AWSロールの信頼できるソースとしてOktaを追加する

OktaをAmazon Web Services（AWS）アカウントIDプロバイダーとして構成した後は、Oktaで取得されてユーザーに割り当てられるIAMロールを作成するか、既存のものを更新します。Oktaでは、「SAML SSO用にAWSのアカウントとロールを構成する」で構成したOkta SAML IDプロバイダーへのアクセス権を付与するように構成されたロールを持つユーザーにのみ、シングルサインオン（SSO）を提供できます。

• 既存のロールにSSOアクセスを許可する
• 新しいロールにSSOアクセスを許可する

既存のロールにSSOアクセスを許可する

1. AWS Management Consoleで、左ペインの［Roles（ロール）］をクリックします。

2. Okta SSOアクセスを許可するロールを選択します。

3. ロールの［Trust Relationship（信頼関係）］タブを選択し、［Edit Trust Relationship（信頼関係を編集）］をクリックします。

4. 以前に構成したSAML IDPを使用してOktaへのSSOを許可するように、IAM信頼関係ポリシーを変更します。

   • ポリシードキュメントが空の場合、提供されているポリシーをコピーして貼り付け、<COPY & PASTE SAML ARN VALUE HERE>をAmazonリソースネーム（ARN）に置き換えることができます。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "<COPY & PASTE SAML ARN VALUE HERE>"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}

現在の信頼関係がある場合は、既存のポリシードキュメントを変更して、Okta SSOアクセスも含める必要がある場合があります。少なくとも、Statementコードブロック内にはすべてを含める必要があります。

新しいロールにSSOアクセスを許可する

1. AWS Management Consoleで、左ペインの［Roles（ロール）］をクリックします。

2. ［Roles（ロール）］［Create Role（ロールを作成）］に移動します。

3. 信頼できるエンティティの[SAML 2.0 federation（SAML 2.0フェデレーション）]のタイプを使用します。

4. SAMLプロバイダーとしてOkta（IDプロバイダーの名前）を選択し、［Allow programmatic and AWS Management Console access（プログラムによるアクセスとAWS Management Consoleによるアクセスを許可する）］を選択して、［Permissions（権限）］に進みます。

5. 作成するロールに割り当てる任意のポリシーを選択します。

6. Finish Role（ロールの構成を完了）します。

次の手順

AWS APIアクセスキーを生成する