Ajouter Okta en tant que source de confiance pour les rôles AWS

Après avoir configuré Okta en tant que fournisseur d'identité du compte Amazon Web Services (AWS), vous créez des rôles IAM ou mettez à jour des rôles IAM existants pour qu'Okta puisse les récupérer et les affecter à des utilisateurs. Okta ne peut fournir la SSO (authentification unique) que pour les utilisateurs disposant de rôles configurés pour accorder l'accès au fournisseur d'identité SAML Okta, que vous avez configuré à l'étape Configurer des comptes et des rôles AWS pour la SSO SAML.

• Accorder l'accès SSO à un rôle existant
• Accorder l'accès SSO à un nouveau rôle

Accorder l'accès SSO à un rôle existant

1. Dans la console de gestion AWS, cliquez sur Rôles dans le volet gauche.

2. Sélectionnez le rôle auquel vous souhaitez octroyer l'accès SSO via Okta.

3. Sélectionnez l'onglet Relations de confiance pour le rôle en question, puis cliquez sur Modifier la relation d'approbation.

4. Modifiez la politique de relation de confiance IAM pour autoriser l'accès SSO à Okta par l'intermédiaire de l'IdP SAML que vous avez configuré précédemment :

   • Si le document de politique est vierge, vous pouvez copier et coller la politique fournie et remplacer <COPY & PASTE SAML ARN VALUE HERE> par le nom ARN (Amazon Resource Name).

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "<COPY & PASTE SAML ARN VALUE HERE>"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

Si vous avez déjà établi une relation de confiance par le passé, il est possible que vous deviez modifier votre document de politique existant pour y inclure l'accès SSO à Okta. Vous devrez au moins inclure tout ce qui se trouve dans le bloc de code Statement.

Accorder l'accès SSO à un nouveau rôle

1. Dans la console de gestion AWS, cliquez sur Rôles dans le volet gauche.

2. Accédez à RôlesCréer un rôle.

3. Utilisez le type d'entité approuvée Fédération SAML 2.0.

4. Sélectionnez Okta (nom de votre fournisseur d'identité) en tant que fournisseur basé sur SAML et Autoriser l'accès par programmation et à la Console de gestion AWS, puis passez à la page Ajouter des permissions.

5. Sélectionnez la politique que vous souhaitez affecter au rôle que vous êtes en train de créer.

6. Terminez la configuration du rôle.

Étapes suivantes

Générer la clé d'accès API AWS