Configuration d’Okta en tant que fournisseur d’identité (préversion)
Cet article explique comment intégrer Okta en tant que fournisseur d'identité (IdP) pour un compte Amazon Web Services (AWS) dans Gestion des autorisations Microsoft Entra.
Autorisations requises :
Compte | Autorisations requises | Pourquoi ? |
---|---|---|
Permissions Management | Administrateur de gestion des autorisations | L’administrateur peut créer et modifier la configuration d’intégration du système d’autorisation AWS. |
Okta | Administrateur de gestion des accès aux API | L’administrateur peut ajouter l’application dans le portail Okta et ajouter ou modifier l’étendue de l’API. |
AWS | Autorisations AWS explicitement | L’administrateur doit pouvoir exécuter la pile cloudformation pour créer 1. Secret AWS dans Gestionnaire de secrets, 2. Stratégie managée pour permettre au rôle de lire le secret AWS. |
Remarque
Lors de la configuration de l’application Amazon Web Services (AWS) dans Okta, la syntaxe de groupe de rôles AWS suggérée est (aws#{account alias]#{role name}#{account #]
).
Voici un exemple de modèle RegEx pour le nom du filtre de groupe :
^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
- Gestion des autorisations
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)
lit les filtres suggérés par défaut. L’expression RegEx personnalisée pour une syntaxe de groupe n’est pas prise en charge.
Comment configurer Okta en tant que fournisseur d’identité
- Connectez-vous au portail Okta avec l’administrateur de gestion des accès aux API.
- Créez une application de services d’API Okta.
- Dans la Console d’administration, accédez à Applications.
- Dans la page Créer une nouvelle intégration d’application, sélectionnez Services d’API.
- Entrez un nom pour l’intégration de votre application, puis cliquez sur Enregistrer.
- Copiez l’ID client pour une utilisation ultérieure.
- Dans la section Informations d’identification du client de l’onglet Général, cliquez sur Modifier pour modifier la méthode d’authentification du client.
- Sélectionnez Clé publique/Clé privée comme méthode d’authentification du client.
- Conservez la valeur par défaut Enregistrer les clés dans Okta, puis cliquez sur Ajouter une clé.
- Cliquez sur Ajouter et, dans la boîte de dialogue Ajouter une clé publique, collez votre propre clé publique ou cliquez sur Générer une nouvelle clé pour générer automatiquement une nouvelle clé RSA 2048 bits.
- Copiez ID de clé publique pour une utilisation ultérieure.
- Cliquez sur Générer une nouvelle clé et les clés publiques et privées s’affichent au format JWK.
- Cliquez sur PEM. La clé privée apparaît au format PEM. Il s’agit de votre seule opportunité d’enregistrer la clé privée. Cliquez sur Copier dans le Presse-papiers pour copier la clé privée et la stocker quelque part en toute sécurité.
- Cliquez sur Terminé. La nouvelle clé publique est maintenant inscrite auprès de l’application et apparaît dans une table dans la section CLÉS PUBLIQUES de l’onglet Général.
- Sous l’onglet Étendues de l’API Okta, octroyez ces étendues :
- okta.users.read
- okta.groups.read
- okta.apps.read
- facultatif. Cliquez sur l’onglet Limites du taux d’application pour ajuster le pourcentage de capacité de limite de débit pour cette application de service. Par défaut, chaque nouvelle application définit ce pourcentage à 50 %.
Convertir une clé publique en chaîne Base64
- Consultez les instructions pour à l’aide d’un jeton d’accès personnel (PAT).
Recherchez votre URL Okta (également appelée domaine Okta)
Cette URL Okta ou ce domaine Okta est enregistré dans le secret AWS.
- Connectez-vous à votre organisation Okta avec votre compte d’administrateur.
- Recherchez l’URL Okta ou le domaine Okta dans l’en-tête global du tableau de bord. Une fois localisée, notez l’URL Okta dans une application telle que le Bloc-notes. Vous aurez besoin de cette URL pour les étapes suivantes.
Configurer les détails de la pile AWS
- Renseignez les champs suivants sur l’écran Modèle CloudFormation Spécifier les détails de la pile à l’aide des informations de votre application Okta :
- Nom de la pile : Nom au choix
- Ou URL L’URL Okta de votre organisation, par exemple : https://companyname.okta.com
- ID client : à partir de la section Informations d’identification du client de votre application Okta
- ID de clé publique : Cliquez sur Ajouter > Générer une nouvelle clé. La clé publique est générée
- Clé privée (au format PEM) : Chaîne encodée en Base64 du format PEM de la Clé privée
Remarque
Vous devez copier tout le texte dans le champ avant de procéder à la conversion en chaîne Base64, y compris le tiret avant BEGIN PRIVATE KEY et après END PRIVATE KEY.
- Lorsque l’écranModèle CloudFormation Spécifier les détails de la pile est rempli, cliquez sur Suivant.
- Sur l'écran Configurer les options de pile, cliquez sur Suivant.
- Passez en revue les informations que vous avez entrées, puis cliquez sur Envoyer.
- Sélectionnez l’onglet Ressources, puis copiez l’ID physique (il s’agit de l’ARN secret) pour une utilisation ultérieure.
Configurer Okta dans Gestion des autorisations Microsoft Entra
Remarque
L’intégration d’Okta en tant que fournisseur d’identité est une étape facultative. Vous pouvez à tout moment reprendre ces étapes pour configurer un IdP.
Si le tableau de bord Data Collectors (Collecteurs de données) ne s’affiche pas au lancement de la Gestion des autorisations, sélectionnez Settings (Paramètres) (icône d’engrenage), puis sélectionnez le sous-onglet Data Collectors (Collecteurs de données).
Dans le tableau de bord Data Collectors, sélectionnez AWS, puis Create Configuration. Effectuez les étapes Gérer le système d’autorisation.
Remarque
S’il existe déjà un collecteur de données dans votre compte AWS et que vous souhaitez ajouter l’intégration Okta, suivez ces étapes :
- Sélectionnez le collecteur de données pour lequel vous voulez ajouter une intégration Okta.
- Cliquez sur les points de suspension en regard de État du système d’autorisation.
- Sélectionnez Integrate Identity Provider (Intégrer un fournisseur d’identité).
Dans la page Intégrer un fournisseur d'identité (IdP), cochez la case Okta.
Sélectionnez Démarrer un modèle CloudFormation. Le modèle s'ouvre dans une nouvelle fenêtre.
Remarque
Ici, vous allez renseigner des informations pour créer un nom de ressource Amazon (ARN) secret que vous entrerez dans la page Intégrer un fournisseur d’identité (IDP). Microsoft ne lit pas ou ne stocke pas cet ARN.
Revenez à la page de Gestion des autorisations Intégrer un fournisseur d’identité (IdP) et collez l’ARN secret dans le champ fourni.
Cliquez sur Next (Suivant) pour vérifier et confirmer les informations que vous avez entrées.
Cliquez sur Vérifier maintenant et enregistrer. Le système retourne le modèle AWS CloudFormation rempli.
Étapes suivantes
- Pour plus d’informations sur la façon d’afficher les rôles/stratégies, les demandes et les autorisations existants, consultez Afficher les rôles/stratégies, les demandes et l’autorisation dans le tableau de bord Remediation.