OktaでAmazon Web Servicesアカウントフェデレーションアプリを構成する

Amazon Web Services(AWS)アプリ統合では、プロビジョニングはサポートされていません。[プロビジョニング]タブでのこの設定は、OktaにAPIアクセスを提供して、ユーザー割り当て時に割り当てるAWSロールのリストをダウンロードするために必要です。AWSアプリ統合により、ユーザーに複数のロールを割り当て、SAMLアサーションでそれらのロールを渡すことができます。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. Search(検索)フィールドにAWSと入力します。
  3. [AWS Account Federation(AWSアカウントフェデレーション)]をクリックし、[Sign On(サインオン)]タブを選択します。
  4. [設定]セクションの[Edit(編集)]をクリックします。
  5. [Advanced Sign-On Settings(高度なサインオン設定)]セクションで、次のフィールドに入力します。
    • [AWS環境(SAML SSOに必要)]environment Type(環境タイプ)を選択します。該当するタイプがリストにない場合は、[ACS URL]フィールドで目的のACS URLを設定できます。[ACS URL]フィールドはオプションです。環境タイプがリストにある場合、ACS URLを入力する必要はありません。

    • [ACS URL (optional & only relevant to SAML SSO)(ACS URL(オプションで、SAML SSOにのみ関連))]:環境タイプが[AWS環境]リストにない場合、ACS URLを入力します。

    • [Identity Provider ARN (Required only for SAML SSO)(IDプロバイダーARN(SAML SSOにのみ必要))]:コピーしたIDプロバイダーARNを貼り付けます。

    • [Session Duration (required only for SAML SSO)(セッション期間(SAML SSOにのみ必要))]:デフォルト値を受け入れるか、値を入力します。

    • [Join all roles(すべてのロールに参加)]:AWS SAMLですべてのロールを使用するには、このチェックボックスをオンにします。ユーザーにRole1とRole2が直接割り当てられ(ユーザーからアプリへの割り当て)、そのユーザーがRoleAとRoleBが割り当てられた(グループからアプリへの割り当て)グループGroupAWSに属している場合に[Join all roles OFF(すべてのロールに参加をオフ)]にすると、Role1とRole2をAWSへのログイン時に使用できます。[Join all roles ON(すべてのロールに参加をオン)]にすると、Role1、Role2、RoleA、RoleBをAWSへのログイン時に使用できます。

    • [Use Group Mapping(グループマッピングを使用)]:ユーザーグループ機能を使用してOktaを複数のAWSインスタンスに接続するには、このチェックボックスをオンにします。

  6. [Save(保存)]をクリックします。
  7. [Provisioning(プロビジョニング)]タブを選択して[Enable API Integration(API統合を有効化)]をクリックします。
  8. [Enable API Integration(API統合を有効化)]チェックボックスをオンにして、次のフィールドに入力します。
    • [API URL(任意)]:任意。API URLを入力します。環境タイプがリストされている場合、このフィールドに入力する必要はありません。環境タイプがドロップダウンにない場合、ここにAPI URLを入力します。環境のAPI URLを確認するには、AWSに問い合わせる必要がある場合があります。

    • [Access Key(アクセスキー)]:コピーしたアクセスキーを貼り付けます。

    • [Secret Key(秘密鍵)]:コピーしたアクセスキーを貼り付けます。

    • [Connected Accounts IDs(連携されたアカウントID)]:任意。連携されたアカウントのIDのコンマ区切りリストを指定します。これは、[My Accounts(マイアカウント)]ページの各AWSアカウントの左上隅にあります。

      Sign On(サインオン)モードとしてAmazon AWS IAMロールを使用するように構成されたAWSインスタンスがあり、そのインスタンスから任意の子アカウントを削除すると、そのロールのプロビジョニングが削除されます。システムログにイベントが生成されます。

  9. 任意。[Test API Credentials(API認証情報をテスト)]をクリックして、API資格情報が機能していることを確認します。
  10. [Save(保存)]をクリックします。
  11. [アプリにプロビジョニング]セクションで、[Edit(編集)]をクリックし、[Create Users(ユーザーを作成)]および[Update User Attributes(ユーザー属性を更新)][Enable(有効化)]をオンにします。
  12. [Save(保存)]をクリックします。
  13. [Assignments(割り当て)]タブを選択し、[Assign(割り当て)][Assign to People(ユーザーに割り当てる)]をクリックします。
  14. 適切なユーザーを選択し、[Assign(割り当てる)]をクリックします。
  15. デフォルトのユーザー名のままにするか、ユーザー名を入力します。
  16. ロールを選択してから[Save and Go Back(保存して戻る)]をクリックします。

    属性IdPとロールのペア(内部属性)が表示されている場合は、無視してください。これは内部属性であり、ユーザーの割り当てには影響しません。

  17. 任意。ステップ14を繰り返してユーザーを追加します。
  18. [Done(完了)] をクリックします。
  19. テストユーザーとしてOkta orgにサインインし、AWSアプリをクリックします。
  20. ロールを選択して[Sign In(サインイン)]をクリックします。
  21. エラーがなく、サインインが正常に行われたことを確認します。