将Okta与Identity Center结合使用 - II

将用户/组分配给 Okta 中的 IAM Identity Center应用

为了允许用户通过 SSO 进行访问,我们必须将他们分配到 Okta 中的 IAM 身份中心应用程序。一旦分配了用户或组,Okta 就会在后台调用 API 以在 IAM Identity Center 中创建用户。如果更改映射属性(例如 FirstName),Okta 也会在 IAM Identity Center 中更新该属性。如果您取消分配用户,该用户将在IAM Identity Center中停用。Okta 负责完整的用户生命周期管理。

在 Okta中,转到Assignments选项卡并分配到Group:

image-20231209101734357

选择powerUsers组并单击分配

image-20231209101845145

将出现一个对话框,用于对每个组进行附加属性映射。无需更改,选择保存并返回

image-20231209101927975

点击Done:

image-20231209101949798

IAM Identity Center 尚不了解 Okta 组。我们将使用这些组来映射 IAM Identity Center 中的权限集。

在 Okta 管理仪表板中,转到“Push Groups”选项卡并单击Find groups by name:

image-20231209102101462

搜索powerUsers组并单击 “保存” , 几秒钟后,应该看到推送状态为Active :

image-20231209102210330

image-20231209102226807

让我们验证新的powerUsers组现已同步到 Identity Center, 进入IAM Identity Center

在groups页面,验证powerUsers组是否存在,且Create by值为SCIM :

image-20231209102319073

使用 PowerUser 权限创建权限集

创建一个PowerUserAccess权限集:

image-20231209102434866

对于预定义权限集的策略,选择PowerUserAccess

image-20231209102501534

提供PowerUSerAccess作为权限集名称将其余设置保留为默认值,点击创建。

将权限集分配给 AWS 账户

进入AWS accounts页面,选择希望用户有权访问的帐户,单击Assign users or groups

image-20231209102619114

选择powerUsers群组,点击下一步

image-20231209102706537

在选择权限集页面中,选择 “PowerUserAccess”,点击下一步

image-20231209102740557

在审核并提交页面中,查看信息,点击提交

IAM Identity Center 现在会将用户组与权限集关联起来,并将其分配给选定的 AWS 账户。

测试访问

现在我们已完成所有配置,我们可以使用适当的权限测试对 AWS 的访问。您可以从 Okta(IDP 发起)或 AWS(SP 发起)开始测试并登录。对于此模块,我们基于 SP 发起的工作流程进行测试。

建议在隐私浏览模式或不同的浏览器中执行以下步骤进行验证

使用AWS access portal URL进行登录:

image-20231209102938077

这会导航至 Okta 登录页面 :

image-20231209103411401

提供用户凭据成功登录后,导航到 SSO 门户页面 :

image-20231209103450009

使用PowerUserAccess角色导航到管理控制台, 可以访问AWS服务:

image-20231209103545550