# 连接到 Okta
Okta API 是 Okta 的编程接口,用于管理大型或复杂的 Okta 账户和广告活动。如果您是 Okta 用户,则可以将 AWS Glue 连接到自己的 Okta 账户。然后,可以使用 Okta 作为 ETL 作业中的数据来源。通过运行这些作业,可在 Okta 与 AWS 服务或其他受支持的应用程序之间传输数据。
**Topics**
+ [AWS Glue 对 Okta 的支持](okta-support.md)
+ [包含创建和使用连接的 API 操作的策略](okta-configuring-iam-permissions.md)
+ [配置 Okta](okta-configuring.md)
+ [配置 Okta 连接](okta-configuring-connections.md)
+ [从 Okta 实体读取内容](okta-reading-from-entities.md)
+ [Okta 连接选项参考](okta-connection-options.md)
+ [Okta 新账户和开发人员应用程序创建步骤](okta-create-account.md)
+ [限制](okta-connector-limitations.md)
# AWS Glue 对 Okta 的支持
AWS Glue 对 Okta 的支持情况如下:
**是否支持作为来源?**
是。可以使用 AWS Glue ETL 作业查询 Okta 中的数据。
**是否支持作为目标?**
否。
**支持的 Okta API 版本**
v1。
# 包含创建和使用连接的 API 操作的策略
以下示例策略描述了创建和使用连接所需的 AWS 权限。如果您要创建新角色,请创建包含以下内容的策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:ListConnectionTypes",
"glue:DescribeConnectionType",
"glue:RefreshOAuth2Tokens",
"glue:ListEntities",
"glue:DescribeEntity"
],
"Resource": "*"
}
]
}
```
------
您还可以使用以下托管 IAM 策略允许访问权限:
+ [AWSGlueServiceRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole):授予对各种 AWS Glue 进程代表您运行所需的资源的访问权限。这些资源包括 AWS Glue、Amazon S3、IAM、CloudWatch Logs 和 Amazon EC2。如果您遵循此策略中指定的资源的命名约定,则 AWS Glue 进程具有所需的权限。此策略通常附加到在定义爬网程序、作业和开发终端节点时指定的角色。
+ [AWSGlueConsoleFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleFullAccess):当策略所附加到的身份使用 AWS 管理控制台时,授予对 AWS Glue 资源的完全访问权限。如果遵循此策略中指定的资源的命名约定,则用户具有完全控制台功能。此策略通常附加到 AWS Glue 控制台的用户。
# 配置 Okta
必须满足以下要求,才能使用 AWS Glue 与 Okta 进行数据往来传输:
## 最低要求
+ 拥有 Okta 账户。有关创建账户的更多信息,请参阅 [Okta 新账户和开发人员应用程序创建步骤](okta-create-account.md)。
+ Okta 账户已启用 API 访问权限。
+ 已在 Okta 账户中创建 OAuth2 API 集成。此集成提供 AWS Glue 在对账户进行身份验证调用时,用于安全访问数据的客户端凭证。有关更多信息,请参阅客户端应用程序创建步骤以及 OAuth2.0 凭证:Okta 新账户和开发人员应用程序创建步骤
+ 拥有 Okta 账户,其中包含 OktaApiToken。请参阅 [Okta 文档](https://developer.okta.com/docs/guides/create-an-api-token/main/#create-the-token)。
如果满足这些要求,就可以将 AWS Glue 连接到 Okta 账户。对于常见连接,无需在 Okta 中执行其他操作。
# 配置 Okta 连接
Okta 支持两种类型的身份验证机制:
+ OAuth 身份验证:Okta 支持 `AUTHORIZATION_CODE` 授权类型。
+ 此授权类型被视为“三足型”OAuth,因为它依赖于将用户重定向到第三方授权服务器来对用户进行身份验证。它用于通过 AWS Glue 控制台创建连接。AWS Glue 控制台会将用户重定向到 Okta,用户必须登录并向 AWS Glue 授予所请求的权限,以访问其 Okta 实例。
+ 用户可以选择在 Okta 中创建自己的关联应用程序,并在通过 AWS Glue 控制台创建连接时,提供自己的客户端 ID 和客户端密钥。在这种情况下,他们仍会重定向到 Okta,以便登录并授权 AWS Glue 访问其资源。
+ 此授权类型会生成刷新令牌和访问令牌。访问令牌的有效期很短,可以通过刷新令牌在不需要用户干预的情况下自动刷新。
+ 有关更多信息,请参阅[有关为授权码 OAuth 流创建关联应用程序的 Okta 公共文档](https://developers.google.com/workspace/guides/create-credentials)。
