OktaでAmazon Web Servicesアカウントフェデレーションアプリを構成する
Amazon Web Services(AWS)アプリ統合では、プロビジョニングはサポートされていません。[プロビジョニング]タブでのこの設定は、OktaへのAPIアクセスを提供するために、ユーザーの割り当て時に割り当てるAWSロールのリストをダウンロードするために必要です。AWSアプリ統合により、ユーザーに複数のロールを割り当て、SAMLアサーションでそれらのロールを渡すことができます。
-
Admin Consoleで、 に移動します。
- 検索フィールドにAWSと入力します。
- [AWS Account Federation(AWSアカウントフェデレーション)]をクリックし、[Sign On(サインオン)]タブを選択します。
- [設定]セクションの[編集]をクリックします。
- [Advanced Sign-On Settings(高度なサインオン設定)]エリアで、次のフィールドに入力します。
- [AWS Environment (Required for SAML SSO)(AWS環境(SAML SSOに必要))]:環境タイプを選択します。環境タイプがリストにない場合は、[ACS URL]フィールドで目的のACS URLを設定できます。[ACS URL]フィールドはオプションです。環境タイプがリストにある場合、ACS URLを入力する必要はありません。
[ACS URL (optional & only relevant to SAML SSO)(ACS URL(オプションで、SAML SSOにのみ関連))]:環境タイプが[AWS Environment(AWS環境)]リストにない場合、ACS URLを入力します。
[Identity Provider ARN (Required only for SAML SSO)(IDプロバイダーARN(SAML SSOにのみ必要))]:コピーしたIDプロバイダーARNを貼り付けます。
[Session Duration (Required only for SAML SSO)(セッション期間(SAML SSOにのみ必要))]:デフォルト値を受け入れるか、値を入力します。
[Join all roles(すべてのロールに参加)]:AWS SAMLですべてのロールを使用するには、このチェックボックスをオンにします。ユーザーにRole1とRole2が直接割り当てられ(ユーザーからアプリへの割り当て)、そのユーザーがRoleAとRoleBが割り当てられた(グループからアプリへの割り当て)グループGroupAWSに属している場合、[Join all roles(すべてのロールに参加)]がオフになっているときは、Role1とRole2をAWSへのログイン時に使用できます。[Join all roles(すべてのロールに参加)]がオンになっているときは、Role1、Role2、RoleA、RoleBをAWSへのログイン時に使用できます。
- [Use Group Mapping(グループマッピングを使用)]:ユーザーグループ機能を使用してOktaを複数のAWSインスタンスに接続するには、このチェックボックスをオンにします。
- [保存]をクリックします。
- [プロビジョニング]タブを選択して[Enable API Integration(API統合を有効化)]をクリックします。
- [Enable API Integration(API統合を有効化)]チェックボックスをオンにして、次のフィールドに入力します。
- [API URL (optional)(API URL(オプション))]:任意。API URLを入力します。環境タイプがリストされている場合、このフィールドに入力する必要はありません。環境タイプがドロップダウンにない場合、ここにAPI URLを入力します。環境のAPI URLを確認するには、AWSに問い合わせる必要がある場合があります。
-
[Access Key(アクセスキー)]:コピーしたアクセスキーを貼り付けます。
-
[Secret Key(秘密鍵)]:コピーしたアクセスキーを貼り付けます。
-
[Connected Accounts IDs (optional)(連携されたアカウントID(オプション))]:任意。すべての連携されたアカウントのIDのコンマ区切りリストを指定します。これは、各AWSアカウントで、AWSコンソールの左上隅にある[My Accounts(マイアカウント)]ページから確認できます。
注:サインオンモードとしてAmazon AWS IAMロールを使用するように構成されたAWSインスタンスがあり、そのインスタンスからオプションの子アカウントを削除すると、そのロールのプロビジョニングが削除され、System Logにイベントが生成されます。
- 任意。[Test API Credentials(API認証情報をテスト)]をクリックして、API認証情報が機能していることを確認します。
- [保存]をクリックします。
- [Provisioning to App(アプリにプロビジョニング)]セクションで、[編集]をクリックし、[Create Users(ユーザーを作成)]および[Update User Attributes(ユーザー属性を更新)]の[Enable(有効化)]をオンにします。
- [保存]をクリックします。
- [Assignments(割り当て)]タブを選択し、[Assign(割り当て)]>[Assign to People(ユーザーに割り当てる)]をクリックします。
- ユーザーを選択し、[Assign(割り当て)]をクリックし、デフォルトのユーザー名を受け入れるかユーザー名を入力し、ロールを選択して、[Save and Go Back(保存して戻る)]をクリックします。
属性IdPとロールのペア(内部属性)が表示されている場合は、無視してください。これは内部属性であり、ユーザーの割り当てには影響しません。
- 任意。ステップ14を繰り返してユーザーを追加します。
- [完了]をクリックします。
- テストユーザーとしてOkta orgにサインインし、AWSアプリをクリックします。
- ロールを選択して[Sign In(サインイン)]をクリックします。
- エラーがなく、サインインが正常に行われたことを確認します。