本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 Okta 中一次性设置直接 IAM 联合身份验证应用程序 1. 以具有管理权限的用户身份登录您的 Okta 帐户。 1. 在 Okta 管理控制台中的**应用程序**下,选择**应用程序**。 1. 选择**浏览应用程序目录**。搜索并选择 **AWS 帐户联合身份验证**。然后选择**添加集成**。 1. 按照[如何为 AWS 账户联合配置 SAML 2.0 中的步骤设置直接 IAM 联](https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-Web-Service.html)合 AWS 。为了处理区域故障情况,在配置登录终端节点时,我们建议您为所有运营区域同时启用非区域终端节点和多个区域终端节点,以提高联邦弹性。在为此紧急访问配置 ACS URL 时,我们建议您使用不同于您的 IAM 身份中心所在区域的区域终端节点。有关区域[终端节点列表,请参阅*AWS 一般参考*中的登录](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)终端节点。 1. 在**登录选项**选项卡上,选择 SAML 2.0 并输入**组筛选条件**和**角色值模式**设置。用户目录的组名称取决于您配置的筛选条件。 ![\[两个选项:组筛选器或角色值模式中的 accountid 和 role。\]](http://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/images/emergency-access-group-filter-role-value-pattern.png) 在上图中,`role` 变量适用于您的紧急访问帐户中的紧急操作角色。例如,如果您在中创建`EmergencyAccess_Role1_RO`角色(如映射表中所述) AWS 账户 `123456789012`,并且您的群组筛选器设置配置如上图所示,则您的群组名称应为`aws#EmergencyAccess_Role1_RO#123456789012`。 1. 在您的目录(例如,Active Directory 中的目录)中,创建紧急访问组并指定目录名称(例如, `aws#EmergencyAccess_Role1_RO#123456789012`)。使用现有的预置机制将您的用户分配到该组。 1. 在紧急访问帐户中,[配置自定义信任策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html),该策略提供在中断期间承担紧急访问角色所需的权限。以下是附加到 `EmergencyAccess_Role1_RO` 角色的自定义**信任策略**的示例语句。示例请参见 [如何设计紧急角色、帐户和组映射](emergency-access-mapping-design.md) 下图中的紧急帐户。将示例 SAML 提供商 ARN 替换为您在紧急访问账户中创建的正确提供商 ARN。将示例中的区域终端节点替换为您选择的区域。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/[SAML PROVIDER NAME]" }, "Action":[ "sts:AssumeRoleWithSAML", "sts:TagSession" ], "Condition":{ "StringEquals":{ "SAML:aud": [ "https://signin.aws.amazon.com/saml", "https://us-west-2.signin.aws.amazon.com/saml", "https://us-west-1.signin.aws.amazon.com/saml", "https://us-east-2.signin.aws.amazon.com/saml" ] } } }, { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/Okta" }, "Action":"sts:SetSourceIdentity" } ] } ``` ------ 1. 以下是附加到 `EmergencyAccess_Role1_RO` 角色的**权限策略**的示例语句。示例请参见 [如何设计紧急角色、帐户和组映射](emergency-access-mapping-design.md) 下图中的紧急帐户。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/EmergencyAccess_RO", "arn:aws:iam::444455556666:role/EmergencyAccess_RO" ] } ] } ``` ------ 1. 在工作负载帐户上,配置自定义信任策略。以下是附加到 `EmergencyAccess_RO` 角色的**信任策略**的示例语句。在本例中,帐户 `123456789012` 是紧急访问帐户。有关说明,请参阅 [如何设计紧急角色、帐户和组映射](emergency-access-mapping-design.md) 下图表中的工作负载帐户。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:root" }, "Action":"sts:AssumeRole" } ] } ``` ------ **注意** 大多数都 IdPs 允许您在需要之前停用应用程序集成。我们建议您在 IdP 中保持直接 IAM 联合身份验证应用程序处于停用状态,直到需要紧急访问为止。