View a markdown version of this page

Einmalige Einrichtung einer direkten IAM-Verbundanwendung in Okta - AWS IAM Identity Center

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einmalige Einrichtung einer direkten IAM-Verbundanwendung in Okta

  1. Melden Sie sich als Benutzer mit Administratorrechten bei Ihrem Okta Konto an.

  2. Wählen Sie in der Okta Admin-Konsole unter Anwendungen die Option Anwendungen aus.

  3. Wählen Sie „App-Katalog durchsuchen“. Suchen Sie nach AWS Account Federation und wählen Sie es aus. Wählen Sie dann Integration hinzufügen.

  4. Richten Sie einen direkten IAM-Verbund ein, AWS indem Sie die Schritte unter So konfigurieren Sie SAML 2.0 für den AWS Kontoverbund befolgen. Um regionale Ausfallszenarien zu bewältigen, empfehlen wir, bei der Konfiguration des Anmeldeendpunkts sowohl den nicht-regionalen Endpunkt als auch mehrere regionale Endpunkte für alle Regionen, in denen Sie tätig sind, zu aktivieren, um die Ausfallsicherheit des Verbunds zu verbessern. Bei der Konfiguration der ACS-URL für diesen Notfallzugriff empfehlen wir, dass Sie den regionalen Endpunkt einer anderen Region als der Region verwenden, in der Ihr IAM Identity Center bereitgestellt wird. Eine Liste der regionalen Endpunkte finden Sie unter Anmeldeendpunkte in der AWS Allgemeinen Referenz.

  5. Wählen Sie auf der Registerkarte Anmeldeoptionen die Option SAML 2.0 aus und geben Sie die Einstellungen für Gruppenfilter und Rollenwertmuster ein. Der Name der Gruppe für das Benutzerverzeichnis hängt vom Filter ab, den Sie konfigurieren.

    Zwei Optionen: Accountid und Rolle im Gruppenfilter oder Rollenwertmuster.

    In der Abbildung oben bezieht sich die role Variable auf die Rolle „Notfallbetrieb“ in Ihrem Notfallzugriffskonto. Wenn Sie beispielsweise die EmergencyAccess_Role1_RO Rolle (wie in der Zuordnungstabelle beschrieben) in erstellen und Ihre Gruppenfiltereinstellung so konfiguriert ist AWS-Konto 123456789012, wie in der Abbildung oben gezeigt, sollte Ihr Gruppenname lautenaws#EmergencyAccess_Role1_RO#123456789012.

  6. Erstellen Sie in Ihrem Verzeichnis (z. B. Ihrem Verzeichnis in Active Directory) die Notfallzugriffsgruppe und geben Sie einen Namen für das Verzeichnis an (z. B.aws#EmergencyAccess_Role1_RO#123456789012). Weisen Sie Ihre Benutzer dieser Gruppe zu, indem Sie Ihren vorhandenen Bereitstellungsmechanismus verwenden.

  7. Konfigurieren Sie im Notfallzugriffskonto eine benutzerdefinierte Vertrauensrichtlinie, die die erforderlichen Berechtigungen bereitstellt, damit die Notfallzugriffsrolle während einer Störung übernommen werden kann. Im Folgenden finden Sie eine Beispielanweisung für eine benutzerdefinierte Vertrauensrichtlinie, die der EmergencyAccess_Role1_RO Rolle zugeordnet ist. Eine Veranschaulichung finden Sie in der Abbildung unten unter dem NotfallkontoWie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle. Ersetzen Sie den Muster-ARN für den SAML-Anbieter durch den richtigen, den Sie im Notfallzugriffskonto erstellt haben. Ersetzen Sie die regionalen Endpunkte im Beispiel durch die Regionen Ihrer Wahl.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":"arn:aws:iam::123456789012:saml-provider/[SAML PROVIDER NAME]"
         },
         "Action":[
            "sts:AssumeRoleWithSAML",
            "sts:TagSession"
         ],
         "Condition":{
            "StringEquals":{
               "SAML:aud": [
                        "https://signin.aws.amazon.com/saml",
                        "https://us-west-2.signin.aws.amazon.com/saml",
                        "https://us-west-1.signin.aws.amazon.com/saml",
                        "https://us-east-2.signin.aws.amazon.com/saml"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Principal":{
         "Federated":"arn:aws:iam::123456789012:saml-provider/Okta"
         },
         "Action":"sts:SetSourceIdentity"
       }
   ]
}

  8. Im Folgenden finden Sie eine Beispielanweisung für eine Berechtigungsrichtlinie, die der EmergencyAccess_Role1_RO Rolle zugeordnet ist. Eine Veranschaulichung finden Sie in der Abbildung unten unter dem NotfallkontoWie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/EmergencyAccess_RO",
                "arn:aws:iam::444455556666:role/EmergencyAccess_RO"
            ]
        }
    ]
}

  9. Konfigurieren Sie für die Workload-Konten eine benutzerdefinierte Vertrauensrichtlinie. Im Folgenden finden Sie ein Beispiel für eine Vertrauensrichtlinie, die der EmergencyAccess_RO Rolle zugeordnet ist. In diesem Beispiel 123456789012 ist Konto das Notfallzugriffskonto. Eine Veranschaulichung finden Sie in der Abbildung unten unter Workload-KontoWie gestaltet man die Rollen-, Konto- und Gruppenzuordnungen für Notfälle.

    JSON
    {
    "Version":"2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:root"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
    Anmerkung

    In den IdPs meisten Fällen können Sie eine Anwendungsintegration so lange deaktivieren, bis sie benötigt wird. Wir empfehlen Ihnen, die direkte IAM-Verbundanwendung in Ihrem IdP so lange deaktiviert zu lassen, bis sie für den Notfallzugriff benötigt wird.