Konfiguration von SAML und SCIM mit einem IAM Okta Identity Center - AWS IAM Identity Center
ÜberlegungenSchritt 1Okta: Rufen Sie die SAML-Metadaten von Ihrem Konto ab OktaSchritt 2: IAM Identity Center: Okta Als Identitätsquelle für IAM Identity Center konfigurierenSchritt 3: IAM Identity Center undOkta: Benutzer bereitstellen OktaSchritt 4Okta: Synchronisieren Sie Benutzer Okta mit IAM Identity CenterÜbergabe von Attributen für die Zugriffskontrolle — optionalWeisen Sie Zugriff zu AWS-KontenOktaKonfiguration für den Zugriff auf zusätzliche RegionenNächste SchritteFehlerbehebung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von SAML und SCIM mit einem IAM Okta Identity Center

Mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) Okta können Sie Benutzer- und Gruppeninformationen automatisch aus dem IAM Identity Center bereitstellen oder synchronisieren. Weitere Informationen finden Sie unter Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern.

Um diese Verbindung zu konfigurierenOkta, verwenden Sie Ihren SCIM-Endpunkt für IAM Identity Center und ein Trägertoken, das automatisch von IAM Identity Center erstellt wird. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Benutzerattribute Okta zu den benannten Attributen in IAM Identity Center. Diese Zuordnung entspricht den erwarteten Benutzerattributen zwischen IAM Identity Center und Ihrem Konto. Okta

Oktaunterstützt die folgenden Bereitstellungsfunktionen, wenn Sie über SCIM mit IAM Identity Center verbunden sind:

  • Benutzer erstellen — Benutzer, die der IAM Identity Center-Anwendung in zugewiesen Okta sind, werden in IAM Identity Center bereitgestellt.

  • Benutzerattribute aktualisieren — Attributänderungen für Benutzer, die der IAM Identity Center-Anwendung in zugewiesen sind, Okta werden in IAM Identity Center aktualisiert.

  • Benutzer deaktivieren — Benutzer, denen die Zuweisung zur IAM Identity Center-Anwendung in aufgehoben wurde, Okta sind in IAM Identity Center deaktiviert.

  • Gruppen-Push — Gruppen (und ihre Mitglieder) Okta werden mit IAM Identity Center synchronisiert.

    Anmerkung

    Um den Verwaltungsaufwand Okta sowohl in IAM Identity Center als auch in IAM Identity Center zu minimieren, empfehlen wir, Gruppen zuzuweisen und zu pushen, anstatt einzelne Benutzer zu verwenden.

  • Benutzer importieren — Benutzer können aus IAM Identity Center in importiert werden. Okta

Ziel

In diesem Tutorial werden Sie Schritt für Schritt die Einrichtung einer SAML-Verbindung mit Okta IAM Identity Center beschrieben. Später werden Sie Benutzer mithilfe von Okta SCIM synchronisieren. In diesem Szenario verwalten Sie alle Benutzer und Gruppen inOkta. Benutzer melden sich über das Okta Portal an. Um zu überprüfen, ob alles korrekt konfiguriert ist, melden Sie sich nach Abschluss der Konfigurationsschritte als Okta Benutzer an und verifizieren den Zugriff auf AWS Ressourcen.

Die folgenden Funktionen werden unterstützt, wenn Sie über SAML Okta eine Verbindung zum IAM Identity Center herstellen:

  • Vom IDP initiierte SAML-Anmeldung — Benutzer melden sich über das Okta Portal an und erhalten Zugriff auf das IAM Identity Center.

  • SP-initiierte SAML-Anmeldung — Benutzer greifen auf das Zugriffsportal zu, das sie AWS zur Anmeldung über das Portal weiterleitet. Okta

Anmerkung

Sie können sich für ein Okta Konto (kostenlose Testversion) registrieren, auf dem die Okta's IAM Identity Center-Anwendung installiert ist. Bei kostenpflichtigen Okta Produkten müssen Sie möglicherweise bestätigen, dass Ihre Okta Lizenz das Lifecycle-Management oder ähnliche Funktionen unterstützt, die eine ausgehende Bereitstellung ermöglichen. Diese Funktionen sind möglicherweise erforderlich, um SCIM von zu IAM Identity Center Okta zu konfigurieren.

