Настройка Okta в качестве поставщика удостоверений (предварительная версия)

В этой статье описывается, как интегрировать Okta в качестве поставщика удостоверений (IdP) для учетной записи Amazon Web Services (AWS) в Управление разрешениями Microsoft Entra.

Необходимые разрешения:

Учетная запись	Требуемые разрешения	Почему?
Управление разрешениями	Управление разрешениями Администратор istrator	Администратор может создавать и изменять конфигурацию подключения системы авторизации AWS.
Okta	Управление доступом к API Администратор istrator	Администратор можно добавить приложение на портале Okta и добавить или изменить область API.
AWS	Явное разрешение AWS	Администратор должен иметь возможность запускать стек облачной формы для создания 1. Секрет AWS в диспетчере секретов; 2. Управляемая политика, позволяющая роли считывать секрет AWS.

Примечание.

При настройке приложения Amazon Web Services (AWS) в Okta рекомендуется использовать синтаксис группы ролей AWS (aws#{account alias]#{role name}#{account #]). Пример шаблона RegEx для имени фильтра группы:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Управление разрешениями считывает предлагаемые по умолчанию фильтры. Настраиваемое выражение RegEx для синтаксиса группы не поддерживается.

Настройка Okta в качестве поставщика удостоверений

1. Войдите на портал Okta с помощью api Access Management Администратор istrator.
2. Создайте приложение служб API Okta.
3. В консоли Администратор перейдите к приложениям.
4. На странице "Создание нового приложения" выберите службы API.
5. Введите имя интеграции с приложением и нажмите кнопку "Сохранить".
6. Скопируйте идентификатор клиента для дальнейшего использования.
7. В разделе "Учетные данные клиента" на вкладке "Общие" нажмите кнопку "Изменить", чтобы изменить метод проверки подлинности клиента.
8. Выберите открытый ключ или закрытый ключ в качестве метода проверки подлинности клиента.
9. Оставьте ключи сохранения по умолчанию в Okta, а затем нажмите кнопку "Добавить ключ".
10. Нажмите кнопку "Добавить" и в диалоговом окне "Добавить открытый ключ", вставьте собственный открытый ключ или нажмите кнопку "Создать новый ключ", чтобы автоматически создать новый 2048-разрядный ключ RSA.
11. Скопируйте идентификатор открытого ключа для дальнейшего использования.
12. Нажмите кнопку "Создать новый ключ" , а открытые и закрытые ключи отображаются в формате JWK.
13. Щелкните PEM. Закрытый ключ отображается в формате PEM. Это единственная возможность сохранить закрытый ключ. Нажмите кнопку " Копировать", чтобы скопировать закрытый ключ и сохранить его в безопасном месте.
14. Нажмите кнопку Готово. Новый открытый ключ теперь зарегистрирован в приложении и отображается в таблице в разделе "ОТКРЫТЫЕ КЛЮЧи" вкладки "Общие".
15. На вкладке область API Okta предоставьте следующие область:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Необязательно. Перейдите на вкладку "Ограничения скорости приложения", чтобы настроить процент емкости для этого приложения-службы. По умолчанию каждое новое приложение задает этот процент на 50 процентов.

Преобразование открытого ключа в строку Base64

1. Инструкции по использованию личного маркера доступа (PAT).

Найдите URL-адрес Okta (также называемый доменом Okta)

Этот URL-адрес Okta или домен Okta сохраняется в секрете AWS.

1. Войдите в свою организацию Okta с учетной записью администратора.
2. Найдите домен Okta URL/Okta в глобальном заголовке панели мониторинга. После этого обратите внимание на URL-адрес Okta в приложении, например Блокнот. Этот URL-адрес потребуется для дальнейших действий.

Настройка сведений о стеке AWS

1. Заполните следующие поля на экране "Указание сведений о стеке" шаблона CloudFormation с помощью сведений из приложения Okta:
   • Имя стека — имя нашего выбора
   • Или URL-адрес okta вашей организации, например: https://companyname.okta.com
   • Идентификатор клиента— из раздела "Учетные данные клиента" приложения Okta
   • Идентификатор открытого ключа— нажмите кнопку "Добавить > создать новый ключ". Открытый ключ создается
   • Закрытый ключ (в формате PEM) — строка в кодировке Base64 формата PEM закрытого ключа

   Примечание.

   Перед преобразованием в строку Base64 необходимо скопировать весь текст в поле, включая тире перед началом закрытого ключа и после завершения закрытого ключа.

2. После завершения экрана "Указание сведений о стеке" шаблона CloudFormation нажмите кнопку "Далее".
3. На экране "Настройка параметров стека" нажмите кнопку "Далее".
4. Просмотрите введенные сведения и нажмите кнопку "Отправить".
5. Выберите вкладку "Ресурсы" , а затем скопируйте физический идентификатор (этот идентификатор является секретом ARN) для дальнейшего использования.

Настройка Okta в Управление разрешениями Microsoft Entra

Примечание.

Интеграция Okta в качестве поставщика удостоверений является необязательным шагом. Вы можете вернуться к этим шагам для настройки поставщика удостоверений в любое время.

1. Если панель мониторинга сборщиков данных не отображается при запуске управления разрешениями, выберите Параметры (значок шестеренки), а затем выберите подзадаку сборщиков данных.

2. На панели мониторинга Сборщики данных выберите AWS и нажмите Создать конфигурацию. Выполните действия по управлению системой авторизации.

   Примечание.

   Если сборщик данных уже существует в учетной записи AWS и вы хотите добавить интеграцию Okta, выполните следующие действия.

   1. Выберите сборщик данных, для которого необходимо добавить интеграцию Okta.
   2. Щелкните многоточие рядом с состоянием системы авторизации.
   3. Выберите " Интегрировать поставщик удостоверений".

3. На странице "Интеграция поставщика удостоверений ( idP) выберите поле для Okta.

4. Выберите "Запустить шаблон CloudFormation". Шаблон откроется в новом окне.

   Примечание.

   Здесь вы заполните сведения, чтобы создать секретное имя ресурса Amazon (ARN), которое вы введете на странице интеграции поставщика удостоверений (IdP). Корпорация Майкрософт не считывает и не сохраняет этот ARN.

5. Вернитесь на страницу "Управление разрешениями" , чтобы интегрировать поставщика удостоверений (IdP) и вставьте ARN секрета в поле, предоставленном.

6. Нажмите кнопку "Далее ", чтобы просмотреть и подтвердить введенные сведения.

7. Нажмите кнопку "Проверить сейчас" и " Сохранить". Система возвращает заполненный шаблон AWS CloudFormation.

Следующие шаги

• Сведения о просмотре существующих ролей/политик, запросов и разрешений см. в статье Просмотр ролей/политик, запросов и разрешений на панели мониторинга "Исправление".