OktaでAmazon Web Servicesアカウントフェデレーションアプリを構成する

Amazon Web Services（AWS）アプリ統合では、プロビジョニングはサポートされていません。プロビジョニング（Provisioning）タブでのこの設定は、OktaにAPIアクセスを提供して、ユーザー割り当て時に割り当てるAWSロールのリストをダウンロードするために必要です。AWSアプリ統合により、ユーザーに複数のロールを割り当て、SAMLアサーションでそれらのロールを渡すことができます。

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. 検索（Search）フィールドにAWSと入力します。
3. AWSアカウントフェデレーション（AWS Account Federation）をクリックし、サインオン（Sign On）タブを選択します。
4. 設定（Edit）セクションの編集（Edit）（Settings）をクリックします。
5. 高度なサインオン設定（Advanced Sign-On Settings）セクションで、次のフィールドに入力します。
   • AWS環境（SAML SSOに必要）（AWS Environment (Required for SAML SSO)）：環境タイプ（environment Type）を選択します。該当するタイプがリストにない場合は、［ACS URL］フィールドで目的のACS URLを設定できます。［ACS URL］フィールドはオプションです。環境タイプがリストにある場合、ACS URLを入力する必要はありません。

   • ACS URL（オプションで、SAML SSOにのみ関連）（ACS URL (optional & only relevant to SAML SSO)）：環境タイプがAWS環境リストにない場合、ACS URLを入力します。

   • Identity Provider ARN (Required only for SAML SSO)（IDプロバイダーARN（SAML SSOにのみ必要））：コピーしたIDプロバイダーARNを貼り付けます。

   • Session Duration (required only for SAML SSO)（セッション期間（SAML SSOにのみ必要））：デフォルト値を受け入れるか、値を入力します。

   • すべてのロールに参加（Join all roles）：AWS SAMLですべてのロールを使用するには、このチェックボックスをオンにします。ユーザーにRole1とRole2が直接割り当てられ（ユーザーからアプリへの割り当て）、そのユーザーがRoleAとRoleBが割り当てられた（グループからアプリへの割り当て）グループGroupAWSに属している場合にすべてのロールに参加をオフ（Join all roles OFF）にすると、Role1とRole2をAWSへのログイン時に使用できます。すべてのロールに参加をオン（Join all roles ON）にすると、Role1、Role2、RoleA、RoleBをAWSへのログイン時に使用できます。

     グループマッピングを使用（Use Group Mapping）：ユーザーグループ機能を使用してOktaを複数のAWSインスタンスに接続するには、このチェックボックスをオンにします。

6. 保存（［Save）］をクリックします。
7. プロビジョニング（Provisioning）タブを選択してAPI統合を有効化（Enable API Integration）をクリックします。
8. API統合を有効化（Enable API Integration）チェックボックスをオンにして、次のフィールドに入力します。
   • 任意（API URL）（API URL (optional)）：任意。API URLを入力します。環境タイプがリストされている場合、このフィールドに入力する必要はありません。環境タイプがドロップダウンにない場合、ここにAPI URLを入力します。環境のAPI URLを確認するには、AWSに問い合わせる必要がある場合があります。

   • アクセスキー（Access Key）：コピーしたアクセスキーを貼り付けます。

   • 秘密鍵（Secret Key）：コピーしたアクセスキーを貼り付けます。

   • 連携されたアカウントID（Connected Accounts IDs）：任意。連携されたアカウントのIDのコンマ区切りリストを指定します。これは、マイアカウント（My Accounts）ページの各AWSアカウントの左上隅にあります。

     注:

     サインオン（Sign On）モードとしてAmazon AWS IAMロールを使用するように構成されたAWSインスタンスがあり、そのインスタンスから任意の子アカウントを削除すると、そのロールのプロビジョニングが削除されます。システムログにイベントが生成されます。

9. 任意。API認証情報をテスト（Test API Credentials）をクリックして、API資格情報が機能していることを確認します。
10. 保存（Save）をクリックします。
11. アプリにプロビジョニング（Provisioning to App）セクションで、編集（Edit）をクリックし、ユーザーを作成（Create Users）（Enable）およびユーザー属性を更新（Update User Attributes）（Create Users）の有効化（Enable）（Update User Attributes）をオンにします。
12. 保存（Save）をクリックします。
13. 割り当て（Assignments）タブを選択し、割り当て（Assign） > ユーザーに割り当て（Assign to People）をクリックします。
14. 適切なユーザーを選択し、割り当てる（Assign）をクリックします。
15. デフォルトのユーザー名のままにするか、ユーザー名を入力します。
16. ロールを選択してから保存して戻る（Save and Go Back）をクリックします。

    属性IdPとロールのペア（内部属性）が表示されている場合は、無視してください。これは内部属性であり、ユーザーの割り当てには影響しません。

17. 任意。ステップ14を繰り返してユーザーを追加します。
18. 完了（［Done）］ をクリックします。
19. テストユーザーとしてOkta orgにサインインし、AWSアプリをクリックします。
20. ロールを選択してサインイン（Sign In）をクリックします。
21. エラーがなく、サインインが正常に行われたことを確認します。