将 Okta 配置为标识提供者(预览版)

本文介绍如何在 Microsoft Entra 权限管理中将 Okta 集成为 Amazon Web Services (AWS) 帐户的标识提供者 (IdP)。

所需的权限:

客户 所需权限 为什么?
权限管理 权限管理管理员 管理员可以创建和编辑 AWS 授权系统入门配置。
Okta API 访问管理管理员 管理员可以在 Okta 门户中添加应用程序,并添加或编辑 API 范围。
AWS AWS 显式权限 管理员应该能够运行 cloudformation 堆栈来创建 1. 机密管理器中的 AWS 机密;2. 允许角色读取 AWS 密钥的托管策略。

注意

在 Okta 中配置 Amazon Web Services (AWS) 应用程序时,建议的 AWS 角色组语法为 (aws#{account alias]#{role name}#{account #])。 组筛选器名称的示例正则表达式模式为:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)权限管理读取默认的建议筛选器。 不支持组语法的自定义正则表达式。

如何将 Okta 配置为标识提供者

  1. 使用 API 访问管理管理员登录 Okta 门户。
  2. 创建新的 Okta API 服务应用程序
  3. 在“管理控制台”中,转到“应用程序”。
  4. 在“创建新的应用集成”页面上,选择“API 服务”。
  5. 输入应用集成的名称,然后单击“保存”。
  6. 复制客户端 ID 以供将来使用。
  7. 在“常规”选项卡的“客户端凭据”部分,单击“编辑”以更改客户端身份验证方法。
  8. 选择“公钥/私钥”作为客户端身份验证方法。
  9. 保留默认的“在 Okta 中保存密钥”,然后单击“添加密钥”。
  10. 单击“添加”,然后在“添加公钥”对话框中粘贴你自己的公钥或单击“生成新密钥”以自动生成新的 2048 位 RSA 密钥。
  11. 复制“公钥 ID”以供将来使用。
  12. 单击“生成新密钥”,公钥和私钥将以 JWK 格式显示。
  13. 单击“PEM”。 私钥以 PEM 格式显示。 这是保存私钥的唯一机会。 单击“复制到剪贴板”复制私钥并将其存储在安全的地方。
  14. 单击“Done”(完成) 。 新的公钥现已在应用程序中注册,并显示在“常规”选项卡“公钥”部分的表格中。
  15. 从 Okta API 范围选项卡中,授予以下范围:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. 可选。 单击“应用程序速率限制”选项卡可调整此服务应用程序的速率限制容量百分比。 默认情况下,每个新应用程序都会将此百分比设置为 50%。

将公钥转换为 Base64 字符串

  1. 请参阅有关使用个人访问令牌 (PAT) 的说明。

查找你的 Okta URL(也称为 Okta 域)

此 Okta URL/Okta 域保存在 AWS 密钥中。

  1. 使用管理员帐户登录到 Okta 组织。
  2. 在仪表板的全局标题中查找 Okta URL/Okta 域。 找到后,在记事本等应用程序中记下 Okta URL。 你将需要此 URL 来执行后续步骤。

配置 AWS 堆栈详细信息

  1. 使用 Okta 应用程序中的信息填写 CloudFormation 模板指定堆栈详细信息屏幕上的以下字段:
    • 堆栈名称 - 我们选择的名称
    • 或 URL 你的组织的 Okta 网址,例如:https://companyname.okta.com
    • 客户端 ID - 来自 Okta 应用程序的“客户端凭据”部分
    • 公钥 ID - 单击“添加 > 生成新密钥”。 此时将生成公钥
    • 私钥(采用 PEM 格式) - 私钥的 Base64 编码字符串

    注意

    在转换为 Base64 字符串之前,必须复制字段中的所有文本,包括 BEGIN PRIVATE KEY 之前和 END PRIVATE KEY 之后的破折号。

  2. 当“CloudFormation 模板指定堆栈详细信息”屏幕完成后,单击“下一步”。
  3. 在“配置堆栈选项”屏幕上,单击“下一步”。
  4. 检查你输入的信息,然后单击“提交”。
  5. 选择“资源”选项卡,然后复制“物理 ID”(此 ID 是机密 ARN)以供将来使用。

在 Microsoft Entra 权限管理中配置 Okta

注意

将 Okta 作为标识提供者集成是一个可选步骤。 可以随时返回到这些步骤来配置 IdP。

  1. 如果在权限管理启动时未显示数据收集器仪表板,请选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。

  2. 在“数据收集器”仪表板中,选择“AWS”,然后选择“创建配置”。 完成“管理授权系统”步骤。

    注意

    如果 AWS 帐户中已存在数据收集器,并且你想要添加 Okta 集成,请按照以下步骤操作:

    1. 选择要为其添加 Okta 集成的数据收集器。
    2. 单击“授权系统状态”旁边的省略号。
    3. 选择“集成标识提供者”。
  3. 在“集成标识提供者 (IdP)”页面上,选中 Okta 对应的框。

  4. 选择“启动 CloudFormation 模板”。 模板将在新的窗口中打开。

    注意

    需要在此处填写信息以创建机密 Amazon 资源名称 (ARN),然后在“集成标识提供者 (IdP)”页面上输入该名称。 Microsoft 不会读取或存储此 ARN。

  5. 返回权限管理“集成标识提供者 (IdP)”页面,并将机密 ARN 粘贴到提供的字段中。

  6. 单击“下一步”查看并确认输入的信息。

  7. 单击“立即验证并保存”。 系统将返回已填充的 AWS CloudFormation 模板。

后续步骤