Wenn Sie IAM Identity Center noch nicht aktiviert haben, finden Sie weitere Informationen unter. IAM Identity Center aktivieren

Überlegungen

  • Bevor Sie die SCIM-Bereitstellung zwischen Okta und IAM Identity Center konfigurieren, empfehlen wir Ihnen, dies zunächst zu überprüfen. Überlegungen zur Verwendung der automatischen Bereitstellung

  • Für jeden Okta Benutzer müssen die Werte Vorname, Nachname, Benutzername und Anzeigename angegeben werden.

  • Jeder Okta Benutzer hat nur einen einzigen Wert pro Datenattribut, z. B. E-Mail-Adresse oder Telefonnummer. Alle Benutzer mit mehreren Werten können nicht synchronisiert werden. Wenn es Benutzer gibt, deren Attribute mehrere Werte enthalten, entfernen Sie die doppelten Attribute, bevor Sie versuchen, den Benutzer in IAM Identity Center bereitzustellen. Beispielsweise kann nur ein Telefonnummernattribut synchronisiert werden, da das Standard-Telefonnummernattribut „Geschäftstelefon“ ist. Verwenden Sie das Attribut „Geschäftstelefon“, um die Telefonnummer des Benutzers zu speichern, auch wenn es sich bei der Telefonnummer des Benutzers um ein Festnetz oder ein Mobiltelefon handelt.

  • Bei Verwendung Okta mit IAM Identity Center wird IAM Identity Center in der Regel als Anwendung in konfiguriert. Okta Auf diese Weise können Sie mehrere Instanzen von IAM Identity Center als mehrere Anwendungen konfigurieren, die den Zugriff auf mehrere AWS Organizations innerhalb einer einzigen Instanz von unterstützen. Okta

  • Berechtigungen und Rollenattribute werden nicht unterstützt und können nicht mit IAM Identity Center synchronisiert werden.

  • Die Verwendung derselben Okta Gruppe sowohl für Zuweisungen als auch für Gruppen-Push wird derzeit nicht unterstützt. Um konsistente Gruppenmitgliedschaften zwischen Okta und IAM Identity Center aufrechtzuerhalten, erstellen Sie eine separate Gruppe und konfigurieren Sie sie so, dass Gruppen per Push an IAM Identity Center weitergeleitet werden.

  • Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und über zusätzliche Regionen zu ermöglichen. AWS-Konten Weitere Informationen, einschließlich der Voraussetzungen, finden Sie unter. Verwenden von IAM Identity Center für mehrere AWS-Regionen Okta-spezifische Schritte werden unter beschrieben OktaKonfiguration für den Zugriff auf zusätzliche Regionen

Schritt 1Okta: Rufen Sie die SAML-Metadaten von Ihrem Konto ab Okta

  1. Melden Sie sich bei anOkta admin dashboard, erweitern Sie Anwendungen und wählen Sie dann Anwendungen aus.

  2. Wählen Sie auf der Seite Applications (Anwendungen) die Option Browse App Catalog (App-Katalog durchsuchen) aus.

  3. Geben Sie in das Suchfeld die App ein AWS IAM Identity Centerund wählen Sie sie aus, um die IAM Identity Center-App hinzuzufügen.

  4. Wählen Sie den Tab Anmelden aus.

  5. Wählen Sie unter SAML-Signaturzertifikate die Option Aktionen und dann IdP-Metadaten anzeigen aus. Ein neuer Browser-Tab wird geöffnet, der den Dokumentenbaum einer XML-Datei anzeigt. Wählen Sie das gesamte XML von <md:EntityDescriptor> bis aus </md:EntityDescriptor> und kopieren Sie es in eine Textdatei.

