本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Okta 為 AppFabric 設定
<a name="okta"></a>

Okta 是世界的 Identity Company。身為領導性獨立身分合作夥伴， 可Okta釋放每個人在任何地點、任何裝置或應用程式安全地使用任何技術。最信任的品牌信任 Okta 來啟用安全存取、身分驗證和自動化。憑藉Okta人力資源身分和客戶身分雲端的核心靈活性和中立性，業務領導者和開發人員可以專注於創新並加速數位轉型，這要歸功於可自訂的解決方案和超過 7，000 個預先建置的整合。 Okta 正在建立一個 Identity 屬於您的世界。如需進一步了解，請參閱 .comokta。

為了安全起見，您可以使用 AWS AppFabric 從 稽核日誌和使用者資料Okta、將資料標準化為開放網路安全結構描述架構 (OCSF) 格式，並將資料輸出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 Amazon Data Firehose 串流。

**Topics**
+ [的 AppFabric 支援 Okta](#okta-appfabric-support)
+ [將 AppFabric 連接到Okta您的帳戶](#okta-appfabric-connecting)

## 的 AppFabric 支援 Okta
<a name="okta-appfabric-support"></a>

AppFabric 支援從 接收使用者資訊和稽核日誌Okta。

### 先決條件
<a name="okta-prerequisites"></a>

若要使用 AppFabric 將稽核日誌從 傳輸Okta到支援的目的地，您必須符合下列要求：
+ 您可以搭配任何Okta計劃類型使用 AppFabric。
+ Okta 您的帳戶中必須有具有**超級管理員**角色的使用者。
+ 在 AppFabric 中核准應用程式授權的使用者也必須在Okta您的帳戶中具有**超級管理員**角色。

### 速率限制考量
<a name="okta-rate-limit"></a>

Okta 對 Okta API 強加速率限制。如需 Okta API 速率限制的詳細資訊，請參閱 Okta 網站上的*Okta開發人員指南*中的[速率限制](https://developer.okta.com/docs/reference/rate-limits/)。如果 AppFabric 和現有 Okta API 應用程式的組合超過 的限制，AppFabric 中出現Okta的稽核日誌可能會延遲。

### 資料延遲考量
<a name="okta-data-delay"></a>

您可能會看到稽核事件最多延遲 30 分鐘交付到目的地。這是因為應用程式提供的稽核事件延遲，以及為了減少資料遺失而採取的預防措施。不過，這可以在帳戶層級自訂。如需協助，請聯絡 [支援](https://aws.amazon.com/contact-us/)。

## 將 AppFabric 連接到Okta您的帳戶
<a name="okta-appfabric-connecting"></a>

在 AppFabric 服務中建立應用程式套件後，您必須使用 授權 AppFabricOkta。若要尋找Okta使用 AppFabric 授權所需的資訊，請使用下列步驟。

### 建立 OAuth 應用程式
<a name="okta-create-oauth-application"></a>

AppFabric Okta使用 OAuth 與 整合。若要建立 OAuth 應用程式以與 AppFabric 連線，請遵循*Okta說明中心*網站上的[建立 OIDC 應用程式整合](https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm)中的指示。以下是 AppFabric 的組態考量：

1. 針對**應用程式類型**，選擇 **Web 應用程式**。

1. 針對**授予類型**，選擇**授權碼**並**重新整理權杖**。

1. 使用具有下列格式的重新導向 URL **做為登入重新導向 URI** **和登出重新導向 URI**。

   ```
   https://<region>.console.aws.amazon.com/appfabric/oauth2
   ```

   在此 URL 中，*<region>* 是您設定 AppFabric 應用程式套件 AWS 區域 之 的程式碼。例如，美國東部 (維吉尼亞北部) 區域的代碼為 `us-east-1`。對於該區域，重新導向 URL 為 `https://us-east-1.console.aws.amazon.com/appfabric/oauth2`。

1. 您可以略過**信任的原始**伺服器組態。

1. 在**受控存取**組態中將存取權授予Okta組織中的每個人。
**注意**  
如果您在初始 OAuth 應用程式建立期間略過此步驟，您可以使用應用程式組態頁面上**的指派**索引標籤，將組織中的每個人指派為群組。

1. 您可以保留所有其他選項及其預設值。

### 必要範圍
<a name="okta-required-scopes"></a>

您必須將下列範圍新增至 Okta OAuth 應用程式：
+ `okta.logs.read`
+ `okta.users.read`

### 應用程式授權
<a name="okta-app-authorizations"></a>

#### 租戶 ID
<a name="okta-tenant-id"></a>

AppFabric 將請求租戶 ID。AppFabric 中的租戶 ID 是您的Okta網域。如需尋找Okta網域的詳細資訊，請參閱 Okta 網站上的*Okta開發人員指南*中的[尋找您的Okta網域](https://developer.okta.com/docs/guides/find-your-domain/main/)。

#### 租戶名稱
<a name="okta-tenant-name"></a>

輸入可識別此唯一Okta組織的名稱。AppFabric 使用租戶名稱來標記應用程式授權，以及從應用程式授權建立的任何擷取。

#### 用戶端 ID
<a name="okta-client-id"></a>

AppFabric 會請求用戶端 ID。若要在 中尋找您的用戶端 IDOkta，請使用下列步驟：

1. 導覽至Okta開發人員主控台。

1. 選擇**應用程式**索引標籤。

1. 選擇您的應用程式，然後選擇**一般**索引標籤。

1. 捲動至**用戶端登入**資料區段。

1. 在 AppFabric 的用戶端 ID 欄位中輸入 OAuth 用戶端的**用戶端 ID**。

#### Client secret (用戶端密碼)
<a name="okta-client-secret"></a>

AppFabric 將請求用戶端秘密。若要在 中尋找您的用戶端秘密Okta，請使用下列步驟：

1. 導覽至Okta開發人員主控台。

1. 選擇**應用程式**索引標籤。

1. 選擇您的應用程式，然後選擇**一般**索引標籤。

1. 捲動至**用戶端登入**資料區段。

1. 將 OAuth 應用程式的用戶端秘密輸入 AppFabric 中的**用戶端秘密**欄位。

#### 核准授權
<a name="okta-approve-authorization"></a>

在 AppFabric 中建立應用程式授權後，您會收到來自 的快顯視窗Okta，以核准授權。若要核准 AppFabric 授權，請選擇**允許**。核准Okta授權的使用者必須在 中具有**超級管理員**許可Okta。