OktaでAmazon Web Servicesアカウント・フェデレーション・アプリを構成する

Amazon Web Services(AWS)アプリ統合では、プロビジョニングはサポートされていません。[プロビジョニング]タブでのこの設定は、OktaへのAPIアクセスを提供するために、ユーザーの割り当て時に割り当てるAWSロールのリストをダウンロードするために必要です。AWSアプリ統合により、ユーザーに複数のロールを割り当て、SAMLアサーションでそれらのロールを渡すことができます。

  1. 管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]

  2. [検索]フィールドにAWSと入力します。
  3. [AWSアカウント・フェデレーション]をクリックし、[サインオン]タブをクリックします。
  4. [設定]セクションの[編集]をクリックします。
  5. [高度なサインオン設定]エリアで、次のフィールドに入力します。
    • [AWS環境](SAML SSOに必要): 環境タイプを選択します。環境タイプがリストにない場合は、[ACS URL]フィールドで目的のACS URLを設定できます。[ACS URL]フィールドはオプションです。環境タイプがリストにある場合、ACS URLを入力する必要はありません。
    • [ACS URL](オプションで、SAML SSOにのみ関連):環境タイプが[AWS環境]リストにない場合、ACS URLを入力します。&

    • [IDプロバイダーARN](SAML SSOにのみ必要):コピーしたIDプロバイダーARNを貼り付けます。

    • [セッション期間](SAML SSOにのみ必要):デフォルト値を受け入れるか、値を入力します。

    • [すべてのロールに参加]:AWS SAMLですべてのロールを使用するには、このチェック・ボックスをオンにします。ユーザーにRole1とRole2が直接割り当てられ(ユーザーからアプリへの割り当て)、そのユーザーがRoleAとRoleBが割り当てられた(グループからアプリへの割り当て)グループGroupAWSに属している場合、[すべてのロールに参加]がオフになっているときは、Role1とRole2をAWSへのログイン時に使用できます。[すべてのロールに参加]がオンになっているときは、Role1、Role2、RoleA、RoleBをAWSへのログイン時に使用できます。

    • [グループ・マッピングを使用]:ユーザー・グループ機能を使用してOktaを複数のAWSインスタンスに接続するには、このチェック・ボックスをオンにします。

  1. [保存]をクリックします。

  2. [プロビジョニング]タブをクリックしてから、[API統合を有効化]をクリックします。
  3. [API統合を有効化]チェック・ボックスをオンにして、次のフィールドに入力します。
    • [API URL](オプション):オプションです。API URLを入力します。環境タイプがリストされている場合、このフィールドに入力する必要はありません。環境タイプがドロップダウンにない場合、ここにAPI URLを入力します。環境のAPI URLを確認するには、AWSに問い合わせる必要がある場合があります。
    • [アクセス・キー]:コピーしたアクセス・キーを貼り付けます。

    • [秘密鍵]:コピーしたアクセス・キーを貼り付けます。

    • [連携されたアカウントID](オプション):オプションです。すべての連携されたアカウントのIDのコンマ区切りリストを指定します。これは、各AWSアカウントで、AWSコンソールの左上隅にある[マイ・アカウント]ページから確認できます。

      注:サインオン・モードとしてAmazon AWS IAMロールを使用するように構成されたAWSインスタンスがあり、そのインスタンスからオプションの子アカウントを削除すると、そのロールのプロビジョニングが削除され、システム・ログにイベントが生成されます。

  1. 任意:[API認証情報をテスト]をクリックして、API認証情報が機能していることを確認します。
  2. [保存]をクリックします。

  3. [アプリにプロビジョニング]セクションで、[編集]をクリックし、[ユーザーを作成]および[ユーザー属性を更新][有効化]チェック・ボックスをオンにします。
  4. [保存]をクリックします。

  5. [割り当て]タブをクリックし、[割り当て] > [ユーザーに割り当てる]をクリックします。
  6. ユーザーを選択し、[割り当て]をクリックし、デフォルトのユーザー名を受け入れるかユーザー名を入力し、ロールを選択して、[保存して戻る]をクリックします。

属性IdPとロールのペア(内部属性)が表示されている場合は、無視してください。これは内部属性であり、ユーザーの割り当てには影響しません。

  1. 任意:ステップ14を繰り返してユーザーを追加します。
  2. [完了]をクリックします。
  3. テスト・ユーザーとしてOkta組織にログインし、AWSアプリをクリックします。
  4. ロールを選択して[サインイン]をクリックします。
  5. エラーがなく、サインインが正常に行われたことを確認します。