  6. Speichern Sie die Textdatei untermetadata.xml.

Lassen Sie das Fenster Okta admin dashboard geöffnet, Sie werden diese Konsole in den späteren Schritten weiter verwenden.

Schritt 2: IAM Identity Center: Okta Als Identitätsquelle für IAM Identity Center konfigurieren

  1. Öffnen Sie die IAM Identity Center-Konsole als Benutzer mit Administratorrechten.

  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.

  3. Wählen Sie auf der Seite Einstellungen die Option Aktionen und dann Identitätsquelle ändern aus.

  4. Wählen Sie unter Identitätsquelle auswählen die Option Externer Identitätsanbieter und dann Weiter aus.

  5. Gehen Sie unter Externen Identitätsanbieter konfigurieren wie folgt vor:

    1. Kopieren Sie unter Metadaten des Dienstanbieters die folgenden Elemente in eine Textdatei, um den Zugriff zu erleichtern:

      • URL des IAM Identity Center Assertion Consumer Service (ACS) — Sie haben die Wahl zwischen einem IPv4 reinen ACS und einem Dual-Stack-ACS. URLs Wenn Ihre IAM Identity Center-Instanz in mehreren Regionen aktiviert ist, verfügt außerdem jede weitere Region über ein eigenes IPv4 reines Dual-Stack-ACS. URLs Weitere Informationen zu ACS URLs finden Sie unter. ACS-Endpunkte im primären und weiteren AWS-Regionen

      • URL des IAM Identity Center-Ausstellers

      Sie benötigen diese Werte später in diesem Tutorial.

    2. Wählen Sie unter Identitätsanbieter-Metadaten unter IdP-SAML-Metadaten die Option Datei auswählen und wählen Sie dann die metadata.xml Datei aus, die Sie im vorherigen Schritt erstellt haben.

    3. Wählen Sie Weiter aus.

  6. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie ACCEPT ein.

  7. Wählen Sie Identitätsquelle ändern aus.

    Lassen Sie die AWS Konsole geöffnet, Sie werden diese Konsole im nächsten Schritt weiter verwenden.

  8. Kehren Sie zur AWS IAM Identity Center App zurück Okta admin dashboard und wählen Sie die Registerkarte Anmelden aus. Wählen Sie dann Bearbeiten aus.

  9. Geben Sie unter Erweiterte Anmeldeeinstellungen Folgendes ein:

    • Geben Sie für ACS-URL die Werte ein, die Sie für die IAM Identity Center Assertion Consumer Service (ACS) -URL kopiert haben. Sie können die ACS-URL der primären Region als Standardadresse verwenden, sodass Benutzer in die primäre Region umgeleitet werden, wenn sie die Amazon Web Services Services-Anwendung von startenOkta.

    • (Optional) Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, können Sie auch eine Lesezeichen-App Okta für das AWS Zugriffsportal in jeder weiteren Region erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifen. Okta Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Okta gewähren. Weitere Informationen finden Sie in der OktaDokumentation. Wenn Sie planen, IAM Identity Center zu einem späteren Zeitpunkt in weitere Regionen zu replizieren, finden Sie OktaKonfiguration für den Zugriff auf zusätzliche Regionen unter Anleitung, wie Sie nach dieser ersten Einrichtung den Zugriff auf die zusätzlichen Regionen aktivieren können.

    • Geben Sie für Issuer URL den Wert ein, den Sie für IAM Identity Center Issuer URL kopiert haben

    • Wählen Sie für das Format des Anwendungsbenutzernamens eine der Optionen aus dem Menü aus.

      Stellen Sie sicher, dass der von Ihnen gewählte Wert für jeden Benutzer einzigartig ist. Wählen Sie für dieses Tutorial den Okta-Benutzernamen

  10. Wählen Sie Speichern.

Sie sind jetzt bereit, Benutzer von IAM Identity Center aus Okta bereitzustellen. Lassen Sie das Okta admin dashboard Fenster geöffnet und kehren Sie für den nächsten Schritt zur IAM Identity Center-Konsole zurück.

