Configurer Okta en tant qu'IdP pour AWS CLI

L'interface de ligne de commande AWS (AWS CLI) est un outil open source qui permet aux utilisateurs d'interagir avec les services AWS à l'aide du shell de ligne de commande. Vous pouvez intégrer Okta en tant que fournisseur d'identité (IdP) pour la CLI. Cela renforce la sécurité de vos environnements AWS en permettant aux développeurs d'utiliser Okta pour l'authentification unique.

Fonctionnement

Intégrez l'intégration AWS CLI d'Okta dans Admin Console en connectant une application native OIDC à l'application AWS Account Federation basée sur SAML. La CLI gère l'authentification via Okta. Okta interagit ensuite avec le service AWS Security Token Service (STS) pour collecter un rôle approprié pour le développeur à l'aide d'AWS CLI.

Conditions préalables

Intégrez Okta à vos comptes AWS. Consultez Fédération des comptes Amazon Web Service.
Installez AWS CLI pour tester l'intégration. Consultez Débuter avec AWS CLI.
Obtenez okta-aws-cli, soit depuis GitHub , soit via un gestionnaire de packages comme Homebrew ouChocolatey.

Procédure

Cette configuration se compose de trois tâches distinctes :

Configurer une application native OIDC

Connecter l'application OIDC à une application AWS Account Federation

Tester l'intégration AWS CLI d'Okta

Configurer une application native OIDC

Dans Admin Console, accédez à ApplicationsApplications.
Cliquez sur Créer une intégration d'application.
Sélectionnez OIDC - OpenID Connect comme méthode de connexion.
Sélectionnez Application native comme type d'application.
Cliquez sur Suivant. La page Nouvelle intégration d'application native s'ouvre.
Sur la page, indiquez le Nom de l'intégration d'application et un logo (facultatif).
Sélectionnez les types d'autorisation suivants :
- Code d'autorisation
- Autorisation d'appareil
- Échange de jetons (dans les options sous Avancé)
Ignorez URI de redirection de connexion et URI de redirection de déconnexion.
Dans AffectationsAccès contrôlé, sélectionnez Ignorer l'affectation de groupe pour le moment.
Cliquez sur Enregistrer. L'application est créée et l'onglet Général s'affiche, pour modifier ou configurer plus d'options. Aucune modification n'est requise.
Dans l'onglet Général sous Identifiants client, copiez l'identifiant de client.
Dans l'onglet Affectations, affectez l'application aux groupes ou aux individus qui utilisent AWS CLI. Consultez Gestion des utilisateurs.

Connecter l'application OIDC à une application AWS Account Federation

Dans Admin Console, accédez à ApplicationsApplications.
Sélectionnez une application AWS Account Federation configurée.
Cliquez sur l'onglet Authentification, puis sur Modifier.
Sous Paramètres d'authentification avancés, faites défiler jusqu'à Client autorisé pour le SSO Web.
Saisissez l'identifiant de client pour l' pour l'application OIDC que vous avez copiée lors de la tâche précédente.
Cliquez sur Enregistrer.
Répétez ces étapes pour toutes les autres applications AWS Account Federation que vous souhaitez connecter à l'application OIDC native.
Facultatif. Affectez les applications à des politiques de connexion à une application. Consultez Affecter des applications à une politique de connexion à une application.

Tester l'intégration AWS CLI d'Okta

Assurez-vous que l'intégration fonctionne en la testant dans AWS CLI.

Dans AWS CLI, saisissez la commande suivante :
$ okta-aws-cli
L'invite suivante apparaît :
Open the following URL to begin Okta device authorization for the AWS CLI. https://your-org.okta.com/activate?user_code=<usercode>
Ouvrez l'URL dans un navigateur Web et suivez l'invite.
Dans AWS CLI, choisissez un fournisseur d'identité :
? Choose an IdP: arn:aws:iam::123456789012:saml-provider/My_IdP
Sélectionnez un IdP dans la liste des fournisseurs d'identité SAML disponibles pour l'utilisateur.
Choisissez un rôle IAM.
? Choose a Role: arn:aws:iam::456789012345:role/My_Role
Sélectionnez un rôle IAM dans la liste des rôles IAM d'AWS associés à l'IdP que vous avez choisi.