複数のAWSインスタンスの統合について

:APIを使用した複数のAmazon Web Services(AWS)アカウントの接続はサポートされていません。グループを介した複数のAWSアカウントのロール管理に切り替えるには、次の手順を使用します。

次の図は、複数のAmazon Web Services(AWS)インスタンスをOktaに接続するときのワーク・フローを示しています。

SAML用にAWSを設定する

各AWSアカウントをSAMLアクセス用に構成する必要があります。これを行うには、信頼できるIDPとしてOktaをAWSアカウントに追加して、新しいIDPを介したアクセスを許可する各ロールの信頼関係を作成します。これらは、単一のAWSアカウントにSAML SSOを提供する場合と同じ手順ですが、すべてのアカウントで実行する必要があります。先進的な組織の場合、Cloud FormationまたはAWS APIスクリプトを使用してこのプロセスを自動化し、各アカウントで簡単にSAMLを設定できるようにすることができます。

外部ディレクトリーにグループの管理層を作成する

SAMLを構成したら、ユーザーがOktaを使用してアクセスできるようにする各ロールおよびアカウントの外部ディレクトリーに、AWSロール・グループを作成します。これは、AWSと外部ディレクトリーの間のスクリプトを使用して行うか、CSVファイルを外部ディレクトリーにエクスポートして外部ディレクトリー側でCSVファイルに対してスクリプトを使用して行うか、手動で行うことができます。

次に、アクセス権を付与するAWSロール・グループの[次のメンバー:]として管理グループを割り当てることで、AWSロール固有のグループと他の外部ディレクトリーのグループの間にリンクを作成します。ユーザーを管理グループに割り当てて、管理グループがメンバーになっているすべてのAWSのロールとアカウントへのアクセスを許可します。

グループベースのロール割り当て用にOktaでAWSアプリを構成する

Oktaで、適切なOkta外部エージェントを使用して、外部ディレクトリーの管理グループとロール・グループの両方をインポートします。

次に、前に設定したAWSアプリケーションに管理グループを割り当てます。これにより、適切なユーザーがAWSアプリに割り当てられます。

最後に、グループベースのロール割り当てを設定して、各AWSロール・グループの名前を、AWSが[ロール・ピッカー・ページ]でユーザー・ロールを一覧表示するために使用できる形式に変換します。