Schritt 3: IAM Identity Center undOkta: Benutzer bereitstellen Okta

  1. Suchen Sie in der IAM Identity Center-Konsole auf der Seite Einstellungen nach dem Informationsfeld Automatische Bereitstellung und wählen Sie dann Aktivieren aus. Dadurch wird die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpunkt- und Zugriffstoken-Informationen angezeigt.

  2. Kopieren Sie im Dialogfeld Automatische Bereitstellung für eingehende Nachrichten die einzelnen Werte für die folgenden Optionen:

    1. SCIM-Endpunkt — Das Endpunktformat hängt von Ihrer Konfiguration ab:

      • IPv4: https://scim. us-east-2.amazonaws.com/ /scim/v2 11111111111-2222-3333-4444-555555555555

      • Doppelstapel: https://scim. us-east-2.api.aws//scim/v2 11111111111-2222-3333-4444-555555555555

    2. Zugriffstoken — Wählen Sie Token anzeigen, um den Wert zu kopieren.

    Warnung

    Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte Okta später in diesem Tutorial eingeben, um die automatische Bereitstellung zu konfigurieren.

  3. Klicken Sie auf Schließen.

  4. Kehren Sie zur IAM Identity Center App zurück Okta admin dashboard und navigieren Sie zur App.

  5. Wählen Sie auf der Seite der IAM Identity Center-App den Tab Provisioning und wählen Sie dann in der linken Navigationsleiste unter Einstellungen die Option Integration aus.

  6. Wählen Sie Bearbeiten und aktivieren Sie dann das Kontrollkästchen neben API-Integration aktivieren, um die automatische Bereitstellung zu aktivieren.

  7. Verwenden Sie für die Konfiguration Okta die SCIM-Bereitstellungswerte AWS IAM Identity Center , die Sie zuvor in diesem Schritt kopiert haben:

    1. Geben Sie im Feld Basis-URL den SCIM-Endpunktwert ein.

    2. Geben Sie im Feld API-Token den Wert für das Zugriffstoken ein.

  8. Wählen Sie API-Anmeldeinformationen testen, um zu überprüfen, ob die eingegebenen Anmeldeinformationen gültig sind.

    Die Nachricht AWS IAM Identity Center wurde erfolgreich verifiziert! zeigt an.

  9. Wählen Sie Speichern. Sie werden in den Bereich Einstellungen verschoben, in dem Integration ausgewählt ist.

  10. Wählen Sie unter Einstellungen die Option Zur App aus und aktivieren Sie dann das Kontrollkästchen Aktivieren für jede der Funktionen von Provisioning to App, die Sie aktivieren möchten. Wählen Sie für dieses Tutorial alle Optionen aus.

  11. Wählen Sie Speichern.

Sie sind jetzt bereit, Ihre Benutzer Okta mit IAM Identity Center zu synchronisieren.

Schritt 4Okta: Synchronisieren Sie Benutzer Okta mit IAM Identity Center

Standardmäßig sind Ihrer Okta IAM Identity Center-App keine Gruppen oder Benutzer zugewiesen. Durch die Bereitstellung von Gruppen werden die Benutzer bereitgestellt, die Mitglieder der Gruppe sind. Gehen Sie wie folgt vor, um Gruppen und Benutzer mit AWS IAM Identity Center zu synchronisieren.

  1. Wählen Sie auf der Seite der OktaIAM Identity Center-App den Tab Zuweisungen aus. Sie können der IAM Identity Center-App sowohl Personen als auch Gruppen zuweisen.

    1. So weisen Sie Personen zu:

      • Wählen Sie auf der Seite „Aufgaben“ die Option „Zuweisen“ und dann „Personen zuweisen“ aus.

      • Wählen Sie die Okta Benutzer aus, die Zugriff auf die IAM Identity Center-App haben sollen. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung der Benutzer für IAM Identity Center gestartet.

    2. Um Gruppen zuzuweisen:

      • Wählen Sie auf der Seite „Zuweisungen“ die Option „Zuweisen“ und anschließend „Gruppen zuweisen“.

