複数のAWSインスタンスの統合について

注：APIを使用した複数のAmazon Web Services（AWS）アカウントの接続はサポートされていません。グループを介した複数のAWSアカウントのロール管理に切り替えるには、次の手順を使用します。

次の図は、複数のAmazon Web Services（AWS）インスタンスをOktaに接続するときのワークフローを示しています。

SAML用にAWSを設定する

各AWSアカウントをSAMLアクセス用に構成する必要があります。これを行うには、信頼できるIDPとしてOktaをAWSアカウントに追加して、新しいIDPを介したアクセスを許可する各ロールの信頼関係を作成します。これらは、単一のAWSアカウントにSAML SSOを提供する場合と同じ手順ですが、すべてのアカウントで実行する必要があります。先進的なOrganizationの場合、Cloud FormationまたはAWS APIスクリプトを使用してこのプロセスを自動化し、各アカウントで簡単にSAMLを設定できるようにすることができます。

外部ディレクトリにグループの管理層を作成する

SAMLを構成したら、ユーザーがOktaを使用してアクセスできるようにする各ロールおよびアカウントの外部ディレクトリに、AWSロールグループを作成します。これは、AWSと外部ディレクトリの間のスクリプトを使用して行うか、CSVファイルを外部ディレクトリにエクスポートして外部ディレクトリ側でCSVファイルに対してスクリプトを使用して行うか、手動で行うことができます。

次に、アクセス権を付与するAWSロールグループの［Members Of（次のメンバー：）］として管理グループを割り当てることで、AWSロール固有のグループと他の外部ディレクトリのグループの間にリンクを作成します。ユーザーを管理グループに割り当てて、管理グループがメンバーになっているすべてのAWSのロールとアカウントへのアクセスを許可します。

グループベースのロール割り当て用にOktaでAWSアプリを構成する

Oktaで、適切なOkta外部エージェントを使用して、外部ディレクトリの管理グループとロールグループの両方をインポートします。

次に、前に設定したAWSアプリケーションに管理グループを割り当てます。これにより、適切なユーザーがAWSアプリに割り当てられます。

最後に、グループベースのロール割り当てを設定して、各AWSロールグループの名前を、AWSが［Role Picker（ロールピッカー）］ページでユーザーロールを一覧表示するために使用できる形式に変換します。