+ 自定义身份验证:
+ 有关生成自定义授权所需 API 密钥的 Okta 公共文档,请参阅 [Okta 文档](https://developer.okta.com/docs/guides/create-an-api-token/main/#create-the-token)。
要配置 Okta 连接,请执行以下操作:
1. 在 AWS Secrets Manager 中,创建一个包含以下详细信息的密钥。需要为 AWS Glue 中的每个连接创建一个密钥。
1. OAuth 身份验证:
+ 对于客户托管的关联应用程序:密钥应包含关联应用程序的消费者密钥,并将 `USER_MANAGED_CLIENT_APPLICATION_CLIENT_SECRET` 作为键。
1. 对于自定义身份验证:
+ 对于客户托管的关联应用程序:密钥应包含关联应用程序的使用者密钥,并将 `OktaApiToken` 作为键。
1. 在 AWS Glue Studio 中,按照以下步骤在**数据连接**下创建连接:
1. 在“连接”下,选择**创建连接**。
1. 选择**数据来源**时,请选择 Okta。
1. 提供 Okta 子域。
1. 选择 Okta 账户的 Okta 域 URL。
1. 选择 AWS Glue 可以代入并有权执行以下操作的 IAM 角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
1. 选择身份验证类型以连接到数据来源。
1. 对于 OAuth2 身份验证类型,请提供 Okta 应用程序的**用户托管客户端应用程序 ClientId**。
1. 在 AWS Glue 中选择您要用于此连接的 `secretName`,然后放置令牌。
1. 如果要使用网络,请选择网络选项。
1. 向与您的 AWS Glue 作业关联的 IAM 角色授予读取 `secretName` 的权限。
1. 在 AWS Glue 作业配置中,提供 `connectionName` 作为**附加网络连接**。
# 从 Okta 实体读取内容
**先决条件**
+ 要从中读取内容的 Okta 对象。请参阅下面的支持的实体表,查看可用的实体。
**支持的实体**
| 实体 | 可以筛选 | 支持限制 | 支持排序依据 | 支持 Select \$1 | 支持分区 |
| --- | --- | --- | --- | --- | --- |
| 应用程序 | 支持 | 是 | 否 | 是 | 否 |
| 设备 | 支持 | 是 | 否 | 是 | 是 |
| 组 | 支持 | 是 | 是 | 是 | 是 |
| Users | 支持 | 是 | 是 | 是 | 是 |
| 用户类型 | 否 | 否 | 否 | 是 | 否 |
**示例**
```
okta_read = glueContext.create_dynamic_frame.from_options(
connection_type="Okta",
connection_options={
"connectionName": "connectionName",
"ENTITY_NAME": "applications",
"API_VERSION": "v1"
}
```
**Okta 实体和字段详细信息**
实体列表:
+ Application:[https://developer.okta.com/docs/api/openapi/okta-management/management/tag/Application/](https://developer.okta.com/docs/api/openapi/okta-management/management/tag/Application/)
+ Device:[https://developer.okta.com/docs/api/openapi/okta-management/management/tag/Device/](https://developer.okta.com/docs/api/openapi/okta-management/management/tag/Device/)
+ Group:[https://developer.okta.com/docs/api/openapi/okta-management/management/tag/Group/](https://developer.okta.com/docs/api/openapi/okta-management/management/tag/Group/)
+ User:[https://developer.okta.com/docs/api/openapi/okta-management/management/tag/User/](https://developer.okta.com/docs/api/openapi/okta-management/management/tag/User/)
+ User Type:[https://developer.okta.com/docs/api/openapi/okta-management/management/tag/UserType/](https://developer.okta.com/docs/api/openapi/okta-management/management/tag/UserType/)
