將 Okta 設定為識別提供者 (預覽)
本文說明如何在 Microsoft Entra 權限管理 中將Okta整合為 Amazon Web Services (AWS) 帳戶的識別提供者 (IdP)。
需要的權限:
帳戶 | 必要的使用權限 | 為什麼呢? |
---|---|---|
許可權管理 | 權限管理系統管理員 | 管理員 可以建立和編輯 AWS 授權系統上線設定。 |
Okta | API 存取管理 管理員 istrator | 管理員 可以在Okta入口網站中新增應用程式,並新增或編輯 API 範圍。 |
AWS | AWS 許可權明確 | 管理員 應該能夠執行 cloudformation 堆疊來建立 1。 秘密管理員中的 AWS 秘密;2. 受控原則可讓角色讀取 AWS 秘密。 |
注意
在 Okta 中設定 Amazon Web Services (AWS) 應用程式時,建議的 AWS 角色群組語法為 (aws#{account alias]#{role name}#{account #]
)。
群組篩選名稱的範例 RegEx 模式如下:
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
許可權管理會讀取預設的建議篩選。 不支援群組語法的自定義 RegEx 運算式。
如何將Okta設定為識別提供者
- 使用 API 存取管理 管理員 istrator 登入 Okta 入口網站。
- 建立新的 Okta API Services 應用程式。
- 在 [管理員 控制台] 中,移至 [應用程式]。
- 在 [建立新的應用程式整合] 頁面上,選取 [API 服務]。
- 輸入應用程式整合的名稱,然後按兩下 [ 儲存]。
- 複製用戶端識別碼以供日後使用。
- 在 [一般] 索引標籤的 [ 客戶端認證] 區段中,按兩下 [ 編輯 ] 以變更客戶端驗證方法。
- 選取 [公鑰/私鑰 ] 作為 [客戶端驗證方法]。
- 在 Okta 中保留預設的 [儲存金鑰],然後按下 [新增密鑰]。
- 按兩下 [新增],然後在 [新增公鑰] 對話框中貼上您自己的公鑰,或按兩下 [產生新密鑰] 來自動產生新的 2048 位 RSA 金鑰。
- 複製 公鑰標識碼 以供日後使用。
- 按兩下 [ 產生新金鑰 ],公開和私鑰會以 JWK 格式顯示。
- 按兩下 [PEM]。 私鑰會以 PEM 格式顯示。 這是您唯一儲存私鑰的機會。 按兩下 [複製到剪貼簿 ] 以複製私鑰,並將它儲存在安全的地方。
- 按一下完成。 新的公鑰現在已向應用程式註冊,並出現在 [一般] 索引卷標的 [公鑰] 區段中的數據表中。
- 從 [Okta API 範圍] 索引標籤,授與這些範圍:
- okta.users.read
- okta.groups.read
- okta.apps.read
- 選擇性。 按兩下 [ 應用程式速率限制 ] 索引標籤,調整此服務應用程式的速率限制容量百分比。 根據預設,每個新的應用程式都會將此百分比設定為50%。
將公鑰轉換為 Base64 字串
- 請參閱使用個人存取令牌 (PAT) 的指示。
尋找您的 Okta URL (也稱為 Okta 網域)
這個Okta URL/Okta網域會儲存在AWS秘密中。
- 使用系統管理員帳戶登入您的Okta組織。
- 在儀錶板的全局標頭中尋找Okta URL/Okta網域。 找到之後,請記下應用程式中的Okta URL,例如 記事本。 後續步驟需要此 URL。
設定 AWS 堆疊詳細數據
- 使用 Okta 應用程式的資訊,在 CloudFormation 範本 [指定堆疊詳細資料] 畫面上填入下列欄位:
- 堆疊名稱 - 我們選擇的名稱
- 或 URL 貴組織的 Okta URL,例如: https://companyname.okta.com
- 用戶端識別碼 - 從 Okta 應用程式的 [客戶端認證 ] 區段
- 公鑰識別碼 - 按兩下 [ 新增 > 產生新金鑰]。 公鑰會產生
- 私鑰 (PEM 格式) - 私鑰之 PEM 格式的 Base64 編碼字串
注意
在轉換成Base64字串之前,您必須先複製欄位中的所有文字,包括 BEGIN PRIVATE KEY 之前的虛線和 END PRIVATE KEY 之後的虛線。
- 當 CloudFormation 範本 [指定堆疊詳細數據] 畫面完成時,按 [下一步]。
- 在 [設定 堆棧選項] 畫面上,按 [ 下一步]。
- 檢閱您輸入的信息,然後按兩下 [ 提交]。
- 選取 [ 資源] 索引標籤,然後複製 實體識別碼 (此標識符是秘密 ARN),以供日後使用。
在 Microsoft Entra 權限管理 中設定Okta
注意
將Okta整合為識別提供者是選擇性步驟。 您可以返回這些步驟,隨時設定IdP。
如果 [數據收集器] 儀錶板未在 [許可權管理] 啟動時顯示,請選取 [設定 [齒輪] 圖示,然後選取 [數據收集器] 子索引卷標。
在 [ 數據收集器 ] 儀錶板上,選取 [AWS],然後選取 [ 建立組態]。 完成管理 授權系統 步驟。
注意
如果 AWS 帳戶中已經有資料收集器,而且您想要新增 Okta 整合,請遵循下列步驟:
- 選取您要新增Okta整合的數據收集器。
- 按兩下 [授權系統狀態] 旁的省略號。
- 選取 [整合識別提供者]。
在 [整合識別提供者(IdP)] 頁面上,選取Okta的方塊。
選取 [ 啟動 CloudFormation 範本]。 範本會在新的視窗中開啟。
注意
在這裡,您將填寫資訊,以建立您將在整合識別提供者 (IdP) 頁面上輸入的秘密 Amazon 資源名稱 (ARN)。 Microsoft 不會讀取或儲存此 ARN。
返回許可權管理 整合識別提供者 (IdP) 頁面, 並在提供的欄位中貼 上秘密 ARN 。
按兩下 [下一步 ] 以檢閱並確認您已輸入的資訊。
按兩下 [立即驗證] 和 [ 儲存]。 系統會傳回填入的 AWS CloudFormation 範本。
下一步
- 如需如何檢視現有角色/原則、要求和許可權的資訊,請參閱 補救儀錶板中的檢視角色/原則、要求和許可權。