      • Wählen Sie die Okta Gruppen aus, für die Sie Zugriff auf die IAM Identity Center-App haben möchten. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Dadurch wird der Prozess der Bereitstellung der Benutzer in der Gruppe für IAM Identity Center gestartet.

      Anmerkung

      Möglicherweise müssen Sie zusätzliche Attribute für die Gruppe angeben, wenn diese nicht in allen Benutzerdatensätzen vorhanden sind. Die für die Gruppe angegebenen Attribute haben Vorrang vor allen individuellen Attributwerten.

  2. Wählen Sie die Registerkarte Push-Gruppen. Wählen Sie die Okta Gruppe aus, die Sie mit IAM Identity Center synchronisieren möchten. Wählen Sie Speichern.

    Der Gruppenstatus ändert sich in Aktiv, nachdem die Gruppe und ihre Mitglieder per Push an IAM Identity Center weitergeleitet wurden.

  3. Kehren Sie zur Registerkarte „Zuweisungen“ zurück.

  4. Gehen Sie wie folgt vor, um einzelne Okta Benutzer zu IAM Identity Center hinzuzufügen:

    1. Wählen Sie auf der Seite „Zuweisungen“ die Option „Zuweisen“ und dann „Personen zuweisen“.

    2. Wählen Sie die Okta Benutzer aus, die Zugriff auf die IAM Identity Center-App haben sollen. Wählen Sie „Zuweisen“, dann „Speichern und Zurück“ und anschließend „Fertig“.

      Damit wird der Prozess der Bereitstellung der einzelnen Benutzer für IAM Identity Center gestartet.

      Anmerkung

      Sie können der AWS IAM Identity Center App auch Benutzer und Gruppen zuweisen, und zwar auf der Anwendungsseite von. Okta admin dashboard Wählen Sie dazu das Einstellungssymbol aus und wählen Sie dann Benutzern zuweisen oder Zu Gruppen zuweisen und geben Sie dann den Benutzer oder die Gruppe an.

  5. Kehren Sie zur IAM Identity Center-Konsole zurück. Wählen Sie in der linken Navigationsleiste Benutzer aus. Sie sollten die Benutzerliste mit Ihren Okta Benutzern sehen.

Herzlichen Glückwunsch!

Sie haben erfolgreich eine SAML-Verbindung zwischen Okta und eingerichtet AWS und sich vergewissert, dass die automatische Bereitstellung funktioniert. Sie können diese Benutzer jetzt Konten und Anwendungen in IAM Identity Center zuweisen. Für dieses Tutorial bestimmen wir im nächsten Schritt einen der Benutzer als IAM Identity Center-Administrator, indem wir ihm Administratorrechte für das Verwaltungskonto gewähren.

Übergabe von Attributen für die Zugriffskontrolle — optional

Sie können optional die Attribute für Zugriffskontrolle Funktion in IAM Identity Center verwenden, um ein Attribute Element zu übergeben, dessen Name Attribut auf https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey} gesetzt ist. Mit diesem Element können Sie Attribute als Sitzungs-Tags in der SAML-Zusicherung übergeben. Weitere Informationen zu Sitzungs-Tags finden Sie AWS STS im IAM-Benutzerhandbuch unter Sitzungs-Tags übergeben.

Um Attribute als Sitzungs-Tags zu übergeben, schließen Sie das AttributeValue-Element ein, das den Wert des Tags angibt. Verwenden Sie beispielsweise das folgende Attribut, um das Schlüssel-Wert-Paar CostCenter = blue für das Tag zu übergeben.

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

Wenn Sie mehrere Attribute hinzufügen müssen, fügen Sie für jedes Tag ein separates Attribute Element hinzu.

Weisen Sie Zugriff zu AWS-Konten

Die folgenden Schritte sind nur erforderlich, um AWS-Konten nur Zugriff zu gewähren. Diese Schritte sind nicht erforderlich, um Zugriff auf AWS Anwendungen zu gewähren.

