AWSロールの信頼できるソースとしてOktaを追加する

OktaをAmazon Web Services(AWS)アカウントIDプロバイダーとして構成した後は、Oktaで取得されてユーザーに割り当てられるIAMロールを作成するか、既存のものを更新します。Oktaでは、 AWSロールの信頼できるソースとしてOktaを追加するで構成したOkta SAML IDプロバイダーへのアクセス権を付与するように構成されたロールを持つユーザーにのみ、シングル・サインオン(SSO)を提供できます。

既存のロールにSSOアクセスを許可する

  1. AWS管理コンソールで、左ペインの[ロール]をクリックします。
  2. Okta SSOアクセスを許可するロールを選択します。

  3. ロールの[信頼関係]タブを選択し、[信頼関係を編集]をクリックします。

  4. 以前に構成したSAML IDPを使用してOktaへのSSOを許可するように、IAM信頼関係ポリシーを変更します。

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"Federated": "<COPY & PASTE SAML ARN VALUE HERE>"

},

"Action": "sts:AssumeRoleWithSAML",

"Condition": {

"StringEquals": {

"SAML:aud": "https://signin.aws.amazon.com/saml"

}

}

}

]

}

    • 現在の信頼関係がある場合は、既存のポリシー・ドキュメントを変更して、Okta SSOアクセスも含める必要がある場合があります。少なくとも、Statementコード・ブロック内にはすべてを含める必要があります。

新しいロールにSSOアクセスを許可する

  1. AWS管理コンソールで、左ペインの[ロール]をクリックします。
  2. [ロール] > [ロールを作成]に移動します。

  3. 信頼できるエンティティーの[SAML 2.0フェデレーション]タイプを使用します。

  4. SAMLプロバイダーとしてOkta(IDプロバイダーの名前)を選択し、[プログラムによるアクセスとAWS管理コンソールによるアクセスを許可する]を選択して、[権限]に進みます。

  5. 作成するロールに割り当てる任意のポリシーを選択します。

  6. ロールの構成を完了します。

次の手順

AWS APIアクセス・キーを生成する