View a markdown version of this page

Pengaturan satu kali aplikasi federasi IAM langsung di Okta - AWS IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengaturan satu kali aplikasi federasi IAM langsung di Okta

  1. Masuk ke Okta akun Anda sebagai pengguna dengan izin administratif.

  2. Di Konsol Okta Admin, di bawah Aplikasi, pilih Aplikasi.

  3. Pilih Jelajahi Katalog Aplikasi. Cari dan pilih Federasi AWS Akun. Kemudian pilih Tambahkan integrasi.

  4. Siapkan federasi IAM langsung AWS dengan mengikuti langkah-langkah di Cara Mengkonfigurasi SAMP 2.0 untuk Federasi AWS Akun. Untuk menangani skenario kegagalan regional, saat Anda mengonfigurasi titik akhir masuk, kami menyarankan Anda mengaktifkan titik akhir non-regional dan beberapa titik akhir regional untuk semua Wilayah tempat Anda beroperasi untuk meningkatkan ketahanan federasi. Saat mengonfigurasi URL ACS untuk akses darurat ini, kami sarankan Anda menggunakan titik akhir regional Wilayah yang berbeda dari yang digunakan Pusat Identitas IAM Anda. Lihat titik akhir Masuk di Referensi AWS Umum untuk daftar titik akhir regional.

  5. Pada tab Sign-On Options, pilih SAMP 2.0 dan masukkan pengaturan Group Filter dan Role Value Pattern. Nama grup untuk direktori pengguna tergantung pada filter yang Anda konfigurasikan.

    Dua opsi: accountid dan peran dalam filter grup atau pola nilai peran.

    Pada gambar di atas, role variabelnya adalah untuk peran operasi darurat di akun akses darurat Anda. Misalnya, jika Anda membuat EmergencyAccess_Role1_RO peran (seperti yang dijelaskan dalam tabel pemetaan) di Akun AWS 123456789012, dan jika setelan filter grup Anda dikonfigurasi seperti yang ditunjukkan pada gambar di atas, nama grup Anda seharusnyaaws#EmergencyAccess_Role1_RO#123456789012.

  6. Di direktori Anda (misalnya, direktori Anda di Active Directory), buat grup akses darurat dan tentukan nama untuk direktori (misalnya,aws#EmergencyAccess_Role1_RO#123456789012). Tetapkan pengguna Anda ke grup ini dengan menggunakan mekanisme penyediaan yang ada.

  7. Di akun akses darurat, konfigurasikan kebijakan kepercayaan khusus yang memberikan izin yang diperlukan untuk peran akses darurat yang akan diasumsikan selama gangguan. Berikut ini adalah contoh pernyataan untuk kebijakan kepercayaan khusus yang dilampirkan pada EmergencyAccess_Role1_RO peran. Untuk ilustrasi, lihat akun darurat pada diagram di bawahBagaimana merancang peran darurat, akun, dan pemetaan grup. Ganti contoh penyedia SAMP ARN dengan yang benar yang telah Anda buat di akun akses darurat. Ganti titik akhir regional dalam contoh dengan wilayah pilihan Anda.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":"arn:aws:iam::123456789012:saml-provider/[SAML PROVIDER NAME]"
         },
         "Action":[
            "sts:AssumeRoleWithSAML",
            "sts:TagSession"
         ],
         "Condition":{
            "StringEquals":{
               "SAML:aud": [
                        "https://signin.aws.amazon.com/saml",
                        "https://us-west-2.signin.aws.amazon.com/saml",
                        "https://us-west-1.signin.aws.amazon.com/saml",
                        "https://us-east-2.signin.aws.amazon.com/saml"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Principal":{
         "Federated":"arn:aws:iam::123456789012:saml-provider/Okta"
         },
         "Action":"sts:SetSourceIdentity"
       }
   ]
}

  8. Berikut ini adalah pernyataan contoh untuk kebijakan izin yang dilampirkan ke EmergencyAccess_Role1_RO peran. Untuk ilustrasi, lihat akun darurat pada diagram di bawahBagaimana merancang peran darurat, akun, dan pemetaan grup.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::111122223333:role/EmergencyAccess_RO",
                "arn:aws:iam::444455556666:role/EmergencyAccess_RO"
            ]
        }
    ]
}

  9. Pada akun beban kerja, konfigurasikan kebijakan kepercayaan khusus. Berikut ini adalah contoh pernyataan untuk kebijakan kepercayaan yang melekat pada EmergencyAccess_RO peran tersebut. Dalam contoh ini, akun 123456789012 adalah akun akses darurat. Untuk ilustrasi, lihat akun beban kerja dalam diagram di bawah. Bagaimana merancang peran darurat, akun, dan pemetaan grup

    JSON
    {
    "Version":"2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:root"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
    catatan

    Sebagian besar IdPs memungkinkan Anda untuk menjaga integrasi aplikasi dinonaktifkan sampai diperlukan. Kami menyarankan agar Anda tetap menonaktifkan aplikasi federasi IAM langsung di IDP Anda hingga diperlukan untuk akses darurat.