Anmerkung

Um diesen Schritt abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter Organisations- und Kontoinstanzen von IAM Identity Center.

Schritt 1: IAM Identity Center: Gewähren Sie Okta Benutzern Zugriff auf Konten

  1. Wählen Sie im Navigationsbereich von IAM Identity Center unter Berechtigungen für mehrere Konten die Option. AWS-Konten

  2. Auf der AWS-KontenSeite „Organisationsstruktur“ wird Ihr Organisationsstamm mit Ihren Konten darunter in der Hierarchie angezeigt. Markieren Sie das Kontrollkästchen für Ihr Verwaltungskonto und wählen Sie dann Benutzer oder Gruppen zuweisen aus.

  3. Der Workflow „Benutzer und Gruppen zuweisen“ wird angezeigt. Er besteht aus drei Schritten:

    1. Wählen Sie für Schritt 1: Benutzer und Gruppen auswählen den Benutzer aus, der die Administratorfunktion ausführen soll. Klicken Sie anschließend auf Weiter.

    2. Wählen Sie für Schritt 2: Berechtigungssätze auswählen die Option Berechtigungssatz erstellen aus, um eine neue Registerkarte zu öffnen, die Sie durch die drei Teilschritte beim Erstellen eines Berechtigungssatzes führt.

      1. Gehen Sie für Schritt 1: Berechtigungssatztyp auswählen wie folgt vor:

        • Wählen Sie unter Typ des Berechtigungssatzes die Option Vordefinierter Berechtigungssatz aus.

        • Wählen Sie unter Richtlinie für vordefinierten Berechtigungssatz die Option aus AdministratorAccess.

        Wählen Sie Weiter aus.

      2. Für Schritt 2: Geben Sie die Details zum Berechtigungssatz an, behalten Sie die Standardeinstellungen bei und wählen Sie Weiter aus.

        Mit den Standardeinstellungen wird ein Berechtigungssatz AdministratorAccess mit einem Namen erstellt, dessen Sitzungsdauer auf eine Stunde festgelegt ist.

      3. Stellen Sie für Schritt 3: Überprüfen und erstellen sicher, dass der Typ Berechtigungssatz die AWS verwaltete Richtlinie verwendet AdministratorAccess. Wählen Sie Erstellen aus. Auf der Seite Berechtigungssätze wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass der Berechtigungssatz erstellt wurde. Sie können diese Registerkarte jetzt in Ihrem Webbrowser schließen.

      Auf der Browser-Registerkarte „Benutzer und Gruppen zuweisen“ befinden Sie sich immer noch in Schritt 2: Wählen Sie die Berechtigungssätze aus, von denen aus Sie den Workflow zum Erstellen von Berechtigungssätzen gestartet haben.

      Wählen Sie im Bereich „Berechtigungssätze“ die Schaltfläche „Aktualisieren“. Der von Ihnen erstellte AdministratorAccess Berechtigungssatz wird in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen für diesen Berechtigungssatz und wählen Sie dann Weiter.

    3. Überprüfen Sie für Schritt 3: Überprüfen und Absenden den ausgewählten Benutzer und den ausgewählten Berechtigungssatz und wählen Sie dann Absenden aus.

      Die Seite wird mit der Meldung aktualisiert, dass Ihr AWS-Konto System gerade konfiguriert wird. Warten Sie, bis der Vorgang abgeschlossen ist.

      Sie kehren zur AWS-Konten Seite zurück. In einer Benachrichtigung werden Sie darüber informiert, dass Ihr AWS-Konto Konto erneut bereitgestellt und der aktualisierte Berechtigungssatz angewendet wurde. Wenn sich der Benutzer anmeldet, hat er die Möglichkeit, die Rolle auszuwählen. AdministratorAccess

Schritt 2Okta: Bestätigen Sie den Okta Benutzerzugriff auf Ressourcen AWS

  1. Melden Sie sich mit einem Testkonto bei der anOkta dashboard.

  2. Wählen Sie unter Meine Apps das AWS IAM Identity Center Symbol aus.

  3. Sie sollten das AWS-Konto Symbol sehen. Erweitern Sie dieses Symbol, um die Liste zu sehen, auf AWS-Konten die der Benutzer zugreifen kann. In diesem Tutorial haben Sie nur mit einem einzigen Konto gearbeitet, sodass beim Erweitern des Symbols nur ein Konto angezeigt wird.

