Como configurar o SAML 2.0 para a Federação de Conta AWS

Como configurar o SAML 2.0 para a Federação de Conta AWS
O SAML é um padrão para os usuários registrarem os usuários, permitindo que os provedores de identidade passem credenciais de login para os provedores de serviços. Existem várias vantagens nesse padrão de assinatura única (SSO) sobre assinatura usando nomes de usuário e senhas, como você não precisa digitar credenciais, e ninguém precisa se lembrar de senhas e renová-las. A maioria das organizações agora está ciente das identidades do usuário enquanto fazem login em seu Active Directory. Usar esses dados para registrar os usuários em outros programas, como aplicativos baseados na Web, faz sentido e uma das maneiras mais sofisticadas de fazer isso é usar o SAML. A identificação do cliente é movida de um local (provedor de identidade) para outro (provedor de serviços) usando SAML SSO. Isso é conseguido pela troca de documentos XML que são assinados digitalmente.

Os usuários finais podem usar o SAML SSO para se autenticar em uma ou mais contas da AWS e obter acesso a posições específicas graças à integração de Okta com a AWS. Os administradores da OKTA podem baixar funções em Okta de um ou mais AWS e alocá -las aos usuários. Além disso, os administradores da OKTA também podem definir a duração da sessão de usuário autenticada usando okta. As telas da AWS contendo uma lista de funções de usuário da AWS são fornecidas aos usuários finais. Eles podem escolher uma função de login a assumir, que determinará suas permissões para a duração dessa sessão autenticada.

Para adicionar uma única conta da AWS ao OKTA, siga estas instruções abaixo:

Configurando Okta como provedor de identidade:

Primeiro de tudo, você precisa configurar Okta como um provedor de identidade e estabelecer uma conexão SAML. Faça login no seu console da AWS e selecione a opção "Identidade e gerenciamento de acesso" no menu suspenso. Na barra de menus, abra “provedores de identidade” e crie uma nova instância para os provedores de identidade, clicando em “Adicionar provedor.”Uma nova tela aparecerá, conhecida como tela Configurar o provedor.

Aqui, selecione "SAML" como o "Tipo de provedor", digite "Okta" como "nome do provedor" e faça o upload do documento de metadados que contém a seguinte linha:

Depois de terminar de configurar o provedor de identidade, vá para a lista de provedores de identidade e copie o valor "provedor arn" para o provedor de identidade que você acabou de desenvolver.

Adicionando provedor de identidade como fonte confiável:

Depois de configurar Okta como o provedor de identidade que o OKTA pode recuperar e alocar para os usuários, você pode criar ou atualizar as posições do IAM existente. Okta SSO pode oferecer apenas as funções de seus usuários configurados para conceder acesso ao provedor de identidade Okta SAML instalado anteriormente.

Para dar acesso a funções já presentes na conta, primeiro escolha a função que você deseja que o Okta SSO use da opção "Papéis" da barra de menus. Edite a "relação de confiança" para esse papel da guia Relacionamento de texto. Para permitir que o SSO em Okta use o provedor de identidade SAML que você configurou anteriormente, você precisa alterar a Política de Relacionamento do IAM Trust. Se sua política estiver vazia, escreva o seguinte código e substitua Com o valor que você copiou enquanto configura Okta:

Caso contrário, basta editar o documento já escrito. Caso você queira dar acesso a uma nova função, vá para criar função a partir da guia Funções. Para o tipo de entidade confiável, use Saml 2.0 Federação. Prossiga para permissão depois de selecionar o nome do IDP como provedor SAML, eu.e., Okta, e permitindo acesso ao controle e controle programático. Selecione a política a ser atribuída a essa nova função e termine a configuração.

Gerando a chave de acesso da API para okta para baixar funções:

Para o Okta importar automaticamente uma lista de possíveis funções da sua conta, crie um usuário da AWS com permissões exclusivas. Isso torna rápido e seguro para os administradores delegarem usuários e grupos para funções específicas da AWS. Para fazer isso, primeiro selecione IAM do console. Nessa lista, clique em usuários e adicione o usuário desse painel.

Clique em Permissões depois de adicionar nome de usuário e dar o acesso programático. Crie política depois de selecionar a opção "Anexar políticas" diretamente e clique em "Criar política.”Adicione o código abaixo, e seu documento de política ficará assim:

Para detalhes, consulte a documentação da AWS, se necessário. Digite o nome preferido de sua política. Volte à sua guia Adicionar usuário e anexar a política criada recentemente a ela. Procure e escolha a política que você acabou de criar. Agora salve as chaves exibidas, eu.e., Acesso ID da chave e chave de acesso secreto.

Configurando a Federação da Conta da AWS:

Depois de concluir todas as etapas acima, abra o aplicativo da AWS Conta Federation e altere algumas configurações padrão em Okta. Na guia Sign on, edite seu tipo de ambiente. URL ACS pode ser definido na área de URL da ACS. Geralmente, a área de URL da ACS é opcional; Você não precisa inseri -lo se o seu tipo de ambiente já estiver especificado. Digite o valor do provedor ARN do provedor de identidade que você criou enquanto configura o OKTA e especifique a duração da sessão também. Mesclar todas as funções disponíveis atribuídas a qualquer pessoa clicando na opção de junção todas as funções.

Depois de salvar todas essas mudanças, escolha a próxima guia, eu.e., Guia de provisionamento e edite suas especificações. A integração de aplicativos da Federação de Contas da AWS não suporta provisionamento. Forneça acesso da API a Okta para baixar a lista de funções da AWS usadas durante a atribuição do usuário, ativando a integração da API. Digite os valores das chaves que você salvou depois de gerar as teclas de acesso nos respectivos campos. Forneça IDs de todas as suas contas conectadas e verifique as credenciais da API clicando na opção de credenciais da API de teste.

Crie usuários e altere os atributos da conta para atualizar todas as funções e permissões. Agora, selecione um usuário de teste na tela Atribuir pessoas que testarão a conexão SAML. Selecione todas as regras que você deseja atribuir a esse usuário de teste nas funções do usuário SAML encontradas na tela de atribuição do usuário. Depois de concluir o processo de atribuição, o painel do teste Okta exibe um ícone da AWS. Clique nessa opção depois de fazer login na conta de usuário do teste. Você verá uma tela de todas as tarefas alocadas para você.

Conclusão:

O SAML permite que os usuários usem um conjunto de credenciais autorizadas e se conectem com outros aplicativos e serviços da Web habilitados para SAML sem outros sinais. O AWS SSO simplifica o acesso federado a meio caminho a vários registros, serviços e aplicativos da AWS e oferece aos clientes uma experiência de assinatura única a todos os seus registros, serviços e aplicativos designados de um ponto. A AWS SSO trabalha com um provedor de identidade da própria escolha, eu.e., Okta ou Azure via SAML Protocol.