Cómo configurar SAML 2.0 para la federación de cuentas de AWS

SAML es un estándar para los usuarios de registro al permitir que los proveedores de identidad pasen credenciales de inicio de sesión a los proveedores de servicios. Hay varias ventajas en este estándar de inicio de sesión único (SSO) sobre el registro del uso de nombres de usuario y contraseñas, como no necesita escribir credenciales, y nadie tiene que recordar contraseñas y renovarlas. La mayoría de las organizaciones ahora conocen las identidades de los usuarios a medida que inician sesión en su directorio activo. El uso de estos datos para registrar a los usuarios en otros programas, como aplicaciones basadas en la web, tiene sentido y una de las formas más sofisticadas de hacerlo es usar SAML. La identificación del cliente se mueve de una ubicación (proveedor de identidad) a otro (proveedor de servicios) utilizando SAML SSO. Esto se logra mediante el intercambio de documentos XML que están firmados digitalmente.

Los usuarios finales pueden usar SAML SSO para autenticarse en una o más cuentas de AWS y obtener acceso a posiciones particulares gracias a la integración de Okta con AWS. Los administradores de Okta pueden descargar roles en OKTA de uno o más AWS y asignarlos a los usuarios. Además, los administradores de OKTA también pueden establecer la longitud de la sesión de usuario autenticada usando OKTA. Las pantallas de AWS que contienen una lista de roles de usuario de AWS se proporcionan a los usuarios finales. Pueden elegir un papel de inicio de sesión para asumir, lo que determinará sus permisos para la duración de esa sesión autenticada.

Para agregar una sola cuenta de AWS a OKTA, siga estas instrucciones a continuación:

Configuración de OKTA como proveedor de identidad:

En primer lugar, debe configurar OKTA como proveedor de identidad y establecer una conexión SAML. Inicie sesión en su consola AWS y seleccione la opción "Gestión de identidad y acceso" en el menú desplegable. Desde la barra de menú, abra "proveedores de identidad" y cree una nueva instancia para proveedores de identidad haciendo clic en "Agregar proveedor."Aparecerá una nueva pantalla, conocida como pantalla Configuración del proveedor.

Aquí seleccione "SAML" como "Tipo de proveedor", ingrese "OKTA" como "Nombre del proveedor" y cargue el documento de metadatos que contiene la siguiente línea:

Después de que haya terminado de configurar el proveedor de identidad, vaya a la lista de proveedores de identidad y copie el valor "ARN del proveedor" para el proveedor de identidad que acaba de desarrollar.

Agregar proveedor de identidad como fuente confiable:

Después de configurar OKTA como el proveedor de identidad que OKTA puede recuperar y asignar a los usuarios, puede construir o actualizar las posiciones IAM existentes. OKTA SSO solo puede ofrecer a sus usuarios roles configurados para otorgar acceso al proveedor de identidad OKTA SAML previamente instalado.

Para dar acceso a roles ya presentes en la cuenta, primero elija el papel que desea que Okta SSO use desde la opción "Roles" desde la barra de menú. Editar la "relación de confianza" para ese papel de la pestaña Relación de texto. Para permitir que SSO en Okta use el proveedor de identidad SAML que configuró anteriormente, debe cambiar la política de relación de confianza IAM. Si su póliza está vacía, escriba el siguiente código y sobrescribe con el valor que copió al configurar OKTA:

De lo contrario, simplemente edite el documento ya escrito. En caso de que desee dar acceso a un nuevo rol, vaya a crear rol desde la pestaña Roles. Para el tipo de entidad de confianza, use Saml 2.0 Federación. Proceda al permiso después de seleccionar el nombre de IDP como proveedor SAML, yo.mi., OKTA, y permitiendo el acceso a la gestión y el control programático. Seleccione la política que se asignará a ese nuevo rol y finalice la configuración.

Generación de la clave de acceso API para OKTA para descargar roles:

Para que OKTA importe automáticamente una lista de roles posibles desde su cuenta, cree un usuario de AWS con permisos únicos. Esto hace que sea rápido y seguro para los administradores delegar a los usuarios y grupos a roles de AWS particulares. Para hacer esto, primero seleccione IAM en la consola. En esa lista, haga clic en los usuarios y agregue el usuario de ese panel.

Haga clic en los permisos después de agregar el nombre de usuario y dar el acceso programático. Crear política después de seleccionar la opción "Adjuntar políticas" directamente y haga clic en "Crear política."Agregue el código que se proporciona a continuación, y su documento de política se verá así:

Para más detalles, consulte la documentación de AWS si es necesario. Ingrese el nombre preferido de su póliza. Vuelva a su pestaña Agregar usuario y adjunte la política creada recientemente. Busque y elija la política que acaba de crear. Ahora guarda las llaves que se muestran, yo.mi., ID de clave de acceso y clave de acceso secreto.

Configuración de la federación de cuenta de AWS:

Después de completar todos los pasos anteriores, abra la aplicación de la Federación de Cuentas de AWS y cambie algunas configuraciones predeterminadas en OKTA. En la pestaña Iniciar sesión, edite su tipo de entorno. La URL de ACS se puede establecer en el área de URL de ACS. En general, el área de URL de ACS es opcional; No necesita insertarlo si su tipo de entorno ya está especificado. Ingrese el valor ARN del proveedor del proveedor de identidad que ha creado al configurar OKTA y especifique la duración de la sesión también. Fusionar todos los roles disponibles asignados a cualquier persona haciendo clic en la opción de unir todos los roles.

Después de guardar todos estos cambios, elija la siguiente pestaña, yo.mi., Pestaña de aprovisionamiento y editar sus especificaciones. La integración de aplicaciones de la federación de cuentas de AWS no admite el aprovisionamiento. Proporcione acceso de API a OKTA para descargar la lista de los roles de AWS utilizados durante la asignación del usuario al habilitar la integración API. Ingrese los valores de claves que ha guardado después de generar las claves de acceso en los campos respectivos. Proporcione ID de todas sus cuentas conectadas y verifique las credenciales de API haciendo clic en la opción de credenciales de API de prueba.

Crear usuarios y cambiar los atributos de la cuenta para actualizar todas las funciones y permisos. Ahora, seleccione un usuario de prueba de la pantalla Asignar personas que prueben la conexión SAML. Seleccione todas las reglas que desea asignar a ese usuario de prueba en los roles de usuario de SAML que se encuentran en la pantalla de asignación de usuario. Después de completar el proceso de asignación, la prueba del tablero de Okta muestra un icono de AWS. Haga clic en esa opción después de iniciar sesión en la cuenta de usuario de prueba. Verá una pantalla de todas las tareas que se le asignan.

Conclusión:

SAML permite a los usuarios usar un conjunto de credenciales autorizadas y conectarse con otras aplicaciones y servicios web habilitados para SAML sin más firmas. AWS SSO hace que sea simple supervisar el acceso federado a varios registros, servicios y aplicaciones de AWS y brinda a los clientes una experiencia de inicio de sesión único a todos sus registros, servicios y aplicaciones asignados desde un lugar. AWS SSO funciona con un proveedor de identidad de su propia elección, yo.mi., Okta o Azure a través del protocolo SAML.