AWS

Cómo configurar SAML 2.0 para Federación de cuentas de AWS

Cómo configurar SAML 2.0 para Federación de cuentas de AWS
SAML es un estándar para registrar usuarios al permitir que los proveedores de identidad pasen las credenciales de inicio de sesión a los proveedores de servicios. Hay varias ventajas de este estándar de inicio de sesión único (SSO) sobre el inicio de sesión con nombres de usuario y contraseñas, como que no es necesario que ingrese las credenciales y que nadie tenga que recordar las contraseñas y renovarlas. La mayoría de las organizaciones ahora conocen las identidades de los usuarios cuando inician sesión en su Active Directory. Usar estos datos para registrar usuarios en otros programas, como aplicaciones basadas en web, tiene sentido, y una de las formas más sofisticadas de hacerlo es usar SAML. La identificación del cliente se mueve de una ubicación (proveedor de identidad) a otra (proveedor de servicios) mediante SAML SSO. Esto se logra mediante el intercambio de documentos XML que están firmados digitalmente.

Los usuarios finales pueden usar SAML SSO para autenticarse en una o más cuentas de AWS y obtener acceso a posiciones particulares gracias a la integración de Okta con AWS. Los administradores de Okta pueden descargar roles en Okta desde uno o más AWS y asignarlos a los usuarios. Además, los administradores de Okta también pueden establecer la duración de la sesión de usuario autenticado usando Okta. Las pantallas de AWS que contienen una lista de roles de usuario de AWS se proporcionan a los usuarios finales. Pueden elegir un rol de inicio de sesión para asumir, lo que determinará sus permisos durante la duración de esa sesión autenticada.

Para agregar una sola cuenta de AWS a Okta, siga estas instrucciones que se proporcionan a continuación:

Configuración de Okta como proveedor de identidad:

En primer lugar, debe configurar Okta como proveedor de identidad y establecer una conexión SAML. Inicie sesión en su consola de AWS y seleccione la opción "Administración de acceso e identidad" en el menú desplegable. Desde la barra de menú, abra "Proveedores de identidad" y cree una nueva instancia para proveedores de identidad haciendo clic en "Agregar proveedor.”Aparecerá una nueva pantalla, conocida como pantalla Configurar proveedor.

Aquí seleccione "SAML" como el "Tipo de proveedor", ingrese "Okta" como "Nombre del proveedor" y cargue el Documento de metadatos que contiene la siguiente línea:

Una vez que haya terminado de configurar el proveedor de identidad, vaya a la lista de proveedores de identidad y copie el valor "ARN del proveedor" para el proveedor de identidad que acaba de desarrollar.

Agregar proveedor de identidad como fuente confiable:

Después de configurar Okta como el proveedor de identidad que Okta puede recuperar y asignar a los usuarios, puede crear o actualizar las posiciones de IAM existentes. Okta SSO solo puede ofrecer a sus usuarios roles configurados para otorgar acceso al proveedor de identidad Okta SAML previamente instalado.

Para otorgar acceso a roles ya presentes en la cuenta, primero elija el rol que desea que Okta SSO use en la opción "Roles" de la barra de menú. Edite la "Relación de confianza" para ese rol en la pestaña de relación de texto. Para permitir que SSO en Okta use el proveedor de identidad SAML que configuró anteriormente, debe cambiar la política de relación de confianza de IAM. Si su póliza está vacía, escriba el siguiente código y sobrescriba con el valor que copió mientras configuraba Okta:

De lo contrario, simplemente edite el documento ya escrito. En caso de que desee otorgar acceso a un nuevo rol, vaya a Crear rol desde la pestaña Roles. Para el tipo de entidad de confianza, use SAML 2.0 federación. Proceda al permiso después de seleccionar el nombre de IDP como proveedor de SAML, i.mi., Okta, y permitiendo el acceso de control programático y de administración. Seleccione la política que se asignará a ese nuevo rol y finalice la configuración.

Generando la clave de acceso API para Okta para descargar roles:

Para que Okta importe automáticamente una lista de posibles roles desde su cuenta, cree un usuario de AWS con permisos únicos. Esto hace que sea rápido y seguro para los administradores delegar usuarios y grupos en roles particulares de AWS. Para hacer esto, primero seleccione IAM desde la consola. En esa lista, haga clic en Usuarios y Agregar usuario desde ese panel.

