OktaでAmazon Web Servicesアカウントフェデレーションアプリを構成する

Amazon Web Services(AWS)アプリ統合では、プロビジョニングはサポートされていません。[プロビジョニング]タブでのこの設定は、OktaへのAPIアクセスを提供するために、ユーザーの割り当て時に割り当てるAWSロールのリストをダウンロードするために必要です。AWSアプリ統合により、ユーザーに複数のロールを割り当て、SAMLアサーションでそれらのロールを渡すことができます。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. 検索フィールドにAWSと入力します。
  3. [AWS Account Federation(AWSアカウントフェデレーション)]をクリックし、[Sign On(サインオン)]タブを選択します。
  4. [設定]セクションの[編集]をクリックします。
  5. [Advanced Sign-On Settings(高度なサインオン設定)]エリアで、次のフィールドに入力します。
    • [AWS Environment (Required for SAML SSO)(AWS環境(SAML SSOに必要))]:環境タイプを選択します。環境タイプがリストにない場合は、[ACS URL]フィールドで目的のACS URLを設定できます。[ACS URL]フィールドはオプションです。環境タイプがリストにある場合、ACS URLを入力する必要はありません。

    • [ACS URL (optional & only relevant to SAML SSO)(ACS URL(オプションで、SAML SSOにのみ関連))]:環境タイプが[AWS Environment(AWS環境)]リストにない場合、ACS URLを入力します。

    • [Identity Provider ARN (Required only for SAML SSO)(IDプロバイダーARN(SAML SSOにのみ必要))]:コピーしたIDプロバイダーARNを貼り付けます。

    • [Session Duration (Required only for SAML SSO)(セッション期間(SAML SSOにのみ必要))]:デフォルト値を受け入れるか、値を入力します。

    • [Join all roles(すべてのロールに参加)]:AWS SAMLですべてのロールを使用するには、このチェックボックスをオンにします。ユーザーにRole1とRole2が直接割り当てられ(ユーザーからアプリへの割り当て)、そのユーザーがRoleAとRoleBが割り当てられた(グループからアプリへの割り当て)グループGroupAWSに属している場合、[Join all roles(すべてのロールに参加)]がオフになっているときは、Role1とRole2をAWSへのログイン時に使用できます。[Join all roles(すべてのロールに参加)]がオンになっているときは、Role1、Role2、RoleA、RoleBをAWSへのログイン時に使用できます。

    • [Use Group Mapping(グループマッピングを使用)]:ユーザーグループ機能を使用してOktaを複数のAWSインスタンスに接続するには、このチェックボックスをオンにします。

  1. [保存]をクリックします。
  2. [プロビジョニング]タブを選択して[Enable API Integration(API統合を有効化)]をクリックします。
  3. [Enable API Integration(API統合を有効化)]チェックボックスをオンにして、次のフィールドに入力します。
    • [API URL (optional)(API URL(オプション))]:任意。API URLを入力します。環境タイプがリストされている場合、このフィールドに入力する必要はありません。環境タイプがドロップダウンにない場合、ここにAPI URLを入力します。環境のAPI URLを確認するには、AWSに問い合わせる必要がある場合があります。

    • [Access Key(アクセスキー)]:コピーしたアクセスキーを貼り付けます。

    • [Secret Key(秘密鍵)]:コピーしたアクセスキーを貼り付けます。

    • [Connected Accounts IDs (optional)(連携されたアカウントID(オプション))]:任意。すべての連携されたアカウントのIDのコンマ区切りリストを指定します。これは、各AWSアカウントで、AWSコンソールの左上隅にある[My Accounts(マイアカウント)]ページから確認できます。

      注:サインオンモードとしてAmazon AWS IAMロールを使用するように構成されたAWSインスタンスがあり、そのインスタンスからオプションの子アカウントを削除すると、そのロールのプロビジョニングが削除され、System Logにイベントが生成されます。

  1. 任意。[Test API Credentials(API認証情報をテスト)]をクリックして、API認証情報が機能していることを確認します。
  2. [保存]をクリックします。
  3. [Provisioning to App(アプリにプロビジョニング)]セクションで、[編集]をクリックし、[Create Users(ユーザーを作成)]および[Update User Attributes(ユーザー属性を更新)][Enable(有効化)]をオンにします。
  4. [保存]をクリックします。
  5. [Assignments(割り当て)]タブを選択し、[Assign(割り当て)]>[Assign to People(ユーザーに割り当てる)]をクリックします。
  6. ユーザーを選択し、[Assign(割り当て)]をクリックし、デフォルトのユーザー名を受け入れるかユーザー名を入力し、ロールを選択して、[Save and Go Back(保存して戻る)]をクリックします。

属性IdPとロールのペア(内部属性)が表示されている場合は、無視してください。これは内部属性であり、ユーザーの割り当てには影響しません。

  1. 任意。ステップ14を繰り返してユーザーを追加します。
  2. [完了]をクリックします。
  3. テストユーザーとしてOkta orgにサインインし、AWSアプリをクリックします。
  4. ロールを選択して[Sign In(サインイン)]をクリックします。
  5. エラーがなく、サインインが正常に行われたことを確認します。