Okta'yi kimlik sağlayıcısı olarak yapılandırma (önizleme)

Bu makalede Okta'nın Microsoft Entra İzin Yönetimi'deki bir Amazon Web Services (AWS) hesabı için kimlik sağlayıcısı (IdP) olarak nasıl tümleştirdiği açıklanır.

Gerekli İzinler:

Firma Gerekli İzinler Neden?
İzin Yönetimi İzin Yönetimi Yönetici istrator Yönetici AWS yetkilendirme sistemi ekleme yapılandırmasını oluşturabilir ve düzenleyebilir.
Okta API Access Management Yönetici istrator Yönetici uygulamayı Okta portalına ekleyebilir ve API kapsamını ekleyebilir veya düzenleyebilir.
AWS AWS izinleri açıkça Yönetici 1 oluşturmak için bulutformasyon yığınını çalıştırabilmelidir. Gizli Dizi Yöneticisi'nde AWS Gizli Dizisi; 2. Rolün AWS gizli dizisini okumasına izin veren yönetilen ilke.

Dekont

Okta'da Amazon Web Services (AWS) uygulamasını yapılandırırken önerilen AWS rol grubu söz dizimi (aws#{account alias]#{role name}#{account #]). Grup filtresi adı için örnek RegEx deseni şunlardır:

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) İzin Yönetimi varsayılan önerilen filtreleri okur. Grup söz dizimi için özel RegEx ifadesi desteklenmez.

Okta'nın kimlik sağlayıcısı olarak yapılandırılması

  1. API Access Management Yönetici istrator ile Okta portalında oturum açın.
  2. Yeni bir Okta API Hizmetleri Uygulaması oluşturun.
  3. Yönetici Konsolu'nda Uygulamalar'a gidin.
  4. Yeni uygulama tümleştirmesi oluştur sayfasında API Hizmetleri'ni seçin.
  5. Uygulama tümleştirmeniz için bir ad girin ve Kaydet'e tıklayın.
  6. gelecekte kullanmak üzere İstemci Kimliğini kopyalayın.
  7. İstemci kimlik doğrulama yöntemini değiştirmek için Genel sekmesinin İstemci Kimlik Bilgileri bölümünde Düzenle'ye tıklayın.
  8. İstemci kimlik doğrulama yöntemi olarak Ortak anahtar/Özel anahtar'ı seçin.
  9. Okta'da varsayılan Kaydet tuşlarını bırakın, ardından Anahtar ekle'ye tıklayın.
  10. Ekle'ye tıklayın ve Ortak anahtar ekle iletişim kutusunda kendi ortak anahtarınızı yapıştırın veya Yeni anahtar oluştur'a tıklayarak yeni bir 2048 bit RSA anahtarını otomatik olarak oluşturun.
  11. Ortak Anahtar Kimliğini gelecekte kullanmak üzere kopyalayın.
  12. Yeni anahtar oluştur'a tıklar ve ortak ve özel anahtarlar JWK biçiminde görünür.
  13. PEM'ye tıklayın. Özel anahtar PEM biçiminde görünür. Bu, özel anahtarı kaydetmek için tek fırsatınızdır. Özel anahtarı kopyalamak ve güvenli bir yerde depolamak için Panoya kopyala'ya tıklayın.
  14. Bitti'ye tıklayın. Yeni ortak anahtar artık uygulamaya kaydedilir ve Genel sekmesinin ORTAK ANAHTARLAR bölümündeki bir tabloda görünür.
  15. Okta API kapsamları sekmesinden şu kapsamları verin:
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. isteğe bağlı. Bu hizmet uygulamasının hız sınırı kapasite yüzdesini ayarlamak için Uygulama hız sınırları sekmesine tıklayın. Varsayılan olarak, her yeni uygulama bu yüzdeyi yüzde 50 olarak ayarlar.

Ortak anahtarı Base64 dizesine dönüştürme

  1. Kişisel erişim belirteci (PAT) kullanma yönergelerine bakın.

Okta URL'nizi bulma (Okta etki alanı olarak da adlandırılır)

Bu Okta URL'si/Okta etki alanı AWS gizli dizisine kaydedilir.

