OktaでAmazon Web Servicesアカウント・フェデレーション・アプリを構成する
Amazon Web Services(AWS)アプリ統合では、プロビジョニングはサポートされていません。[プロビジョニング]タブでのこの設定は、OktaへのAPIアクセスを提供するために、ユーザーの割り当て時に割り当てるAWSロールのリストをダウンロードするために必要です。AWSアプリ統合により、ユーザーに複数のロールを割り当て、SAMLアサーションでそれらのロールを渡すことができます。
-
管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]
- [検索]フィールドにAWSと入力します。
- [AWSアカウント・フェデレーション]をクリックし、[サインオン]タブをクリックします。
- [設定]セクションの[編集]をクリックします。
- [高度なサインオン設定]エリアで、次のフィールドに入力します。
- [AWS環境](SAML SSOに必要): 環境タイプを選択します。環境タイプがリストにない場合は、[ACS URL]フィールドで目的のACS URLを設定できます。[ACS URL]フィールドはオプションです。環境タイプがリストにある場合、ACS URLを入力する必要はありません。
[ACS URL](オプションで、SAML SSOにのみ関連):環境タイプが[AWS環境]リストにない場合、ACS URLを入力します。&
[IDプロバイダーARN](SAML SSOにのみ必要):コピーしたIDプロバイダーARNを貼り付けます。
[セッション期間](SAML SSOにのみ必要):デフォルト値を受け入れるか、値を入力します。
[すべてのロールに参加]:AWS SAMLですべてのロールを使用するには、このチェック・ボックスをオンにします。ユーザーにRole1とRole2が直接割り当てられ(ユーザーからアプリへの割り当て)、そのユーザーがRoleAとRoleBが割り当てられた(グループからアプリへの割り当て)グループGroupAWSに属している場合、[すべてのロールに参加]がオフになっているときは、Role1とRole2をAWSへのログイン時に使用できます。[すべてのロールに参加]がオンになっているときは、Role1、Role2、RoleA、RoleBをAWSへのログイン時に使用できます。
- [グループ・マッピングを使用]:ユーザー・グループ機能を使用してOktaを複数のAWSインスタンスに接続するには、このチェック・ボックスをオンにします。
-
[保存]をクリックします。
- [プロビジョニング]タブをクリックしてから、[API統合を有効化]をクリックします。
- [API統合を有効化]チェック・ボックスをオンにして、次のフィールドに入力します。
- [API URL](オプション):オプションです。API URLを入力します。環境タイプがリストされている場合、このフィールドに入力する必要はありません。環境タイプがドロップダウンにない場合、ここにAPI URLを入力します。環境のAPI URLを確認するには、AWSに問い合わせる必要がある場合があります。
-
[アクセス・キー]:コピーしたアクセス・キーを貼り付けます。
-
[秘密鍵]:コピーしたアクセス・キーを貼り付けます。
-
[連携されたアカウントID](オプション):オプションです。すべての連携されたアカウントのIDのコンマ区切りリストを指定します。これは、各AWSアカウントで、AWSコンソールの左上隅にある[マイ・アカウント]ページから確認できます。
注:サインオン・モードとしてAmazon AWS IAMロールを使用するように構成されたAWSインスタンスがあり、そのインスタンスからオプションの子アカウントを削除すると、そのロールのプロビジョニングが削除され、システム・ログにイベントが生成されます。
- 任意:[API認証情報をテスト]をクリックして、API認証情報が機能していることを確認します。
-
[保存]をクリックします。
- [アプリにプロビジョニング]セクションで、[編集]をクリックし、[ユーザーを作成]および[ユーザー属性を更新]の[有効化]チェック・ボックスをオンにします。
-
[保存]をクリックします。
- [割り当て]タブをクリックし、[割り当て] > [ユーザーに割り当てる]をクリックします。
- ユーザーを選択し、[割り当て]をクリックし、デフォルトのユーザー名を受け入れるかユーザー名を入力し、ロールを選択して、[保存して戻る]をクリックします。
属性IdPとロールのペア(内部属性)が表示されている場合は、無視してください。これは内部属性であり、ユーザーの割り当てには影響しません。
- 任意:ステップ14を繰り返してユーザーを追加します。
- [完了]をクリックします。
- テスト・ユーザーとしてOkta組織にログインし、AWSアプリをクリックします。
- ロールを選択して[サインイン]をクリックします。
- エラーがなく、サインインが正常に行われたことを確認します。