AWS

Как настроить SAML 2.0 для AWS Account Federation

Как настроить SAML 2.0 для AWS Account Federation
SAML - это стандарт для регистрации пользователей, позволяющий поставщикам удостоверений передавать учетные данные для входа поставщикам услуг. У этого стандарта единого входа (SSO) есть несколько преимуществ перед входом с использованием имен пользователей и паролей, например, вам не нужно вводить учетные данные, и никто не должен запоминать пароли и обновлять их. Большинство организаций теперь осведомлены об идентификаторах пользователей, когда они входят в свою Active Directory. Использование этих данных для входа пользователей в другие программы, такие как веб-приложения, имеет смысл, и один из самых сложных способов сделать это - использовать SAML. Идентификация клиента перемещается из одного места (поставщик удостоверений) в другое (поставщик услуг) с использованием системы единого входа SAML. Это достигается за счет обмена XML-документами с цифровой подписью.

Конечные пользователи могут использовать систему единого входа SAML для аутентификации в одной или нескольких учетных записях AWS и получения доступа к определенным позициям благодаря интеграции Okta с AWS. Администраторы Okta могут загружать роли в Okta с одного или нескольких AWS и назначать их пользователям. Более того, администраторы Okta могут также установить продолжительность сеанса аутентифицированного пользователя с помощью Okta. Экраны AWS, содержащие список ролей пользователей AWS, предоставляются конечным пользователям. Они могут выбрать роль входа в систему, которая будет определять их разрешения на протяжении этого аутентифицированного сеанса.

Чтобы добавить одну учетную запись AWS в Okta, следуйте этим инструкциям, приведенным ниже:

Настройка Okta в качестве поставщика удостоверений:

Прежде всего, вам необходимо настроить Okta в качестве поставщика удостоверений и установить соединение SAML. Войдите в консоль AWS и выберите в раскрывающемся меню параметр «Управление идентификацией и доступом». В строке меню откройте «Поставщики удостоверений» и создайте новый экземпляр для поставщиков удостоверений, нажав «Добавить поставщика».»Появится новый экран, известный как экран« Настройка поставщика ».

Здесь выберите «SAML» в качестве «Тип провайдера», введите «Okta» в качестве «Имя провайдера» и загрузите документ метаданных, содержащий следующую строку:

После того, как вы закончили настройку поставщика удостоверений, перейдите к списку поставщиков удостоверений и скопируйте значение «Provider ARN» для только что разработанного поставщика удостоверений.

Добавление поставщика удостоверений в качестве надежного источника:

После настройки Okta в качестве поставщика удостоверений, который Okta может извлекать и выделять пользователям, вы можете создавать или обновлять существующие позиции IAM. Okta SSO может предлагать вашим пользователям только роли, настроенные для предоставления доступа к ранее установленному провайдеру удостоверений SAML Okta.

Чтобы предоставить доступ к уже существующим ролям в учетной записи, сначала выберите роль, которую вы хотите, чтобы Okta SSO использовала, из параметра «Роли» в строке меню. Отредактируйте «Доверительные отношения» для этой роли на вкладке текстовых отношений. Чтобы разрешить единому входу в Okta использовать поставщика удостоверений SAML, который вы настроили ранее, необходимо изменить политику доверительных отношений IAM. Если ваша политика пуста, напишите следующий код и перезапишите со значением, которое вы скопировали при настройке Okta:

В противном случае просто отредактируйте уже написанный документ. Если вы хотите предоставить доступ к новой роли, перейдите в раздел «Создать роль» на вкладке «Роли». В качестве типа доверенного объекта используйте SAML 2.0 федерация. Перейти к разрешению после выбора имени IDP в качестве поставщика SAML, i.е., Okta и предоставление доступа к управлению и программному контролю. Выберите политику, которая будет назначена этой новой роли, и завершите настройку.

