Comment configurer SAML 2.0 pour la fédération des comptes AWS

SAML est une norme pour l'exploitation forestière en permettant aux fournisseurs d'identité de transmettre des informations d'identification aux fournisseurs de services. Il y a plusieurs avantages à cette norme de connexion unique (SSO) sur la signature de l'utilisation de noms d'utilisateur et de mots de passe, comme vous n'avez pas besoin de taper des informations d'identification, et personne n'a à se souvenir des mots de passe et à les renouveler. La plupart des organisations sont désormais conscientes des identités des utilisateurs car elles se connectent à leur répertoire actif. L'utilisation de ces données pour enregistrer les utilisateurs dans d'autres programmes, tels que les applications Web, a du sens, et l'une des façons les plus sophistiquées de le faire est d'utiliser SAML. L'identification du client est déplacée d'un endroit (fournisseur d'identité) à un autre (fournisseur de services) à l'aide de SAML SSO. Ceci est réalisé par l'échange de documents XML qui sont signés numériquement.

Les utilisateurs finaux peuvent utiliser SAML SSO pour s'authentifier avec un ou plusieurs comptes AWS et accéder à des positions particulières grâce à l'intégration d'Okta avec AWS. Les administrateurs d'Okta peuvent télécharger des rôles dans Okta à partir d'un ou plusieurs AWS et les allouer aux utilisateurs. De plus, les administrateurs d'Okta peuvent également définir la longueur de la session utilisateur authentifiée à l'aide d'Okta. Des écrans AWS contenant une liste de rôles utilisateur AWS sont fournis aux utilisateurs finaux. Ils peuvent choisir un rôle de connexion à assumer, qui déterminera leurs autorisations pour la durée de cette session authentifiée.

Pour ajouter un seul compte AWS à Okta, suivez ces instructions ci-dessous:

Configuration d'Okta en tant que fournisseur d'identité:

Tout d'abord, vous devez configurer Okta en tant que fournisseur d'identité et établir une connexion SAML. Connectez-vous à votre console AWS et sélectionnez l'option «Identity and Access Management» dans le menu déroulant. Dans la barre de menu, ouvrez les «fournisseurs d'identité» et créez une nouvelle instance pour les fournisseurs d'identité en cliquant sur «Ajouter un fournisseur.«Un nouvel écran apparaîtra, connu sous le nom d'écran de configuration du fournisseur.

Ici, sélectionnez «SAML» comme «Type de fournisseur», entrez «Okta» comme «Nom du fournisseur» et téléchargez le document de métadonnées contenant la ligne suivante:

Une fois que vous avez terminé la configuration du fournisseur d'identité, accédez à la liste des fournisseurs d'identité et copiez la valeur «Provider ARN» pour le fournisseur d'identité que vous venez de développer.

Ajout du fournisseur d'identité comme source de confiance:

Après avoir configuré Okta en tant que fournisseur d'identité qu'Okta peut récupérer et allouer aux utilisateurs, vous pouvez créer ou mettre à jour les positions IAM existantes. Okta SSO ne peut offrir que vos rôles d'utilisateurs configurés pour accorder l'accès au fournisseur d'identité OKTA SAML précédemment installé.

Pour donner accès à des rôles déjà présents dans le compte, choisissez d'abord le rôle que vous souhaitez que Okta SSO utilise à partir de l'option «Rôles» dans la barre de menu. Modifiez la «relation de confiance» pour ce rôle de l'onglet Relation du texte. Pour permettre à SSO à Okta d'utiliser le fournisseur d'identité SAML que vous avez configuré précédemment, vous devez modifier la politique de relation IAM Trust. Si votre politique est vide, écrivez le code suivant et remplacez avec la valeur que vous avez copiée lors de la configuration d'Okta:

Sinon, modifiez simplement le document déjà écrit. Dans le cas où vous souhaitez donner accès à un nouveau rôle, allez pour créer un rôle à partir de l'onglet Rôles. Pour le type d'entité de confiance, utilisez SAML 2.0 Fédération. Passez à l'autorisation après avoir sélectionné le nom de l'IDP comme fournisseur SAML, je.e., Okta, et permettre l'accès à la gestion et au contrôle programmatique. Sélectionnez la stratégie à attribuer à ce nouveau rôle et terminez la configuration.

