Configurer l'application de fédération du compte Amazon Web Services dans Okta

L'intégration de l'application Amazon Web Services (AWS) ne prend pas en charge l'approvisionnement. Cette configuration, qui s'effectue dans l'onglet Approvisionnement, est nécessaire pour que l'API ait accès à Okta afin de télécharger la liste des rôles AWS lors de l'affectation de ces derniers aux utilisateurs. L'intégration de l'application AWS vous permet d'affecter plusieurs rôles aux utilisateurs et de transmettre ces rôles dans l'assertion SAML.

  1. Dans Admin Console, accédez à ApplicationsApplications.

  2. Saisissez AWS dans le champ Rechercher.
  3. Cliquez sur AWS Account Federation, puis sélectionnez l'onglet Authentification.
  4. Cliquez sur Modifier dans la section Paramètres.
  5. Dans la section Paramètres d'authentification avancés, remplissez les champs suivants :
    • Environnement AWS (obligatoire pour la SSO SAML) : sélectionnez votre type d'environnement. Si votre type ne figure pas dans la liste, vous pouvez définir l'ACS URL de votre choix dans le champ ACS URL. Le champ ACS URL est facultatif. Si votre type d'environnement figure dans la liste, vous n'avez pas à saisir votre ACS URL.

    • ACS URL (facultatif et uniquement nécessaire à la SSO SAML) : si votre type d'environnement ne figure pas dans la liste d'environnements AWS, saisissez l'ACS URL.

    • ARN du fournisseur d'identité (Obligatoire uniquement pour la SSO SAML) : collez l'ARN du fournisseur d'identité que vous avez copié.

    • Durée de la session (requis uniquement pour la SSO SAML) : accepter la valeur par défaut ou saisir une valeur.

    • Rejoindre tous les rôles : cochez cette case pour que SAML d'AWS utilise tous les rôles. Si les rôles Role1 et Role2 sont directement affectés à un utilisateur (affectation utilisateur-application), que l'utilisateur fait partie du groupe GroupAWS et que les rôles RoleA et RoleB sont affectés à ce dernier (affectation groupe-application), alors si la case Rejoindre tous les rôles n'est pas cochée : Role1 et Role2 sont disponibles lors de la connexion à AWS ; si la case Rejoindre tous les rôles est cochée : Role1, Role2, RoleA et RoleB sont disponibles lors de la connexion à AWS.

      Utiliser le mappage de groupes : cochez cette case pour connecter Okta à plusieurs instances AWS à l'aide de la fonctionnalité de groupes d'utilisateurs.

  6. Cliquez sur Enregistrer.
  7. Sélectionnez l'onglet Approvisionnement, puis cliquez sur Activer l'intégration d'API.
  8. Cochez la case Activer l'intégration d'API et remplissez les champs suivants :
    • URL de l'API : facultatif. Saisissez l'URL de l'API. Si votre type d'environnement figurait dans la liste, vous ne devez pas remplir ce champ. Si votre type d'environnement ne figurait pas dans le menu déroulant, saisissez l'URL de l'API ici. Il est possible que vous deviez contacter AWS pour connaître l'URL de l'API de votre environnement.

    • Clé d'accès : collez la clé d'accès que vous avez copiée.

    • Clé secrète : collez la clé secrète que vous avez copiée.

    • Identifiant des comptes connectés : facultatif. Fournissez la liste de vos identifiant de comptes connectés, séparés par une virgule. Vous trouverez ces informations pour chaque compte AWS sur la page Mes comptes, dans le coin supérieur gauche.

      Si votre instance AWS a été configurée pour utiliser le rôle IAM du compte Amazon AWS en mode Authentification et supprimer un éventuel compte enfant de cette instance, l'approvisionnement de ce rôle sera supprimé. Un événement est généré dans le journal système.

  9. Facultatif. Cliquez sur Tester les Identifiants de l'API pour vérifier que les identifiants API fonctionnent.
  10. Cliquez sur Enregistrer.
  11. Dans la section Approvisionnement dans l'application, cliquez sur Modifier et cochez Activer pour Créer des utilisateurs et Mettre à jour les attributs d'utilisateur.
  12. Cliquez sur Enregistrer.
  13. Sélectionnez l'onglet Affectations, puis cliquez sur AffecterAffecter à des personnes.
  14. Sélectionnez un utilisateur et cliquez sur Affecter,
  15. Accepter le nom d'utilisateur par défaut ou saisissez un nom d'utilisateur.
  16. Sélectionnez des rôles, puis cliquez sur Enregistrer et revenir en arrière.

    Si vous voyez l'attribut IdP et paires de rôles (attribut interne), ignorez-le. Il s'agit d'un attribut interne qui n'influence pas l'affectation aux utilisateurs.

  17. Facultatif. Répétez l'étape 14 pour ajouter d'autres utilisateurs.
  18. Cliquez sur Terminé.
  19. Connectez-vous à votre org Okta en tant qu'utilisateur test, puis cliquez sur l'application AWS.
  20. Sélectionnez un rôle et cliquez sur Connexion.
  21. Assurez-vous de ne rencontrer aucune erreur et que la connexion réussit.