將 Okta 設定為識別提供者 (預覽)

  • 發行項

本文說明如何在 Microsoft Entra 權限管理 中將Okta整合為 Amazon Web Services (AWS) 帳戶的識別提供者 (IdP)。

需要的權限:

帳戶 必要的使用權限 為什麼呢?
許可權管理 權限管理系統管理員 管理員 可以建立和編輯 AWS 授權系統上線設定。
Okta API 存取管理 管理員 istrator 管理員 可以在Okta入口網站中新增應用程式,並新增或編輯 API 範圍。
AWS AWS 許可權明確 管理員 應該能夠執行 cloudformation 堆疊來建立 1。 秘密管理員中的 AWS 秘密;2. 受控原則可讓角色讀取 AWS 秘密。

注意

在 Okta 中設定 Amazon Web Services (AWS) 應用程式時,建議的 AWS 角色群組語法為 (aws#{account alias]#{role name}#{account #])。 群組篩選名稱的範例 RegEx 模式如下:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) 許可權管理會讀取預設的建議篩選。 不支援群組語法的自定義 RegEx 運算式。

如何將Okta設定為識別提供者

  1. 使用 API 存取管理 管理員 istrator 登入 Okta 入口網站。
  2. 建立新的 Okta API Services 應用程式
  3. 在 [管理員 控制台] 中,移至 [應用程式]。
  4. 在 [建立新的應用程式整合] 頁面上,選取 [API 服務]。
  5. 輸入應用程式整合的名稱,然後按兩下 [ 儲存]。
  6. 複製用戶端識別碼以供日後使用。
  7. 在 [一般] 索引標籤的 [ 客戶端認證] 區段中,按兩下 [ 編輯 ] 以變更客戶端驗證方法。
  8. 選取 [公鑰/私鑰 ] 作為 [客戶端驗證方法]。
  9. 在 Okta 中保留預設的 [儲存金鑰],然後按下 [新增密鑰]。
  10. 按兩下 [新增],然後在 [新增公鑰] 對話框中貼上您自己的公鑰,或按兩下 [產生新密鑰] 來自動產生新的 2048 位 RSA 金鑰。
  11. 複製 公鑰標識碼 以供日後使用。
  12. 按兩下 [ 產生新金鑰 ],公開和私鑰會以 JWK 格式顯示。
  13. 按兩下 [PEM]。 私鑰會以 PEM 格式顯示。 這是您唯一儲存私鑰的機會。 按兩下 [複製到剪貼簿 ] 以複製私鑰,並將它儲存在安全的地方。
  14. 按一下完成。 新的公鑰現在已向應用程式註冊,並出現在 [一般] 索引卷標的 [公鑰] 區段中的數據表中。
  15. 從 [Okta API 範圍] 索引標籤,授與這些範圍:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. 選擇性。 按兩下 [ 應用程式速率限制 ] 索引標籤,調整此服務應用程式的速率限制容量百分比。 根據預設,每個新的應用程式都會將此百分比設定為50%。

將公鑰轉換為 Base64 字串

  1. 請參閱使用個人存取令牌 (PAT) 的指示

尋找您的 Okta URL (也稱為 Okta 網域)

這個Okta URL/Okta網域會儲存在AWS秘密中。

  1. 使用系統管理員帳戶登入您的Okta組織。
  2. 在儀錶板的全局標頭中尋找Okta URL/Okta網域。 找到之後,請記下應用程式中的Okta URL,例如 記事本。 後續步驟需要此 URL。

設定 AWS 堆疊詳細數據

  1. 使用 Okta 應用程式的資訊,在 CloudFormation 範本 [指定堆疊詳細資料] 畫面上填入下列欄位:
    • 堆疊名稱 - 我們選擇的名稱
    • 或 URL 貴組織的 Okta URL,例如: https://companyname.okta.com
    • 用戶端識別碼 - 從 Okta 應用程式的 [客戶端認證 ] 區段
    • 公鑰識別碼 - 按兩下 [ 新增 > 產生新金鑰]。 公鑰會產生
    • 私鑰 (PEM 格式) - 私鑰之 PEM 格式的 Base64 編碼字串

    注意

    在轉換成Base64字串之前,您必須先複製欄位中的所有文字,包括 BEGIN PRIVATE KEY 之前的虛線和 END PRIVATE KEY 之後的虛線。

  2. 當 CloudFormation 範本 [指定堆疊詳細數據] 畫面完成時,按 [下一步]。
  3. 在 [設定 堆棧選項] 畫面上,按 [ 下一步]。
  4. 檢閱您輸入的信息,然後按兩下 [ 提交]。
  5. 選取 [ 資源] 索引標籤,然後複製 實體識別碼 (此標識符是秘密 ARN),以供日後使用。

在 Microsoft Entra 權限管理 中設定Okta

注意

將Okta整合為識別提供者是選擇性步驟。 您可以返回這些步驟,隨時設定IdP。

  1. 如果 [數據收集器] 儀錶板未在 [許可權管理] 啟動時顯示,請選取 [設定 [齒輪] 圖示,然後選取 [數據收集器] 子索引卷標。

  2. 在 [ 數據收集器 ] 儀錶板上,選取 [AWS],然後選取 [ 建立組態]。 完成管理 授權系統 步驟。

    注意

    如果 AWS 帳戶中已經有資料收集器,而且您想要新增 Okta 整合,請遵循下列步驟:

    1. 選取您要新增Okta整合的數據收集器。
    2. 按兩下 [授權系統狀態] 旁的省略號。
    3. 選取 [整合識別提供者]。

  3. 在 [整合識別提供者(IdP)] 頁面上,選取Okta方塊。

  4. 選取 [ 啟動 CloudFormation 範本]。 範本會在新的視窗中開啟。

    注意

    在這裡,您將填寫資訊,以建立您將在整合識別提供者 (IdP) 頁面上輸入的秘密 Amazon 資源名稱 (ARN)。 Microsoft 不會讀取或儲存此 ARN。

  5. 返回許可權管理 整合識別提供者 (IdP) 頁面, 並在提供的欄位中貼 上秘密 ARN

  6. 按兩下 [下一步 ] 以檢閱並確認您已輸入的資訊。

  7. 按兩下 [立即驗證] 和 [ 儲存]。 系統會傳回填入的 AWS CloudFormation 範本。

下一步

  • 如需如何檢視現有角色/原則、要求和許可權的資訊,請參閱 補救儀錶板中的檢視角色/原則、要求和許可權。