# Okta 接続の設定
<a name="okta-configuring-connections"></a>

 Okta は 2 種類の認可メカニズムをサポートしています。
+  OAuth 認可: Okta は `AUTHORIZATION_CODE` グラントタイプをサポートしています。
  +  このグラントタイプは、ユーザーを認証するためにサードパーティーの認証サーバーにユーザーをリダイレクトすることから、「three-legged」の OAuth と見なされます。AWS Glue コンソール経由で接続を作成するときに使用されます。AWS Glue コンソールでは、ユーザーが Okta にリダイレクトされます。ここではユーザーがログインし、Okta インスタンスにアクセスするためのリクエストされた権限を AWS Glue に許可する必要があります。
  +  ユーザーは、Okta で独自の接続アプリケーションを作成し、AWS Glue コンソールを介して接続を作成するときに独自のクライアント ID とクライアントシークレットを指定することを選択できます。このシナリオでは、引き続き Okta にリダイレクトされてログインし、リソースへアクセスするために AWS Glue を認可します。
  +  このグラントタイプは、更新トークンとアクセストークンになります。アクセストークンの有効期間は短く、更新トークンを使用してユーザーとやり取りすることなく自動的に更新される場合があります。
  +  詳細については、[OAuth 認可コードフローでの接続アプリケーションの作成に関する Okta の公開ドキュメント](https://developers.google.com/workspace/guides/create-credentials)を参照してください。
+  カスタム認可: 
  +  カスタム認可に必要な API キーの生成に関する Okta の公開ドキュメントについては、[Okta のドキュメント](https://developer.okta.com/docs/guides/create-an-api-token/main/#create-the-token)を参照してください。

Okta 接続を設定するには:

1.  AWS Secrets Manager で、次の詳細を含むシークレットを作成します。AWS Glue で接続ごとにシークレットを作成する必要があります。

   1.  OAuth 認可の場合: 
      +  カスタマーマネージド接続アプリケーションの場合 – シークレットには、`USER_MANAGED_CLIENT_APPLICATION_CLIENT_SECRET` を使用して接続されたアプリケーションのコンシューマーシークレットをキーとして含める必要があります。

   1.  カスタム認可の場合: 
      +  カスタマーマネージド接続アプリケーションの場合 – シークレットには、`OktaApiToken` を使用して接続されたアプリケーションのコンシューマーシークレットをキーとして含める必要があります。

1. AWS Glue Studio で、以下の手順に従って **[データ接続]** の下に接続を作成します。

   1.  [接続] で **[接続を作成]** を選択します。

   1. **[データソース]** を選択する際に、[Okta] を選択します。

   1. Okta サブドメインを指定します。

   1. Okta アカウントの Okta ドメイン URL を選択します。

   1.  AWS Glue が次のアクションを担い、その権限を持つことができる IAM ロールを選択します。

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "secretsmanager:DescribeSecret",
              "secretsmanager:GetSecretValue",
              "secretsmanager:PutSecretValue",
              "ec2:CreateNetworkInterface",
              "ec2:DescribeNetworkInterfaces",
              "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
          }
        ]
      }
      ```

------

   1.  データソースに接続するための認可タイプを選択します。

   1.  OAuth2 認可タイプの場合は、Okta アプリケーションの **[ユーザーマネージドクライアントアプリケーション ClientId]** を指定します。

   1.  AWS Glue でこの接続に使用する `secretName` を選択して、トークンを配置します。

   1.  ネットワークを使用する場合は、ネットワークオプションを選択します。

1.  AWS Glue ジョブに関連付けられている IAM ロールに `secretName` を読み取るアクセス許可を付与します。

1.  AWS Glue ジョブ設定で、**[追加のネットワーク接続]** として `connectionName` を指定します。