AWS

Jak skonfigurować SAML 2.0 dla federacji kont AWS

Jak skonfigurować SAML 2.0 dla federacji kont AWS
SAML to standard logowania użytkowników poprzez umożliwienie dostawcom tożsamości przekazywania danych logowania do dostawców usług. Istnieje kilka zalet tego standardu jednokrotnego logowania (SSO) w porównaniu z logowaniem przy użyciu nazw użytkowników i haseł, takich jak brak konieczności wpisywania poświadczeń i nikt nie musi pamiętać haseł i ich odnawiać. Większość organizacji jest teraz świadoma tożsamości użytkowników, gdy logują się do Active Directory. Używanie tych danych do logowania użytkowników do innych programów, takich jak aplikacje internetowe, ma sens, a jednym z najbardziej wyrafinowanych sposobów na to jest użycie SAML. Identyfikacja klienta jest przenoszona z jednej lokalizacji (dostawcy tożsamości) do innej (dostawcy usług) za pomocą SAML SSO. Osiąga się to poprzez wymianę dokumentów XML, które są podpisane cyfrowo.

Użytkownicy końcowi mogą używać SAML SSO do uwierzytelniania się na jednym lub kilku kontach AWS i uzyskiwać dostęp do określonych pozycji dzięki integracji Okta z AWS. Administratorzy Okta mogą pobierać role do Okta z jednego lub więcej AWS i przydzielać je użytkownikom. Ponadto administratorzy Okta mogą również ustawić długość sesji uwierzytelnionego użytkownika za pomocą Okta. Użytkownikom końcowym udostępniane są ekrany AWS zawierające listę ról użytkowników AWS. Mogą wybrać rolę logowania do przyjęcia, która określi ich uprawnienia na czas trwania uwierzytelnionej sesji.

Aby dodać jedno konto AWS do Okta, postępuj zgodnie z poniższymi instrukcjami:

Konfigurowanie Okta jako dostawcy tożsamości:

Przede wszystkim musisz skonfigurować Okta jako dostawcę tożsamości i nawiązać połączenie SAML. Zaloguj się do konsoli AWS i wybierz opcję „Zarządzanie tożsamością i dostępem” z menu rozwijanego. Z paska menu otwórz „Dostawcy tożsamości” i utwórz nową instancję dla dostawców tożsamości, klikając „Dodaj dostawcę.” Pojawi się nowy ekran, znany jako ekran konfiguracji dostawcy Provider.

Tutaj wybierz „SAML” jako „Typ dostawcy”, wpisz „Okta” jako „Nazwa dostawcy” i prześlij dokument metadanych zawierający następujący wiersz:

Po zakończeniu konfigurowania dostawcy tożsamości przejdź do listy dostawców tożsamości i skopiuj wartość „Provider ARN” dla właśnie opracowanego dostawcy tożsamości.

Dodawanie dostawcy tożsamości jako zaufanego źródła:

Po skonfigurowaniu Okta jako dostawcy tożsamości, którego Okta może pobierać i przydzielać użytkownikom, możesz budować lub aktualizować istniejące pozycje uprawnień. Okta SSO może oferować użytkownikom tylko role skonfigurowane w celu przyznawania dostępu do wcześniej zainstalowanego dostawcy tożsamości Okta SAML.

Aby dać dostęp do ról już obecnych na koncie, najpierw wybierz rolę, której chcesz używać Okta SSO z opcji „Role” na pasku menu. Edytuj „Relację zaufania” dla tej roli na karcie relacji tekstowej. Aby umożliwić jednokrotnemu logowaniu w Okta korzystanie z wcześniej skonfigurowanego dostawcy tożsamości SAML, musisz zmienić zasady relacji zaufania uprawnień. Jeśli twoja polityka jest pusta, napisz następujący kod i nadpisz z wartością skopiowaną podczas konfigurowania Okta:

W przeciwnym razie po prostu edytuj już napisany dokument. W przypadku, gdy chcesz przyznać dostęp do nowej roli, przejdź do Utwórz rolę z zakładki Role. Jako typ zaufanego podmiotu użyj SAML 2.0 federacja. Przejdź do uprawnień po wybraniu nazwy IDP jako dostawcy SAML, i.mi., Okta i umożliwienie zarządzania i programowej kontroli dostępu. Wybierz politykę, która ma zostać przypisana do tej nowej roli i zakończ konfigurację.

