Configuración de Okta como proveedor de identidades (versión preliminar)

En este artículo se describe cómo integrar Okta como proveedor de identidades (IdP) para una cuenta de Amazon Web Services (AWS) en Administración de permisos de Microsoft Entra.

Permisos necesarios:

Cuenta	Permisos necesarios	¿Por qué?
Permissions Management	Administrador de la administración de permisos	El administrador puede crear y editar la configuración de incorporación del sistema de autorización de AWS.
Okta	Administrador de API de Administración de acceso	El administrador puede agregar la aplicación en el portal de Okta y agregar o editar el ámbito de la API.
AWS	Permisos de AWS explícitamente	El administrador debe poder ejecutar la pila de cloudformation para crear 1. AWS Secret en Administrador de secretos; 2. Directiva administrada para permitir que el rol lea el secreto de AWS.

Nota:

Al configurar la aplicación Amazon Web Services (AWS) en Okta, la sintaxis sugerida del grupo de roles de AWS es (aws#{account alias]#{role name}#{account #]). El patrón RegEx de ejemplo para el nombre del filtro de grupo es:

• ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
• aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Administración de permisos lee los filtros sugeridos predeterminados. No se admite la expresión RegEx personalizada para la sintaxis de grupo.

Cómo configurar Okta como proveedor de identidades

1. Inicie sesión en el portal de Okta con el administrador de API de Administración de acceso.
2. Cree una nueva Aplicación de servicios de API de Okta.
3. En la Consola de administración, vaya a Aplicaciones.
4. En la página Crear una nueva integración de aplicaciones, seleccione API de servicios.
5. Escriba un nombre para la integración de la aplicación y haga clic en Guardar.
6. Copie el Id. de clientepara su uso futuro.
7. En la sección Credenciales de cliente de la pestaña General, haga clic en Editar para cambiar el método de autenticación de cliente.
8. Seleccione Clave pública/Clave privada como método de autenticación del cliente.
9. Deje el valor predeterminado Guardar claves en Oktay, a continuación, haga clic en Agregar clave.
10. Haga clic en Agregar y, en el cuadro de diálogo Agregar una clave pública, pegue su propia clave pública o haga clic en Generar nueva clave para generar automáticamente una nueva clave RSA de 2048 bits.
11. Copie el Id. de clave pública para su uso futuro.
12. Haga clic en Generar nueva clave y las claves públicas y privadas aparecen en formato JWK.
13. Haga clic en PEM. La clave privada aparece en formato PEM. Esta es la única oportunidad de guardar la clave privada. Haga clic en Copiar en el Portapapeles para copiar la clave privada y almacenarla en algún lugar seguro.
14. Haga clic en Done(Listo). La nueva clave pública ahora está registrada con la aplicación y aparece en una tabla de la sección CLAVES PÚBLICAS de la pestaña General.
15. En la pestaña Ámbitos de la API de Okta, conceda estos ámbitos:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
16. Opcional. Haga clic en la pestaña Límites de frecuencia de aplicación para ajustar el porcentaje de capacidad de límite de frecuencia para esta aplicación de servicio. De forma predeterminada, cada nueva aplicación establece este porcentaje en el 50 %.

Conversión de clave pública en una cadena Base64

1. Consulte las instrucciones para usar un token de acceso personal (PAT).

Busque la dirección URL de Okta (también denominada dominio de Okta)

Este dominio Okta/dirección URL de Okta se guarda en el secreto de AWS.

1. Inicie sesión en su organización de Okta con su cuenta de administrador.
2. Busque el dominio Okta/dirección URL de Okta en el encabezado global del panel. Una vez ubicado, anote la dirección URL de Okta en una aplicación como el Bloc de notas. Necesitará esta dirección URL para los pasos siguientes.

Configuración de los detalles de la pila de AWS

1. Rellene los siguientes campos en la pantalla Plantilla de CloudFormation Especificar detalles de la pila mediante la información de su aplicación Okta:
   • Nombre de pila: nombre de nuestra elección
   • O bien, la dirección URL de Okta de la organización, por ejemplo: https://companyname.okta.com
   • Id. de cliente: en la sección Credenciales de cliente de la aplicación Okta
   • Identificador de clave pública: haga clic en Agregar > Generar nueva clave. Se genera la clave pública
   • Clave privada (en formato PEM): cadena codificada en Base64 del formato PEM de la clave privada

   Nota:

   Debe copiar todo el texto del campo antes de convertir en una cadena Base64, incluido el guión antes de BEGIN PRIVATE KEY y después de END PRIVATE KEY.

2. Cuando se complete la pantalla Especificar detalles de pila de la plantilla de CloudFormation, haga clic en Siguiente.
3. En la pantalla Configurar opciones de pila, haga clic en Siguiente.
4. Revise la información que ha escrito y haga clic en Enviar.
5. Seleccione la pestaña Recursos y, a continuación, copie el Id. físico (este identificador es el ARN secreto) para su uso futuro.

Configuración de Okta en la Administración de permisos de Microsoft Entra

Nota:

La integración de Okta como proveedor de identidades es un paso opcional. Puede volver a estos pasos para configurar un IdP en cualquier momento.

1. Si el panel Recopiladores de datos no se muestra cuando se inicia la administración de permisos, seleccione Configuración (icono de engranaje) y, a continuación, seleccione la subpestaña Recopiladores de datos.

2. En el panel Data Collectors (Recopiladores de datos), seleccione AWS (AWS) y, a continuación, seleccione Create Configuration (Crear configuración). Complete los pasos de Administrar el sistema de autorización.

   Nota:

   Si ya existe un recopilador de datos en su cuenta de AWS y desea agregar la integración de Okta, siga estos pasos:

   1. Seleccione el recopilador de datos para el que desea agregar la integración de Okta.
   2. Haga clic en los puntos suspensivos situados junto al Estado del sistema de autorización.
   3. Seleccione Integrar proveedor de identidades.

3. En la página Integrar proveedor de identidades (IdP), seleccione el cuadro de Okta.

4. Seleccione Plantilla Iniciar de CloudFormation. Se abre la plantilla en una ventana nueva.

   Nota:

   Aquí rellenará la información para crear un secreto de Nombre de recurso de Amazon (ARN) que escribirá en la página Integrar proveedor de identidades (IdP). Microsoft no lee ni almacena este ARN.

5. Vuelva a la página Integración del proveedor de identidades (IdP) de administración de permisos y pegue el Secreto de ARN en el campo proporcionado.

6. Haga clic en Siguiente para revisar y confirmar la información que ha escrito.

7. Haga clic en Comprobar ahora y Guardar. El sistema devuelve la plantilla AWS de CloudFormation rellenada.

Pasos siguientes

• Para obtener información sobre cómo ver los roles, las directivas, las solicitudes y los permisos existentes, consulte Visualización de roles,directivas, solicitudes y permisos en el panel Corrección.