Activer le mappage des rôles sur la base de groupes dans Okta
Après avoir importé les groupes de gestion et de rôles Amazon Web Services (AWS), configurez l'application AWS d'Okta pour convertir l'appartenance aux groupes de rôles AWS en droits qu'AWS peut comprendre de manière syntaxique.
-
Dans Admin Console, accédez à .
-
Saisissez AWS dans le champ Rechercher.
- Cliquez sur AWS Account Federation, puis sélectionnez l'onglet Authentification.
- Cliquez sur Modifier dans la section Paramètres.
- Sous Paramètres d'authentification avancés, assurez-vous que la case Utiliser le mappage de groupe est cochée.
-
Renseignez les champs suivants :
- Filtre d'application : saisissez une liste des applications pour le mappage des droits AWS, séparées par une virgule. Ce champ assure une meilleure sécurité et permet d'éviter que des administrateurs non autorisés créent des groupes en respectant une syntaxe donnée pour s'accorder l'accès à un compte ou à un rôle AWS alors qu'ils n'en ont pas le droit. Si vous avez créé vos groupes dans Active Directory, saisissez
active_directory; saisissezoktapour limiter l'utilisation aux groupes Okta locaux. Pour d'autres applications, vous pouvez utiliser d'autres valeurs, notamment :bamboohrpour l'application Bamboo HR ouokta,egnytepour les groupes Okta + Egnyte. - Filtre de groupe : saisissez une expression régulière pour filtrer les groupes liés à AWS et extraire les valeurs accountid et role. Si vous utilisez la syntaxe de groupe de rôles AWS par défaut (
aws#[account alias]#[role name]#[account #]), vous pouvez utiliser la chaîne d'expression régulière suivante :
L'expression régulière revient logiquement à : trouver les groupes dont le nom commence par AWS, puis #, puis une chaîne de texte, puis #, puis le rôle AWS, puis # et enfin l'ID de compte AWS.
Vous pouvez également utiliser l'expression régulière suivante :
aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)Si vous n'utilisez pas une expression régulière par défaut, créez-en une qui filtre correctement vos groupes de rôles AWS. L'expression doit capturer l'identifiant de compte et le nom de rôle AWS au sein de deux groupes d'expression régulière distincts nommés {{role}} et {{accountid}}.
- Modèle de valeur de rôle : ce champ prend le format d'identifiant de compte et de rôle AWS et les traduit dans une syntaxe correcte dont AWS a besoin pour l'assertion SAML d'Okta. Cela permet aux utilisateurs de consulter leurs comptes et leurs rôles lorsqu'ils se connectent.
Syntaxe du champ :
arn:aws:iam::${accountid}:saml-provider/[SAML Provider Name],arn:aws:iam::${accountid}:role/${role}Remplacez [SAML Provider Name] par le nom du fournisseur SAML pour vos comptes AWS. Le reste de la chaîne doit être copié et collé sans être modifié.
- Filtre d'application : saisissez une liste des applications pour le mappage des droits AWS, séparées par une virgule. Ce champ assure une meilleure sécurité et permet d'éviter que des administrateurs non autorisés créent des groupes en respectant une syntaxe donnée pour s'accorder l'accès à un compte ou à un rôle AWS alors qu'ils n'en ont pas le droit. Si vous avez créé vos groupes dans Active Directory, saisissez
- Cliquez sur Enregistrer.
Étapes suivantes
Affecter des groupes d'administration AWS à l'app AWS d'Okta