Создание ключа доступа к API для Okta для загрузки ролей:

Чтобы Okta могла автоматически импортировать список возможных ролей из вашей учетной записи, создайте пользователя AWS с уникальными разрешениями. Это позволяет администраторам быстро и безопасно делегировать пользователям и группам определенные роли AWS. Для этого сначала выберите в консоли IAM. В этом списке нажмите «Пользователи» и «Добавить пользователя» на этой панели.

Нажмите Разрешения после добавления имени пользователя и предоставления программного доступа. Создайте политику после выбора опции «Присоединить политики» и нажмите «Создать политику».Добавьте приведенный ниже код, и ваш документ с политикой будет выглядеть следующим образом:

Дополнительные сведения см. В документации AWS при необходимости. Введите желаемое название вашей политики. Вернитесь на вкладку «Добавить пользователя» и прикрепите к ней недавно созданную политику. Найдите и выберите только что созданную политику. Теперь сохраните отображаемые ключи, я.е., Идентификатор ключа доступа и секретный ключ доступа.

Настройка федерации учетных записей AWS:

После выполнения всех вышеперечисленных шагов откройте приложение федерации учетных записей AWS и измените некоторые настройки по умолчанию в Okta. На вкладке "Вход в систему" измените тип среды. URL-адрес ACS может быть установлен в области URL-адреса ACS. Как правило, область URL-адреса ACS необязательна; вам не нужно вставлять его, если ваш тип среды уже указан. Введите значение Provider ARN поставщика удостоверений, созданного вами при настройке Okta, а также укажите продолжительность сеанса. Объедините все доступные роли, назначенные кому-либо, нажав на опцию Присоединиться ко всем ролям.

После сохранения всех этих изменений выберите следующую вкладку, я.е., Вкладка Provisioning и отредактируйте ее характеристики. Интеграция приложения AWS Account Federation не поддерживает подготовку. Предоставьте API-доступ к Okta для загрузки списка ролей AWS, используемых во время назначения пользователя, включив интеграцию API. Введите значения ключей, которые вы сохранили после создания ключей доступа, в соответствующие поля. Предоставьте идентификаторы всех подключенных учетных записей и проверьте учетные данные API, нажав на параметр «Проверить учетные данные API».

Создание пользователей и изменение атрибутов учетной записи для обновления всех функций и разрешений. Теперь выберите тестового пользователя на экране «Назначить людей», который будет тестировать соединение SAML. Выберите все правила, которые вы хотите назначить для этого тестового пользователя, из ролей пользователей SAML на экране назначения пользователей. После завершения процесса назначения на панели инструментов тестовой Okta отображается значок AWS. Нажмите на эту опцию после входа в тестовую учетную запись пользователя. Вы увидите экран со всеми назначенными вам задачами.

Заключение:

SAML позволяет пользователям использовать один авторизованный набор учетных данных и подключаться к другим веб-приложениям и службам с поддержкой SAML без дополнительных входов. AWS SSO упрощает наполовину надзор за федеративным доступом к различным записям, сервисам и приложениям AWS и дает клиентам возможность единого входа для всех назначенных им записей, сервисов и приложений из одного места. AWS SSO работает с выбранным вами поставщиком удостоверений, i.е., Okta или Azure по протоколу SAML.

Игры SuperTuxKart для Linux
SuperTuxKart для Linux
SuperTuxKart - отличная игра, созданная для того, чтобы бесплатно познакомить вас с Mario Kart в вашей системе Linux. Играть в нее довольно сложно и в...
Игры Учебник Battle for Wesnoth
Учебник Battle for Wesnoth
Битва за Веснот - одна из самых популярных стратегических игр с открытым исходным кодом, в которую вы можете играть сейчас. Эта игра не только очень д...
Игры 0 А.D. Руководство
0 А.D. Руководство
Из множества существующих стратегических игр 0 A.D. удается выделиться как всеобъемлющее название и очень глубокая тактическая игра, несмотря на то, ч...