  4. Wählen Sie das Konto aus, um die für den Benutzer verfügbaren Berechtigungssätze anzuzeigen. In diesem Tutorial haben Sie den AdministratorAccessBerechtigungssatz erstellt.

  5. Neben dem Berechtigungssatz befinden sich Links für den Zugriffstyp, der für diesen Berechtigungssatz verfügbar ist. Bei der Erstellung des Berechtigungssatzes haben Sie sowohl den Zugriff auf den als auch den AWS-Managementkonsole programmatischen Zugriff angegeben. Wählen Sie Managementkonsole aus, um die zu öffnen. AWS-Managementkonsole

  6. Der Benutzer ist bei angemeldet AWS-Managementkonsole.

Sie können auch das AWS Zugriffsportal verwenden. Dadurch werden Sie weitergeleitet, sich über das Okta Portal anzumelden, bevor Sie zum AWS Zugangsportal weitergeleitet werden. Dieser Pfad folgt dem vom SP initiierten SAML-Anmeldeablauf.

OktaKonfiguration für den Zugriff auf zusätzliche Regionen von IAM Identity Center — optional

Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, müssen Sie Ihre Identity Provider-Konfiguration aktualisieren, um den Zugriff auf AWS verwaltete Anwendungen und AWS-Konten über die zusätzlichen Regionen zu ermöglichen. Die folgenden Schritte führen Sie durch das Verfahren. Weitere Informationen zu diesem Thema, einschließlich der Voraussetzungen, finden Sie unterVerwenden von IAM Identity Center für mehrere AWS-Regionen.

  1. Rufen Sie ACS URLs für die zusätzlichen Regionen von der IAM Identity Center-Konsole ab, wie unter beschriebenACS-Endpunkte im primären und weiteren AWS-Regionen.

  2. Wählen Sie im Navigationsbereich des Okta Admin-Dashboards Anwendungen und anschließend in der erweiterten Liste erneut Anwendungen aus.

  3. Wählen Sie die AWS IAM Identity Center-Anwendung.

  4. Wählen Sie die Registerkarte Sign On (Anmelden) aus.

  5. Wählen Sie unter Erweiterte Anmeldeeinstellungen und Anderes anforderbares SSO URLs die Option Weitere hinzufügen für die ACS-URL jeder weiteren Region aus und fügen Sie die ACS-URL in das Textfeld ein.

  6. Wenn Sie mit dem Hinzufügen des ACS fertig sind URLs, speichern Sie die AWS IAM Identity CenterAnwendung.

  7. Sie können in jeder weiteren Region eine Lesezeichen-App Okta für das AWS Zugriffsportal erstellen. Auf diese Weise können Ihre Benutzer von aus auf das AWS Zugriffsportal in weiteren Regionen zugreifenOkta. Stellen Sie sicher, dass Sie Ihren Benutzern Berechtigungen für den Zugriff auf die Lesezeichen-Apps in Okta gewähren. Weitere Informationen finden Sie in der OktaDokumentation.

  8. Stellen Sie sicher, dass Sie sich in jeder weiteren Region beim AWS Zugangsportal anmelden können. Navigieren Sie zum AWS Zugriffsportal URLs oder starten Sie die Lesezeichen-Apps vonOkta.

