将 Okta 配置为标识提供者(预览版)
本文介绍如何在 Microsoft Entra 权限管理中将 Okta 集成为 Amazon Web Services (AWS) 帐户的标识提供者 (IdP)。
所需的权限:
客户 | 所需权限 | 为什么? |
---|---|---|
权限管理 | 权限管理管理员 | 管理员可以创建和编辑 AWS 授权系统入门配置。 |
Okta | API 访问管理管理员 | 管理员可以在 Okta 门户中添加应用程序,并添加或编辑 API 范围。 |
AWS | AWS 显式权限 | 管理员应该能够运行 cloudformation 堆栈来创建 1. 机密管理器中的 AWS 机密;2. 允许角色读取 AWS 密钥的托管策略。 |
注意
在 Okta 中配置 Amazon Web Services (AWS) 应用程序时,建议的 AWS 角色组语法为 (aws#{account alias]#{role name}#{account #]
)。
组筛选器名称的示例正则表达式模式为:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
权限管理读取默认的建议筛选器。 不支持组语法的自定义正则表达式。
如何将 Okta 配置为标识提供者
- 使用 API 访问管理管理员登录 Okta 门户。
- 创建新的 Okta API 服务应用程序。
- 在“管理控制台”中,转到“应用程序”。
- 在“创建新的应用集成”页面上,选择“API 服务”。
- 输入应用集成的名称,然后单击“保存”。
- 复制客户端 ID 以供将来使用。
- 在“常规”选项卡的“客户端凭据”部分,单击“编辑”以更改客户端身份验证方法。
- 选择“公钥/私钥”作为客户端身份验证方法。
- 保留默认的“在 Okta 中保存密钥”,然后单击“添加密钥”。
- 单击“添加”,然后在“添加公钥”对话框中粘贴你自己的公钥或单击“生成新密钥”以自动生成新的 2048 位 RSA 密钥。
- 复制“公钥 ID”以供将来使用。
- 单击“生成新密钥”,公钥和私钥将以 JWK 格式显示。
- 单击“PEM”。 私钥以 PEM 格式显示。 这是保存私钥的唯一机会。 单击“复制到剪贴板”复制私钥并将其存储在安全的地方。
- 单击“Done”(完成) 。 新的公钥现已在应用程序中注册,并显示在“常规”选项卡“公钥”部分的表格中。
- 从 Okta API 范围选项卡中,授予以下范围:
- okta.users.read
- okta.groups.read
- okta.apps.read
- 可选。 单击“应用程序速率限制”选项卡可调整此服务应用程序的速率限制容量百分比。 默认情况下,每个新应用程序都会将此百分比设置为 50%。
将公钥转换为 Base64 字符串
- 请参阅有关使用个人访问令牌 (PAT) 的说明。
查找你的 Okta URL(也称为 Okta 域)
此 Okta URL/Okta 域保存在 AWS 密钥中。
- 使用管理员帐户登录到 Okta 组织。
- 在仪表板的全局标题中查找 Okta URL/Okta 域。 找到后,在记事本等应用程序中记下 Okta URL。 你将需要此 URL 来执行后续步骤。
配置 AWS 堆栈详细信息
- 使用 Okta 应用程序中的信息填写 CloudFormation 模板指定堆栈详细信息屏幕上的以下字段:
- 堆栈名称 - 我们选择的名称
- 或 URL 你的组织的 Okta 网址,例如:https://companyname.okta.com
- 客户端 ID - 来自 Okta 应用程序的“客户端凭据”部分
- 公钥 ID - 单击“添加 > 生成新密钥”。 此时将生成公钥
- 私钥(采用 PEM 格式) - 私钥的 Base64 编码字符串
注意
在转换为 Base64 字符串之前,必须复制字段中的所有文本,包括 BEGIN PRIVATE KEY 之前和 END PRIVATE KEY 之后的破折号。
- 当“CloudFormation 模板指定堆栈详细信息”屏幕完成后,单击“下一步”。
- 在“配置堆栈选项”屏幕上,单击“下一步”。
- 检查你输入的信息,然后单击“提交”。
- 选择“资源”选项卡,然后复制“物理 ID”(此 ID 是机密 ARN)以供将来使用。
在 Microsoft Entra 权限管理中配置 Okta
注意
将 Okta 作为标识提供者集成是一个可选步骤。 可以随时返回到这些步骤来配置 IdP。
如果在权限管理启动时未显示数据收集器仪表板,请选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。
在“数据收集器”仪表板中,选择“AWS”,然后选择“创建配置”。 完成“管理授权系统”步骤。
注意
如果 AWS 帐户中已存在数据收集器,并且你想要添加 Okta 集成,请按照以下步骤操作:
- 选择要为其添加 Okta 集成的数据收集器。
- 单击“授权系统状态”旁边的省略号。
- 选择“集成标识提供者”。
在“集成标识提供者 (IdP)”页面上,选中 Okta 对应的框。
选择“启动 CloudFormation 模板”。 模板将在新的窗口中打开。
注意
需要在此处填写信息以创建机密 Amazon 资源名称 (ARN),然后在“集成标识提供者 (IdP)”页面上输入该名称。 Microsoft 不会读取或存储此 ARN。
返回权限管理“集成标识提供者 (IdP)”页面,并将机密 ARN 粘贴到提供的字段中。
单击“下一步”查看并确认输入的信息。
单击“立即验证并保存”。 系统将返回已填充的 AWS CloudFormation 模板。
后续步骤
- 有关如何查看现有角色/策略、请求和权限的信息,请参阅在“修正”仪表板中查看角色/策略、请求和权限。