Generowanie klucza dostępu API dla Okta do pobierania ról:

Aby Okta automatycznie importowała listę możliwych ról z Twojego konta, utwórz użytkownika AWS z unikalnymi uprawnieniami. Dzięki temu administratorzy mogą szybko i bezpiecznie delegować użytkowników i grupy do poszczególnych ról AWS. Aby to zrobić, najpierw wybierz IAM z konsoli. Na tej liście kliknij Użytkownicy i Dodaj użytkownika z tego panelu.

Kliknij Uprawnienia po dodaniu nazwy użytkownika i przyznaniu dostępu programowego. Utwórz politykę po wybraniu opcji „Załącz polityki” bezpośrednio i kliknięciu „Utwórz politykę.” Dodaj kod podany poniżej, a Twój dokument zasad będzie wyglądał tak:

Aby uzyskać szczegółowe informacje, w razie potrzeby zapoznaj się z dokumentacją AWS. Wpisz preferowaną nazwę swojej polisy. Wróć do zakładki Dodaj użytkownika i dołącz do niej ostatnio utworzoną politykę. Wyszukaj i wybierz politykę, którą właśnie utworzyłeś. Teraz zapisz wyświetlone klawisze, i.mi., Identyfikator klucza dostępu i tajny klucz dostępu.

Konfiguracja federacji kont AWS:

Po wykonaniu wszystkich powyższych kroków otwórz aplikację federacji kont AWS i zmień niektóre ustawienia domyślne w Okta. Na karcie Zaloguj się edytuj typ środowiska. ACS URL można ustawić w obszarze ACS URL. Ogólnie obszar ACS URL jest opcjonalny; nie musisz go wstawiać, jeśli typ środowiska jest już określony. Wprowadź wartość Provider ARN dostawcy tożsamości utworzonego podczas konfigurowania Okta i określ również czas trwania sesji. Połącz wszystkie dostępne role przypisane każdemu, klikając opcję Dołącz do wszystkich ról.

Po zapisaniu wszystkich tych zmian wybierz następną zakładkę, ja.mi., Zakładka Provisioning i edytuj jej specyfikacje. Integracja aplikacji AWS Account Federation nie obsługuje obsługi administracyjnej. Zapewnij Okta dostęp do API w celu pobrania listy ról AWS używanych podczas przypisywania użytkownika poprzez włączenie integracji API. Wprowadź wartości kluczy, które zapisałeś po wygenerowaniu kluczy dostępu w odpowiednich polach. Podaj identyfikatory wszystkich połączonych kont i zweryfikuj poświadczenia API, klikając opcję Testuj poświadczenia API.

Twórz użytkowników i zmieniaj atrybuty konta, aby aktualizować wszystkie funkcje i uprawnienia. Teraz wybierz użytkownika testowego z ekranu Przypisz osoby, który będzie testował połączenie SAML. Wybierz wszystkie reguły, które chcesz przypisać do tego użytkownika testowego, z ról użytkowników SAML znajdujących się na ekranie Przypisanie użytkownika. Po zakończeniu procesu przypisywania, panel testowy Okty wyświetla ikonę AWS. Kliknij tę opcję po zalogowaniu się na testowe konto użytkownika. Zobaczysz ekran wszystkich przydzielonych Ci zadań.

Wniosek:

SAML umożliwia użytkownikom korzystanie z jednego zestawu uwierzytelnionych danych uwierzytelniających i łączenie się z innymi aplikacjami i usługami internetowymi obsługującymi SAML bez dalszego logowania. AWS SSO ułatwia w połowie nadzorowanie sfederowanego dostępu do różnych rekordów, usług i aplikacji AWS oraz zapewnia klientom jednokrotne logowanie do wszystkich przypisanych im rekordów, usług i aplikacji z jednego miejsca. AWS SSO współpracuje z wybranym przez siebie dostawcą tożsamości, i.mi., Okta lub Azure przez protokół SAML.

Mouse left-click button not working on Windows 10
If you are using a dedicated mouse with your laptop, or desktop computer but the mouse left-click button is not working on Windows 10/8/7 for some rea...
Cursor jumps or moves randomly while typing in Windows 10
If you find that your mouse cursor jumps or moves on its own, automatically, randomly while typing in Windows laptop or computer, then some of these s...
How to reverse Mouse and Touchpads scrolling direction in Windows 10
Mouse and Touchpads not only make computing easy but more efficient and less time-consuming. We cannot imagine a life without these devices, but still...