Génération de la clé d'accès API pour Okta pour le téléchargement des rôles:

Pour que Okta importe automatiquement une liste de rôles possibles à partir de votre compte, créez un utilisateur AWS avec des autorisations uniques. Cela rend rapidement et sûr pour les administrateurs de déléguer les utilisateurs et les groupes à des rôles AWS particuliers. Pour ce faire, sélectionnez d'abord IAM dans la console. Dans cette liste, cliquez sur les utilisateurs et ajoutez l'utilisateur de ce panneau.

Cliquez sur les autorisations après avoir ajouté le nom d'utilisateur et donné à l'accès programmatique. Créer une stratégie après avoir sélectionné l'option directement «Piècer» et cliquez sur «Créer une stratégie."Ajoutez le code ci-dessous, et votre document de politique ressemblera à ceci:

Pour plus de détails, reportez-vous à la documentation AWS si nécessaire. Entrez le nom préféré de votre politique. Revenez à votre onglet Ajouter un utilisateur et joignez la stratégie récemment créée. Recherchez et choisissez la stratégie que vous venez de créer. Maintenant, enregistrez les touches affichées, je.e., ID de clé d'accès et clé d'accès secret.

Configuration de la Fédération du compte AWS:

Après avoir terminé toutes les étapes ci-dessus, ouvrez l'application AWS Compte Federation et modifiez certains paramètres par défaut dans OKTA. Dans l'onglet Signer, modifiez votre type d'environnement. L'URL ACS peut être définie dans la zone URL ACS. Généralement, la zone URL ACS est facultative; Vous n'avez pas besoin de l'insérer si votre type d'environnement est déjà spécifié. Entrez la valeur ARN du fournisseur du fournisseur d'identité que vous avez créé lors de la configuration d'Okta et spécifiez également la durée de la session. Fusionner tous les rôles disponibles attribués à quiconque en cliquant sur l'option de jointure de tous les rôles.

Après avoir enregistré toutes ces modifications, veuillez choisir l'onglet suivant, je.e., Onglet d'approvisionnement et modifier ses spécifications. L'intégration de l'application de la Fédération AWS ne prend pas en charge l'approvisionnement. Fournir un accès à l'API à Okta pour télécharger la liste des rôles AWS utilisés lors de l'affectation de l'utilisateur en activant l'intégration de l'API. Entrez les valeurs des touches que vous avez enregistrées après avoir généré les clés d'accès dans les champs respectifs. Fournissez des identifiants de tous vos comptes connectés et vérifiez les informations d'identification de l'API en cliquant sur l'option TEST API IDEDENTIELS.

Créer des utilisateurs et modifier les attributs de compte pour mettre à jour toutes les fonctions et autorisations. Maintenant, sélectionnez un utilisateur de test dans l'écran Assign des personnes qui testera la connexion SAML. Sélectionnez toutes les règles que vous souhaitez attribuer à cet utilisateur de test dans les rôles d'utilisateur SAML trouvés dans l'écran d'attribution de l'utilisateur. Après avoir terminé le processus d'attribution, le tableau de bord d'Okta affiche une icône AWS. Cliquez sur cette option après avoir signé le compte d'utilisateur de test. Vous verrez un écran de toutes les tâches qui vous sont allouées.

Conclusion:

SAML permet aux utilisateurs d'utiliser un ensemble d'informations d'identification autorisées et de se connecter avec d'autres applications et services Web compatibles SAML sans autre signalisation. AWS SSO facilite la supervision de l'accès fédéré à divers enregistrements, services et applications AWS et offre aux clients une expérience de connexion unique à tous leurs enregistrements, services et applications assignés à partir d'un seul endroit. AWS SSO travaille avec un fournisseur d'identité de son propre choix, je.e., Okta ou Azure via le protocole SAML.