AWS

Come configurare SAML 2.0 per AWS Account Federation

Come configurare SAML 2.0 per AWS Account Federation
SAML è uno standard per la registrazione degli utenti che consente ai provider di identità di passare le credenziali di accesso ai provider di servizi. Ci sono diversi vantaggi a questo standard di accesso singolo (SSO) rispetto all'accesso utilizzando nomi utente e password, ad esempio non è necessario digitare le credenziali e nessuno deve ricordare le password e rinnovarle. La maggior parte delle organizzazioni ora è a conoscenza delle identità degli utenti quando accedono alla propria Active Directory. L'utilizzo di questi dati per accedere agli utenti in altri programmi, come le applicazioni basate sul Web, ha senso e uno dei modi più sofisticati per farlo è utilizzare SAML. L'identificazione del cliente viene spostata da una posizione (fornitore di identità) a un'altra (fornitore di servizi) utilizzando SAML SSO. Ciò è ottenuto mediante lo scambio di documenti XML che sono firmati digitalmente.

Gli utenti finali possono utilizzare SAML SSO per autenticarsi su uno o più account AWS e accedere a posizioni particolari grazie all'integrazione di Okta con AWS. Gli amministratori di Okta possono scaricare ruoli in Okta da uno o più AWS e assegnarli agli utenti. Inoltre, gli amministratori di Okta possono anche impostare la durata della sessione dell'utente autenticato utilizzando Okta. Agli utenti finali vengono fornite schermate AWS contenenti un elenco di ruoli utente AWS. Possono scegliere un ruolo di accesso da assumere, che determinerà le loro autorizzazioni per la durata di quella sessione autenticata.

Per aggiungere un singolo account AWS a Okta, segui queste istruzioni fornite di seguito:

Configurazione di Okta come provider di identità:

Prima di tutto, devi configurare Okta come Identity Provider e stabilire una connessione SAML. Accedi alla tua console AWS e seleziona l'opzione "Gestione identità e accessi" dal menu a discesa. Dalla barra dei menu, apri "Fornitori di identità" e crea una nuova istanza per i fornitori di identità facendo clic su "Aggiungi provider." Apparirà una nuova schermata, nota come schermata Configura provider.

Qui seleziona "SAML" come "Tipo provider", inserisci "Okta" come "Nome provider" e carica il documento di metadati contenente la seguente riga:

Dopo aver terminato la configurazione dell'Identity Provider, vai all'elenco Identity Providers e copia il valore "Provider ARN" per l'Identity Provider che hai appena sviluppato.

Aggiunta del provider di identità come origine attendibile:

Dopo aver configurato Okta come provider di identità che Okta può recuperare e allocare agli utenti, puoi creare o aggiornare le posizioni IAM esistenti. Okta SSO può offrire ai tuoi utenti solo ruoli configurati per concedere l'accesso al provider di identità SAML Okta precedentemente installato.

Per dare accesso ai ruoli già presenti nell'account, seleziona prima il ruolo che vuoi che Okta SSO utilizzi dall'opzione "Ruoli" dalla barra dei menu. Modifica la "Relazione di fiducia" per quel ruolo dalla scheda Relazione di testo. Per consentire a SSO in Okta di utilizzare il provider di identità SAML configurato in precedenza, è necessario modificare la policy di relazione di trust IAM. Se la tua polizza è vuota, scrivi il seguente codice e sovrascrivi con il valore che hai copiato durante la configurazione di Okta:

Altrimenti, modifica semplicemente il documento già scritto. Nel caso in cui desideri concedere l'accesso a un nuovo ruolo, vai su Crea ruolo dalla scheda Ruoli. Per il tipo di entità attendibile, utilizzare SAML 2.0 federazione. Procedere all'autorizzazione dopo aver selezionato il nome di IDP come provider SAML, i.e., Okta e consentendo l'accesso alla gestione e al controllo programmatico. Seleziona la policy da assegnare a quel nuovo ruolo e completa la configurazione.

Generazione della chiave di accesso API per Okta per il download dei ruoli:

Affinché Okta importi automaticamente un elenco di possibili ruoli dal tuo account, crea un utente AWS con autorizzazioni univoche. Ciò consente agli amministratori di delegare utenti e gruppi a particolari ruoli AWS in modo rapido e sicuro. Per fare ciò, seleziona prima IAM dalla console. In quell'elenco, fai clic su Utenti e Aggiungi utente da quel pannello.

