将Okta与Identity Center结合使用

在此附加部分中,我们将使用IAM Identity Center 将Okta配置为外部身份提供商 (IDP)。

先注册一个Okta帐户

在 Okta 中创建Users/Groups

在 Okta 中创建一个powerUsers组:

image-20231209092611404

image-20231209092642995

创建People:

Okta 添加用户页面

在“添加人员”对话框中:

  • 提供名字,例如John
  • 提供姓氏,例如Doe
  • 提供用户名,例如Jdoe@example.com
  • 选择组作为powerUsers
  • 对于密码,Set by user, 并发送一封激活邮件
  • 单击 “保存” 按钮

image-20231209093134010

保存后,邮箱中会收到一封邮件:

image-20231209103103343

点击激活帐号并重置密码。(记录下来这个邮箱及密码,最后测试部分我们将用到)

在 Okta 中创建 IAM Identity Center应用

在左侧application里进入Browse App Catalog

image-20231209093302896

搜索AWS IAM Identity Center, 选择AWS IAM Identity Center应用程序并单击添加集成按钮 Okta IAM 身份中心应用程序页面

image-20231209093429841

在应用程序向导页面中, 单击 “Done” 按钮:

image-20231209093508240

进入至Sign On选项卡:

image-20231209093552354

往下拉,在SAML Signing Certificates 中,点击View IdP metadata

image-20231209093649332

跳到一个新页面,保存页面,会下载下来一个metadata.xml文件:

image-20231209093756280

在Identity Center更改Identity Source

IAM Identity Center中,进入设置页面,点击Change Identity Source

image-20231209093923167

选择外部身份提供商, 点击下一步

image-20231209094021436

配置外部身份提供商页面中, 将这三个URL保存下来:

image-20231209094112603

Identity provider metadata部分,选择之前下载的metadata.xml进行上传

image-20231209094314942

在确认更改页面中,输入ACCEPT并进行创建:

image-20231209094352050

Okta IAM Identity Center 登录配置

回到Okta页面,编辑Sign On:

image-20231209094555769

Advanced Sign-on Settings部分下, 输入在上一步中复制的IAM Identity Center ACS URLIAM Identity Center issuer URL, 单击 “保存”

image-20231209094757045

在 Okta 中配置Provision

我们将配置SCIM 使 Okta 中的用户和组能够自动同步到IAM Identity Center

进入IAM Identity Center,开启Automatic provisioning:

image-20231209095008848

复制SCIM endpointAccess token,我们将在 Okta 中配置它:

image-20231209095123298

回到Okta,在Provisioning页面中,点击Configure API Integration

image-20231209095344705

点击Enable API Integration,将上面复制的URL及Token粘帖进去,注意:

复制 URL 时,请确保末尾没有“/”,否则 Okta 中的链接验证将失败。

image-20231209095447487

在To App页面中,点击编辑:

image-20231209101020955

为创建、更新和停用用户选择启用,单击 “保存”

image-20231209101359142