Intégrer plusieurs instances AWS
La connexion de plusieurs comptes Amazon Web Services (AWS) via l'API n'est pas prise en charge. Suivez les instructions de cette section afin d'utiliser des groupes pour gérer les rôles de plusieurs comptes AWS.
Le diagramme suivant représente les trois étapes à effectuer pour connecter plusieurs instances Amazon Web Services (AWS) à Okta :
Configurer AWS pour SAML
Configurez chaque compte AWS pour l'accès SAML. Ajoutez Okta en tant qu'IdP fiable au compte AWS, puis créez une relation de confiance pour chaque rôle qui autorise l'accès via le nouvel IdP. Il s'agit des mêmes étapes que celles que vous suivez pour accorder la SSO SAML à n'importe quel compte AWS unique. Répétez ces étapes pour tous vos comptes. Pour les organisations complexes, vous pouvez automatiser la procédure en utilisant Cloud Formation ou des scripts de l'API AWS pour configurer SAML sur chaque compte en toute simplicité.
Créer une couche de gestion des groupes dans un répertoire externe
Une fois SAML configuré, créez des groupes de rôles AWS dans un répertoire externe pour chaque rôle et chaque compte auxquels vous souhaitez que les utilisateurs accèdent via Okta. Il y a trois manières de faire cela : utiliser un script entre AWS et un répertoire externe, exporter un fichier CSV vers un répertoire externe et utiliser un script sur ce fichier côté répertoire externe, ou créer les groupes manuellement.
Ensuite, créez un lien entre les groupes spécifiques à un rôle AWS et d'autres groupes du répertoire externe. Pour ce faire, affectez les groupes de gestion en tant que membres des groupes de rôles AWS auxquels vous souhaitez accorder l'accès. Affectez les utilisateurs aux groupes de gestion pour leur permettre d'accéder aux comptes et rôles AWS dont le groupe de gestion est membre.
Configurer l'application AWS dans Okta pour l'affectation de rôles sur la base de groupes
Dans Okta, importez les groupes de rôles AWS et les groupes de gestion du répertoire externe à l'aide de l'agent Okta externe qui convient.
Ensuite, affectez vos groupes de gestion à l'application AWS que vous avez configurée à la première étape. Cela permet d'affecter les utilisateurs appropriés à l'application AWS.
Enfin, configurez les affectations de rôle sur la base de groupes. Cela sert à convertir les noms de chacun de vos groupes de rôles AWS dans un format qu'AWS peut utiliser pour lister les rôles des utilisateurs sur la page de sélection de rôles.