Haga clic en Permisos después de agregar el nombre de usuario y otorgar acceso mediante programación. Crear política después de seleccionar la opción "Adjuntar políticas" directamente y hacer clic en "Crear política".”Agregue el código que se proporciona a continuación, y su documento de política se verá así:

Para obtener más información, consulte la documentación de AWS si es necesario. Ingrese el nombre preferido de su póliza. Regrese a la pestaña Agregar usuario y adjunte la política creada recientemente. Busque y elija la política que acaba de crear. Ahora guarde las claves mostradas, yo.mi., Identificación de la clave de acceso y clave de acceso secreta.

Configuración de la federación de cuentas de AWS:

Después de completar todos los pasos anteriores, abra la aplicación de federación de cuentas de AWS y cambie algunas configuraciones predeterminadas en Okta. En la pestaña Iniciar sesión, edite su tipo de entorno. La URL de ACS se puede configurar en el área de URL de ACS. Generalmente, el área de URL de ACS es opcional; no es necesario insertarlo si su tipo de entorno ya está especificado. Ingrese el valor ARN del proveedor del proveedor de identidad que ha creado al configurar Okta y especifique también la duración de la sesión. Combine todos los roles disponibles asignados a cualquier persona haciendo clic en la opción Unirse a todos los roles.

Después de guardar todos estos cambios, elija la siguiente pestaña, yo.mi., Pestaña Aprovisionamiento y edite sus especificaciones. La integración de la aplicación AWS Account Federation no admite el aprovisionamiento. Proporcione acceso de API a Okta para descargar la lista de roles de AWS utilizados durante la asignación de usuarios habilitando la integración de API. Ingrese los valores de las claves que ha guardado después de generar las claves de acceso en los campos respectivos. Proporcione los ID de todas sus cuentas conectadas y verifique las credenciales de la API haciendo clic en la opción Probar credenciales de la API.

Cree usuarios y cambie los atributos de la cuenta para actualizar todas las funciones y permisos. Ahora, seleccione un usuario de prueba de la pantalla Asignar personas que probará la conexión SAML. Seleccione todas las reglas que desea asignar a ese usuario de prueba de los roles de usuario SAML que se encuentran en la pantalla de asignación de usuarios. Después de completar el proceso de asignación, el tablero de Okta de prueba muestra un ícono de AWS. Haga clic en esa opción después de iniciar sesión en la cuenta de usuario de prueba. Verás una pantalla de todas las tareas asignadas a ti.

Conclusión:

SAML permite a los usuarios usar un conjunto de credenciales autorizadas y conectarse con otras aplicaciones y servicios web habilitados para SAML sin más inicios de sesión. AWS SSO simplifica la supervisión a medias del acceso federado a varios registros, servicios y aplicaciones de AWS y brinda a los clientes una experiencia de inicio de sesión único en todos sus registros, servicios y aplicaciones asignados desde un solo lugar. AWS SSO trabaja con un proveedor de identidad de su elección, i.mi., Okta o Azure a través del protocolo SAML.

Ratón Cómo cambiar la configuración del mouse y el panel táctil con Xinput en Linux
Cómo cambiar la configuración del mouse y el panel táctil con Xinput en Linux
La mayoría de las distribuciones de Linux se envían con la biblioteca "libinput" de forma predeterminada para manejar eventos de entrada en un sistema...
Ratón Vuelva a asignar los botones del mouse de manera diferente para diferentes programas con X-Mouse Button Control
Vuelva a asignar los botones del mouse de manera diferente para diferentes programas con X-Mouse Button Control
Tal vez necesite una herramienta que pueda hacer que el control de su mouse cambie con cada aplicación que use. Si este es el caso, puede probar una a...
Ratón Revisión del mouse inalámbrico Microsoft Sculpt Touch
Revisión del mouse inalámbrico Microsoft Sculpt Touch
Recientemente leí sobre el Microsoft Sculpt Touch mouse inalámbrico y decidí comprarlo. Después de usarlo por un tiempo, decidí compartir mi experienc...