Fare clic su Permessi dopo aver aggiunto il nome utente e aver fornito l'accesso programmatico. Crea politica dopo aver selezionato direttamente l'opzione "Allega criteri" e fai clic su "Crea criterio."Aggiungi il codice indicato di seguito e il tuo documento di polizza sarà simile a questo:

Per i dettagli, fare riferimento alla documentazione AWS, se necessario. Inserisci il nome preferito della tua polizza. Torna alla scheda Aggiungi utente e allega la politica creata di recente ad essa. Cerca e scegli la polizza che hai appena creato. Ora salva i tasti visualizzati, i.e., ID chiave di accesso e chiave di accesso segreta.

Configurazione della federazione dell'account AWS:

Dopo aver completato tutti i passaggi precedenti, apri l'app AWS Account Federation e modifica alcune impostazioni predefinite in Okta. Nella scheda Accedi, modifica il tipo di ambiente. L'URL ACS può essere impostato nell'area URL ACS. In genere, l'area URL ACS è facoltativa; non è necessario inserirlo se il tipo di ambiente è già specificato. Inserisci il valore dell'ARN del provider del provider di identità che hai creato durante la configurazione di Okta e specifica anche la durata della sessione. Unisci tutti i ruoli disponibili assegnati a chiunque facendo clic sull'opzione Unisci tutti i ruoli.

Dopo aver salvato tutte queste modifiche, scegli la scheda successiva, i.e., Scheda Provisioning e modifica le sue specifiche. L'integrazione dell'app AWS Account Federation non supporta il provisioning. Fornisci l'accesso API a Okta per scaricare l'elenco dei ruoli AWS utilizzati durante l'assegnazione dell'utente abilitando l'integrazione API. Inserisci i valori delle chiavi che hai salvato dopo aver generato le chiavi di accesso nei rispettivi campi. Fornisci gli ID di tutti i tuoi account collegati e verifica le credenziali API facendo clic sull'opzione Verifica credenziali API.

Crea utenti e modifica gli attributi dell'account per aggiornare tutte le funzioni e i permessi. Ora, seleziona un utente di prova dalla schermata Assegna persone che testerà la connessione SAML. Seleziona tutte le regole che desideri assegnare a quell'utente di prova dai ruoli utente SAML trovati nella schermata di assegnazione utente. Dopo aver completato il processo di assegnazione, il dashboard di Okta di test mostra un'icona AWS. Fare clic su tale opzione dopo aver effettuato l'accesso all'account utente di prova. Vedrai una schermata di tutte le attività a te assegnate.

Conclusione:

SAML consente agli utenti di utilizzare un set di credenziali autorizzate e di connettersi con altre app Web e servizi abilitati per SAML senza ulteriori accessi. AWS SSO semplifica a metà la supervisione dell'accesso federato a vari record, servizi e applicazioni AWS e offre ai clienti un'esperienza di single sign-on a tutti i record, servizi e applicazioni assegnati da un'unica posizione. AWS SSO funziona con un provider di identità di propria scelta, i.e., Okta o Azure tramite protocollo SAML.

Topo Rimappa i pulsanti del mouse in modo diverso per software diversi con X-Mouse Button Control
Rimappa i pulsanti del mouse in modo diverso per software diversi con X-Mouse Button Control
Forse hai bisogno di uno strumento che possa cambiare il controllo del tuo mouse con ogni applicazione che utilizzi. In questo caso, puoi provare un'a...
Topo Recensione del mouse wireless Microsoft Sculpt Touch
Recensione del mouse wireless Microsoft Sculpt Touch
Ho letto di recente del Microsoft Scolpisci il tocco mouse wireless e ho deciso di acquistarlo. Dopo averlo usato per un po', ho deciso di condividere...
Topo Trackpad e puntatore del mouse su schermo AppyMouse per tablet Windows
Trackpad e puntatore del mouse su schermo AppyMouse per tablet Windows
Gli utenti di tablet spesso mancano il puntatore del mouse, soprattutto quando sono abituati a usare i laptop laptop. Gli smartphone e i tablet touchs...