Nächste Schritte

Nachdem Sie nun Okta als Identitätsanbieter konfiguriert und Benutzer in IAM Identity Center bereitgestellt haben, können Sie:

Fehlerbehebung

Informationen zur allgemeinen SCIM- und SAML-Problembehandlung mit Okta finden Sie in den folgenden Abschnitten:

Aus IAM Identity Center gelöschte Benutzer und Gruppen erneut bereitstellen

  • Wenn Sie versuchen, einen Benutzer oder eine Gruppe zu ändern, die einmal synchronisiert und dann aus IAM Identity Center gelöscht wurdeOkta, wird möglicherweise die folgende Fehlermeldung in der Okta Konsole angezeigt:

    • Der automatische Profil-Push des Benutzers Jane Doe zur App ist AWS IAM Identity Center fehlgeschlagen: Fehler beim Versuch, die Profilaktualisierung für zu pushenjane_doe@example.com: Für den Benutzer wurde kein Benutzer zurückgegeben xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Die verknüpfte Gruppe fehlt in AWS IAM Identity Center. Ändern Sie die verknüpfte Gruppe, um weiterhin Gruppenmitgliedschaften zu übertragen.

  • Möglicherweise erhalten Sie auch die folgende Fehlermeldung in den Okta Systemprotokollen für synchronisierte und gelöschte IAM Identity Center-Benutzer oder -Gruppen:

    • Okta-Fehler: Eventfailed application.provision.user.push_profile: Für den Benutzer wurde kein Benutzer zurückgegeben xxxxx-xxxxxx-xxxxx-xxxxxxx

    • Okta-Fehler: application.provision.group_push.mapping.update.or.delete.failed.with.error: Die verknüpfte Gruppe fehlt in. AWS IAM Identity CenterÄndern Sie die verknüpfte Gruppe, um die Übertragung von Gruppenmitgliedschaften fortzusetzen.

Warnung

Benutzer und Gruppen sollten Okta nicht aus dem IAM Identity Center gelöscht werden, wenn Sie das IAM Identity Center mit SCIM synchronisiert Okta haben.

Fehlerbehebung für gelöschte IAM Identity Center-Benutzer

Um dieses Problem mit gelöschten IAM Identity Center-Benutzern zu beheben, müssen die Benutzer von gelöscht werden. Okta Falls erforderlich, müssten diese Benutzer auch in neu erstellt werden. Okta Wenn der Benutzer neu erstellt wirdOkta, wird er ebenfalls über SCIM erneut im IAM Identity Center bereitgestellt. Weitere Informationen zum Löschen eines Benutzers finden Sie in der Dokumentation. Okta

Anmerkung

Wenn Sie einem Okta Benutzer den Zugriff auf IAM Identity Center entziehen müssen, sollten Sie ihn zuerst aus seinem Gruppen-Push und dann aus seiner Zuweisungsgruppe entfernen. Okta Dadurch wird sichergestellt, dass der Benutzer aus der ihm zugewiesenen Gruppenmitgliedschaft in IAM Identity Center entfernt wird. Weitere Informationen zur Fehlerbehebung bei Group Push finden Sie in der OktaDokumentation.

Fehlerbehebung bei gelöschten IAM Identity Center-Gruppen

Um dieses Problem mit gelöschten IAM Identity Center-Gruppen zu beheben, muss die Gruppe aus Okta gelöscht werden. Falls erforderlich, müssten diese Gruppen auch in Okta mithilfe von Group Push neu erstellt werden. Wenn der Benutzer in Okta neu erstellt wird, wird er auch über SCIM erneut im IAM Identity Center bereitgestellt. Weitere Informationen zum Löschen einer Gruppe finden Sie in der Okta-Dokumentation.

Fehler bei der automatischen Bereitstellung in Okta

Wenn Sie die folgende Fehlermeldung erhalten inOkta:

Die automatische Bereitstellung des Benutzers Jane Doe für die App ist AWS IAM Identity Center fehlgeschlagen: Der passende Benutzer wurde nicht gefunden

Weitere Informationen finden Sie in der OktaDokumentation.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen bei der Problembehebung bei der Arbeit mit AWS helfen:

  • AWS re:Post- Hier finden Sie weitere Ressourcen FAQs und Links zu diesen, die Ihnen bei der Behebung von Problemen helfen.

  • AWS Support- Holen Sie sich technischen Support