Configurar o Okta como um provedor de identidade (visualização)
Este artigo descreve como integrar o Okta como um provedor de identidade (IdP) para uma conta da Amazon Web Services (AWS) no Microsoft Entra Permissions Management.
Permissões necessárias:
Conta | Permissões necessárias | Porquê? |
---|---|---|
Gestão de Permissões | Administrador de Gerenciamento de Permissões | O administrador pode criar e editar a configuração de integração do sistema de autorização da AWS. |
Okta | Administrador de Gerenciamento de Acesso à API | O administrador pode adicionar o aplicativo no portal Okta e adicionar ou editar o escopo da API. |
AWS | Permissões da AWS explicitamente | O administrador deve ser capaz de executar a pilha cloudformation para criar 1. AWS Secret in Secrets Manager; 2. Política gerenciada para permitir que a função leia o segredo da AWS. |
Nota
Ao configurar o aplicativo Amazon Web Services (AWS) no Okta, a sintaxe sugerida do grupo de funções da AWS é (aws#{account alias]#{role name}#{account #]
).
Exemplo de padrão RegEx para o nome do filtro de grupo são:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
O Gerenciamento de Permissões lê os filtros sugeridos padrão. Não há suporte para expressão RegEx personalizada para sintaxe de grupo.
Como configurar o Okta como um provedor de identidade
- Faça login no portal Okta com o API Access Management Administrator.
- Crie um novo aplicativo de serviços de API Okta.
- Na Consola do administrador, aceda a Aplicações.
- Na página Criar uma nova integração de aplicativos, selecione Serviços de API.
- Introduza um nome para a integração da sua aplicação e clique em Guardar.
- Copie a ID do Cliente para uso futuro.
- Na seção Credenciais do Cliente da guia Geral, clique em Editar para alterar o método de autenticação do cliente.
- Selecione Chave pública/Chave privada como o método de autenticação do cliente.
- Deixe as chaves Salvar padrão no Okta e clique em Adicionar chave.
- Clique em Adicionar e, na caixa de diálogo Adicionar uma chave pública, cole a sua própria chave pública ou clique em Gerar nova chave para gerar automaticamente uma nova chave RSA de 2048 bits.
- Copie o ID da chave pública para uso futuro.
- Clique em Gerar nova chave e as chaves pública e privada aparecem no formato JWK.
- Clique em PEM. A chave privada aparece no formato PEM. Esta é a sua única oportunidade de guardar a chave privada. Clique em Copiar para área de transferência para copiar a chave privada e armazená-la em algum lugar seguro.
- Clique em Concluído. A nova chave pública agora está registrada no aplicativo e aparece em uma tabela na seção CHAVES PÚBLICAS da guia Geral .
- Na guia Escopos da API Okta, conceda estes escopos:
- okta.users.ler
- okta.groups.ler
- okta.apps.ler
- Opcional. Clique na guia Limites de taxa de aplicativo para ajustar a porcentagem de capacidade de limite de taxa para este aplicativo de serviço. Por padrão, cada novo aplicativo define essa porcentagem em 50%.
Converter chave pública em uma cadeia de caracteres Base64
- Consulte as instruções para usar um token de acesso pessoal (PAT).
Encontre seu URL Okta (também chamado de domínio Okta)
Esse domínio Okta URL/Okta é salvo no segredo da AWS.
- Inicie sessão na sua organização Okta com a sua conta de administrador.
- Procure o domínio Okta URL/Okta no cabeçalho global do painel. Uma vez localizado, anote o URL do Okta em um aplicativo como o Bloco de Notas. Você precisará desse URL para suas próximas etapas.
Configurar detalhes da pilha da AWS
- Preencha os seguintes campos na tela CloudFormation Template Specify stack details usando as informações do seu aplicativo Okta:
- Nome da pilha - Um nome à nossa escolha
- Ou URL do URL Okta da sua organização, exemplo: https://companyname.okta.com
- ID do Cliente - Na seção Credenciais do Cliente do seu aplicativo Okta
- ID da chave pública - Clique em Adicionar Gerar nova chave.> A chave pública é gerada
- Chave privada (em formato PEM) - Cadeia codificada Base64 do formato PEM da chave privada
Nota
Você deve copiar todo o texto no campo antes de converter para uma cadeia de caracteres Base64, incluindo o traço antes de BEGIN PRIVATE KEY e depois de END PRIVATE KEY.
- Quando a tela CloudFormation Template Specify stack details estiver concluída, clique em Next.
- Na tela Configurar opções de pilha, clique em Avançar.
- Reveja as informações que introduziu e, em seguida, clique em Submeter.
- Selecione a guia Recursos e copie a ID física (essa ID é o ARN secreto) para uso futuro.
Configurar o Okta no Gerenciamento de Permissões do Microsoft Entra
Nota
Integrar a Okta como um provedor de identidade é uma etapa opcional. Você pode retornar a estas etapas para configurar um IdP a qualquer momento.
Se o painel Coletores de Dados não for exibido quando o Gerenciamento de Permissões for iniciado, selecione Configurações (ícone de engrenagem) e selecione a subguia Coletores de Dados.
No painel Coletores de dados, selecione AWS e, em seguida, selecione Criar configuração. Conclua as etapas Gerenciar sistema de autorização.
Nota
Se já existir um coletor de dados em sua conta da AWS e você quiser adicionar a integração Okta, siga estas etapas:
- Selecione o coletor de dados para o qual você deseja adicionar a integração Okta.
- Clique nas reticências ao lado de Status do Sistema de Autorização.
- Selecione Integrar provedor de identidade.
Na página Integrar Provedor de Identidade (IdP), selecione a caixa Okta.
Selecione Iniciar modelo do CloudFormation. O modelo é aberto em uma nova janela.
Nota
Aqui você preencherá as informações para criar um nome de recurso da Amazon (ARN) secreto que você inserirá na página Integrar provedor de identidade (IdP ). A Microsoft não lê nem armazena este ARN.
Retorne à página Provedor de Identidade Integrado (Provedor de Identidade de Gerenciamento de Permissões) e cole o ARN Secreto no campo fornecido.
Clique em Avançar para revisar e confirmar as informações inseridas.
Clique em Verificar agora & Salvar. O sistema retorna o modelo do AWS CloudFormation preenchido.
Próximos passos
- Para obter informações sobre como exibir funções/políticas, solicitações e permissões existentes, consulte Exibir funções/políticas, solicitações e permissões no painel Correção.