  1. Okta kuruluşunuzda yönetici hesabınızla oturum açın.
  2. Panonun genel üst bilgisinde Okta URL'sini/Okta etki alanını arayın. Bir kez bulunduktan sonra, Not Defteri gibi bir uygulamada Okta URL'sini not edin. Sonraki adımlarınız için bu URL'ye ihtiyacınız olacak.

AWS yığını ayrıntılarını yapılandırma

  1. Okta uygulamanızdaki bilgileri kullanarak CloudFormation Şablonu Yığın ayrıntılarını belirtin ekranında aşağıdaki alanları doldurun:
    • Yığın adı - Seçtiğimiz bir ad
    • Veya URL Kuruluşunuzun Okta URL'si, örneğin: https://companyname.okta.com
    • İstemci Kimliği - Okta uygulamanızın İstemci Kimlik Bilgileri bölümünden
    • Ortak Anahtar Kimliği - Yeni anahtar oluştur ekle'ye > tıklayın. Ortak anahtar oluşturulur
    • Özel Anahtar (PEM biçiminde) - Özel anahtarın PEM biçiminin Base64 kodlanmış dizesi

    Dekont

    Base64 dizesine dönüştürmeden önce alandaki tüm metni kopyalamanız gerekir. Buna BEGIN PRIVATE KEY öncesinde ve END PRIVATE KEY sonrasındaki tire de dahil olmak üzere.

  2. CloudFormation Şablonu Yığın ayrıntılarını belirtin ekranı tamamlandığında İleri'ye tıklayın.
  3. Yığın seçeneklerini yapılandır ekranında İleri'ye tıklayın.
  4. Girdiğiniz bilgileri gözden geçirin ve Gönder'e tıklayın.
  5. Kaynaklar sekmesini seçin ve daha sonra kullanmak üzere Fiziksel Kimliği (bu kimlik Gizli ARN'dir) kopyalayın.

Microsoft Entra İzin Yönetimi'de Okta'yi yapılandırma

Dekont

Okta'nın kimlik sağlayıcısı olarak tümleştirilmesi isteğe bağlı bir adımdır. İstediğiniz zaman idP yapılandırmak için bu adımlara dönebilirsiniz.

  1. İzin Yönetimi başlatıldığında Veri Toplayıcıları panosu görüntülenmiyorsa Ayarlar(dişli simgesi) ve ardından Veri Toplayıcıları alt sekmesini seçin.

  2. Veri Toplayıcıları panosunda AWS'yi ve ardından Yapılandırma Oluştur'u seçin. Yetkilendirme Sistemini Yönet adımlarını tamamlayın.

    Dekont

    AWS hesabınızda zaten bir Veri Toplayıcı varsa ve Okta tümleştirmesi eklemek istiyorsanız şu adımları izleyin:

    1. Okta tümleştirmesi eklemek istediğiniz Veri Toplayıcısı'nı seçin.
    2. Yetkilendirme Sistemi Durumu'nın yanındaki üç noktaya tıklayın.
    3. Kimlik Sağlayıcısını Tümleştir'i seçin.
  3. Kimlik Sağlayıcısını Tümleştir (IdP) sayfasında Okta kutusunu seçin.

  4. CloudFormation Şablonunu Başlat'ı seçin. Şablon yeni bir pencerede açılır.

    Dekont

    Burada, Kimlik Sağlayıcısını Tümleştir (IdP) sayfasında gireceğiniz gizli bir Amazon Kaynak Adı (ARN) oluşturmak için bilgileri dolduracaksınız. Microsoft bu ARN'i okumaz veya depolamaz.

  5. İzin Yönetimi Tümleştirme Kimlik Sağlayıcısı (IdP) sayfasına dönün ve gizli dizi ARN'sini sağlanan alana yapıştırın.

  6. Girdiğiniz bilgileri gözden geçirmek ve onaylamak için İleri'ye tıklayın.

  7. Şimdi Doğrula ve Kaydet'e tıklayın. Sistem, doldurulmuş AWS CloudFormation Şablonunu döndürür.

Sonraki adımlar

  • Mevcut rolleri/ilkeleri, istekleri ve izinleri görüntüleme hakkında bilgi için Düzeltme panosunda Rolleri/ilkeleri, istekleri ve izinleri görüntüleme bölümüne bakın.