AWSロールの信頼できるソースとしてOktaを追加する
OktaをAmazon Web Services(AWS)アカウントIDプロバイダーとして構成した後は、Oktaで取得されてユーザーに割り当てられるIAMロールを作成するか、既存のものを更新します。Oktaでは、「SAML SSO用にAWSのアカウントとロールを構成する」で構成したOkta SAML IDプロバイダーへのアクセス権を付与するように構成されたロールを持つユーザーにのみ、シングルサインオン(SSO)を提供できます。
既存のロールにSSOアクセスを許可する
- AWS管理者コンソールで、左ペインの[Roles(ロール)]をクリックします。
-
Okta SSOアクセスを許可するロールを選択します。
-
ロールの[Trust Relationship(信頼関係)]タブを選択し、[Edit Trust Relationship(信頼関係を編集)]をクリックします。
-
以前に構成したSAML IDPを使用してOktaへのSSOを許可するように、IAM信頼関係ポリシーを変更します。
- ポリシードキュメントが空の場合、提供されているポリシーをコピーして貼り付け、
<COPY & PASTE SAML ARN VALUE HERE>
をAmazonリソースネーム(ARN)に置き換えることができます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "<COPY & PASTE SAML ARN VALUE HERE>"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
-
現在の信頼関係がある場合は、既存のポリシードキュメントを変更して、Okta SSOアクセスも含める必要がある場合があります。少なくとも、Statementコードブロック内にはすべてを含める必要があります。
新しいロールにSSOアクセスを許可する
- AWS管理者コンソールで、左ペインの[Roles(ロール)]をクリックします。
-
に移動します。
-
信頼できるエンティティの[SAML 2.0 federation(SAML 2.0フェデレーション)]のタイプを使用します。
-
SAMLプロバイダーとしてOkta(IDプロバイダーの名前)を選択し、[Allow programmatic and AWS Management Console access(プログラムによるアクセスとAWS管理者コンソールによるアクセスを許可する)]を選択して、[Permissions(権限)]に進みます。
-
作成するロールに割り当てる任意のポリシーを選択します。
-
Finish Role(ロールの構成を完了)します。