłeś, a następnie kliknij Prześlij.
5. Wybierz kartę Zasoby, a następnie skopiuj Identyfikator fizyczny (ten identyfikator jest sekretnym ARN) do późniejszego użycia.

Skonfiguruj usługę Okta w usłudze Microsoft Entra Permissions Management

Notatka

Integrowanie usługi Okta jako dostawcy tożsamości jest opcjonalnym krokiem. Możesz wrócić do tych kroków, aby w dowolnym momencie skonfigurować IdP.

1. Jeśli pulpit nawigacyjny Kolektorów Danych nie jest wyświetlany po uruchomieniu Zarządzania Uprawnieniami, wybierz Ustawienia (ikona koła zębatego), a następnie wybierz podkartę Kolektory Danych.

2. Na panelu modułów zbierających dane wybierz AWS, a następnie wybierz Utwórz konfigurację. Wykonaj kroki Zarządzanie systemem autoryzacji.

   Notatka

   Jeśli moduł zbierający dane już istnieje na koncie platformy AWS i chcesz dodać integrację usługi Okta, wykonaj następujące kroki:

   1. Wybierz moduł zbierający dane, dla którego chcesz dodać integrację usługi Okta.
   2. Kliknij na wielokropek obok Stan systemu autoryzacji.
   3. Wybierz pozycję Integrate Identity Provider.

3. Na stronie Integracja dostawcy tożsamości (IdP) zaznacz pole wyboru dla Okta.

4. Wybierz pozycję Uruchom szablon CloudFormation. Szablon zostanie otwarty w nowym oknie.

   Notatka

   W tym miejscu uzupełnisz informacje, aby utworzyć tajny Amazon Resource Name (ARN), który wprowadzisz na stronie Integrate Identity Provider (IdP). Firma Microsoft nie odczytuje ani nie przechowuje tej ARN.

5. Wróć do strony Zarządzanie Uprawnieniami Integracja Dostawcy Tożsamości (IdP) i wklej Secret ARN w podanym polu.

6. Kliknij przycisk Dalej, aby przejrzeć i potwierdzić wprowadzone informacje.

7. Kliknij Sprawdź teraz & Zapisz. System zwraca wypełniony szablon platformy AWS CloudFormation.

Następne kroki

• Aby uzyskać informacje na temat wyświetlania istniejących ról/zasad, żądań i uprawnień, zobacz Wyświetlanie ról/zasad, żądań i uprawnień w panelu remediacji.