**对查询进行分区**
如果您想在 Spark 中利用并发,可以提供附加 Spark 选项 `PARTITION_FIELD`、`LOWER_BOUND`、`UPPER_BOUND` 和 `NUM_PARTITIONS`。使用这些参数,原始查询将被拆分为 `NUM_PARTITIONS` 个子查询,这些子查询可以由 Spark 任务同时执行。
+ `PARTITION_FIELD`:用于对查询进行分区的字段的名称。
+ `LOWER_BOUND`:所选分区字段的包含下限值。
对于日期,我们接受 Spark SQL 查询中使用的 Spark 日期格式。有效值示例:`"2024-02-06"`。
+ `UPPER_BOUND`:所选分区字段的排除上限值。
+ `NUM_PARTITIONS`:分区的数量。
**示例**
```
okta_read = glueContext.create_dynamic_frame.from_options(
connection_type="okta",
connection_options={
"connectionName": "connectionName",
"ENTITY_NAME": "lastUpdated",
"API_VERSION": "v1",
"PARTITION_FIELD": "lastMembershipUpdated"
"LOWER_BOUND": "2022-08-10T10:28:46.000Z"
"UPPER_BOUND": "2024-08-10T10:28:46.000Z"
"NUM_PARTITIONS": "10"
}
```
# Okta 连接选项参考
以下是 Okta 的连接选项:
+ `ENTITY_NAME`(字符串)–(必填)用于读/写。Okta 中对象的名称。
+ `API_VERSION`(字符串)–(必填)用于读/写。要使用的 Okta Rest API 版本。示例:v1。
+ `SELECTED_FIELDS`(列表<字符串>)–默认:empty(SELECT \$1)。用于读取。您想要为对象选择的列。
+ `FILTER_PREDICATE`(字符串)– 默认:空。用于读取。应采用 Spark SQL 格式。
+ `QUERY`(字符串)– 默认:空。用于读取。完整的 Spark SQL 查询。
+ `PARTITION_FIELD`(字符串)– 用于读取。用于分区查询的字段。
+ `LOWER_BOUND`(字符串)– 用于读取。所选分区字段的包含下限值。
+ `UPPER_BOUND`(字符串)– 用于读取。所选分区字段的排除上限值。
+ `NUM_PARTITIONS`(整数)– 默认:1。用于读取。要读取的分区数。
# Okta 新账户和开发人员应用程序创建步骤
在 Okta 上创建开发人员账户,以获取 Okta API 访问权限。免费的 Okta 开发人员账户可访问大部分关键的开发人员功能,以实现 Okt API 访问。
**在 Okta 上创建开发人员账户**
1. 导航到 [https://developer.okta.com/signup/](https://console.cloud.google.com)。
1. 输入账户信息、电子邮件、名字、姓氏和国家/地区。选择**我不是机器人**,然后选择**注册**。
1. 验证电子邮件将发送到注册邮箱 ID。电子邮件包含用于激活 Okta 开发人员账户的链接。选择**激活**。
1. 您将重定向到密码重置页面。输入新密码两次,然后选择**重置密码**。
1. 您将重定向到 Okta 开发人员账户控制面板。
**创建客户端应用程序和 OAuth 2.0 凭证**
1. 在开发人员控制面板中,选择创建应用程序集成。
![\[屏幕截图显示的是“创建 OAuth 客户端 ID”页面和“授权重定向 URI”部分。在此处添加 URI,并根据需要选择“添加 URI”。操作完成后选择“创建”。\]](http://docs.aws.amazon.com/zh_cn/glue/latest/dg/images/create-client-app-step-1.png)
1. 将显示**新建应用程序集成**窗口,并提供各种登录方法。选择 **OIDC – OpenID Connect**。
1. 向下滚动到“应用程序类型”部分。选择 **Web 应用程序**,然后选择**下一步**。
1. 在“新建 Web 应用程序集成”屏幕上,填写以下信息:
+ 应用程序集成名称:输入应用程序的名称。
+ 授予类型:请从列表中选择**授权码**和**刷新令牌**。
+ 登录重定向 URI:选择**添加 URI** 并添加 `https://{regioncode}.console.aws.amazon.com/appflow/oauth`。例如,如果正在使用 `us-west-2 (Oregon)`,则可添加 `https://us-east-1.console.aws.amazon.com/appflow/oauth`。
+ 受控访问权限:根据需要将应用程序分配给用户组,然后选择**保存**。
1. 客户端 ID 和客户端密钥现已生成。
# 限制
以下是 Okta 连接器的限制:
+ 对于“Applications”实体,只能应用一个筛选条件。如果应用多个筛选条件,则会返回 400 错误请求,并显示错误摘要“搜索条件无效”。
+ 仅搜索查询支持排序依据。例如,` http://dev-15940405.okta.com/api/v1/groups?search=type e.q. "OKTA_GROUP"&sortBy=lastUpdated&sortOrder=asc `