AWSロールの信頼できるソースとしてOktaを追加する

OktaAmazon Web Services(AWS)アカウントIDプロバイダーとして構成した後は、Oktaで取得されてユーザーに割り当てられるIAMロールを作成するか、既存のものを更新します。Oktaでは、「SAML SSO用にAWSのアカウントとロールを構成する」で構成したOkta SAML IDプロバイダーへのアクセス権を付与するように構成されたロールを持つユーザーにのみ、シングルサインオン(SSO)を提供できます。

既存のロールにSSOアクセスを許可する

  1. AWS管理者コンソールで、左ペインの[Roles(ロール)]をクリックします。
  2. Okta SSOアクセスを許可するロールを選択します。

  3. ロールの[Trust Relationship(信頼関係)]タブを選択し、[Edit Trust Relationship(信頼関係を編集)]をクリックします。

  4. 以前に構成したSAML IDPを使用してOktaへのSSOを許可するように、IAM信頼関係ポリシーを変更します。

    • ポリシードキュメントが空の場合、提供されているポリシーをコピーして貼り付け、<COPY & PASTE SAML ARN VALUE HERE>をAmazonリソースネーム(ARN)に置き換えることができます。
コピー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "<COPY & PASTE SAML ARN VALUE HERE>"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
    • 現在の信頼関係がある場合は、既存のポリシードキュメントを変更して、Okta SSOアクセスも含める必要がある場合があります。少なくとも、Statementコードブロック内にはすべてを含める必要があります。

新しいロールにSSOアクセスを許可する

  1. AWS管理者コンソールで、左ペインの[Roles(ロール)]をクリックします。
  2. [Roles(ロール)][Create Role(ロールを作成)]に移動します。

  3. 信頼できるエンティティの[SAML 2.0 federation(SAML 2.0フェデレーション)]のタイプを使用します。

  4. SAMLプロバイダーとしてOkta(IDプロバイダーの名前)を選択し、[Allow programmatic and AWS Management Console access(プログラムによるアクセスとAWS管理者コンソールによるアクセスを許可する)]を選択して、[Permissions(権限)]に進みます。

  5. 作成するロールに割り当てる任意のポリシーを選択します。

  6. Finish Role(ロールの構成を完了)します。

次の手順

AWS APIアクセスキーを生成する