Configurar o Okta como um provedor de identidade (visualização)

Este artigo descreve como integrar o Okta como um provedor de identidade (IdP) para uma conta da Amazon Web Services (AWS) no Microsoft Entra Permissions Management.

Permissões necessárias:

Conta	Permissões Necessárias	Porquê?
Gerenciamento de permissões	Administrador de Gerenciamento de Permissões	O administrador pode criar e editar a configuração de integração do sistema de autorização da AWS.
Okta	Administrador de Gerenciamento de Acesso à API	O administrador pode adicionar o aplicativo no portal Okta e adicionar ou editar o escopo da API.
AWS	Permissões explícitas da AWS	O administrador deve ser capaz de executar a pilha cloudformation para criar 1. Segredo da AWS no Gestor de Segredos; 2. Política gerenciada para permitir que a função leia o segredo da AWS.

Observação

Ao configurar o aplicativo Amazon Web Services (AWS) no Okta, a sintaxe sugerida do grupo de funções da AWS é (aws#{account alias]#{role name}#{account #]). Exemplo de padrão RegEx para o nome do filtro de grupo são:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Gestão de permissões lê os filtros padrão sugeridos. Não há suporte para expressão RegEx personalizada para sintaxe de grupo.

Como configurar o Okta como um provedor de identidade

1. Faça login no portal Okta com o API Access Management Administrator.
2. Crie um novo Okta API Services Application.
3. Na Consola do administrador, aceda a Aplicações.
4. Na página Criar uma nova integração de aplicativos, selecione Serviços de API.
5. Introduza um nome para a integração da sua aplicação e clique em Guardar.
6. Copie o ID do Cliente para uso futuro.
7. Na seção Credenciais do Cliente da guia Geral, clique em Editar para alterar o método de autenticação do cliente.
8. Selecione de chave pública/chave privada como o método de autenticação do cliente.
9. Deixe o padrão Salvar chaves no Oktae, em seguida, clique em Adicionar chave.
10. Clique Adicionar e, na caixa de diálogo Adicionar uma chave pública, cole sua própria chave pública ou clique em Gerar nova chave para gerar automaticamente uma nova chave RSA de 2048 bits.
11. Copie de ID de Chave Pública para uso futuro.
12. Clique Gerar nova chave e as chaves pública e privada aparecem no formato JWK.
13. Clique PEM. A chave privada aparece no formato PEM. Esta é a sua única oportunidade de guardar a chave privada. Clique em Copiar para a área de transferência para copiar a chave privada e armazená-la em algum lugar seguro.
14. Clique Concluir. A nova chave pública está agora registada na aplicação e aparece numa tabela na seção CHAVES PÚBLICAS da aba Geral.
15. Na guia Escopos da API Okta, conceda estes escopos:
    • okta.users.read
    • okta.groups.ler
    • okta.apps.ler
16. Opcional. Clique na guia Limites de taxa de aplicativo para ajustar a porcentagem de capacidade de limite de taxa para este aplicativo de serviço. Por padrão, cada novo aplicativo define essa porcentagem em 50%.

Converter chave pública em uma cadeia de caracteres Base64

1. Consulte as instruções para usando um token de acesso pessoal (PAT).

Encontre seu URL Okta (também chamado de domínio Okta)

Esse domínio Okta URL/Okta é salvo no segredo da AWS.

1. Inicie sessão na sua organização Okta com a sua conta de administrador.
2. Procure o domínio Okta URL/Okta no cabeçalho global do painel. Uma vez localizado, anote o URL do Okta em um aplicativo como o Bloco de Notas. Você precisará desse URL para suas próximas etapas.

Configurar detalhes da stack AWS

1. Preencha os seguintes campos no CloudFormation Template Especifique detalhes da pilha tela usando as informações do seu aplicativo Okta:
   • Nome da pilha - Um nome à nossa escolha
   • ou URL URL Okta da sua organização, exemplo: https://companyname.okta.com
   • ID do Cliente - Na secção Credenciais do Cliente da sua aplicação Okta
   • de Identificação de Chave Pública - Clique Adicionar > Gerar nova chave. A chave pública é gerada
   • Chave Privada (em formato PEM) - Cadeia codificada Base64 do formato PEM da chave privada

   Observação

   Deve copiar todo o texto no campo antes de o converter para uma string Base64, incluindo o traço antes de BEGIN PRIVATE KEY e depois de END PRIVATE KEY.

2. Quando a tela CloudFormation Template Specify stack details estiver concluída, clique em Next.
3. No ecrã Configurar opções de pilha, clique em Avançar.
4. Reveja as informações que introduziu e, em seguida, clique em Enviar.
5. Selecione o separador Recursos, depois copie o ID físico (este ID é o ARN secreto) para uso futuro.

Configurar o Okta no Gerenciamento de Permissões do Microsoft Entra

Observação

Integrar a Okta como um provedor de identidade é uma etapa opcional. Você pode retornar a estas etapas para configurar um IdP a qualquer momento.

1. Se o painel Coletores de Dados não for exibido ao iniciar a Gestão de Permissões, selecione Configurações (ícone de engrenagem) e depois selecione a subguia Coletores de Dados.

2. No painel Data Collectors, selecione AWSe, em seguida, selecione Criar Configuração. Conclua as etapas de Gerenciar Sistema de Autorização.

   Observação

   Se já existir um coletor de dados em sua conta da AWS e você quiser adicionar a integração Okta, siga estas etapas:

   1. Selecione o coletor de dados para o qual você deseja adicionar a integração Okta.
   2. Clique nas reticências ao lado do Status do Sistema de Autorização.
   3. Selecione Integre o fornecedor de identidade.

3. Na página Integrar Fornecedor de Identidade (IdP), selecione a caixa para Okta.

4. Selecione Iniciar modelo do CloudFormation. O modelo é aberto em uma nova janela.

   Observação

   Aqui, você preencherá as informações para criar um ARN (Nome de Recurso da Amazon) secreto que você inserirá na página Integrate Identity Provider (IdP). A Microsoft não lê nem armazena este ARN.

5. Retorne à página de Gerenciamento de Permissões Integrar Provedor de Identidade (IdP) e cole o ARN Secreto de no campo fornecido.

6. Clique Seguinte para rever e confirmar as informações que introduziu.

7. Clique Verificar agora & Salvar. O sistema retorna o modelo do AWS CloudFormation preenchido.

Próximos passos

• Para obter informações sobre como exibir funções/políticas, solicitações e permissões existentes, consulte Exibir funções/políticas, solicitações e permissões no painel Correção.