次の方法で共有


Okta を ID プロバイダーとして構成する (プレビュー)

この記事では、Microsoft Entra Permissions Management で Amazon Web Services (AWS) アカウントの ID プロバイダー (IdP) として Okta を統合する方法について説明します。

必要なアクセス許可:

取引先企業 必要なアクセス許可 その理由は
権限管理 Permissions Management の管理者 管理者は、AWS 認可システムのオンボード構成を作成および編集できます。
Okta API Access Management の管理者 管理者は、Okta ポータルでアプリケーションを追加して、API スコープを追加または編集できます。
AWS 明示的な AWS のアクセス許可 管理者は cloudformation スタックを実行して、以下を作成できる必要があります: 1. Secrets Manager の AWS シークレット、2. ロールが AWS シークレットを読み取ることを許可する管理ポリシー。

Note

Okta でアマゾン ウェブ サービス (AWS) アプリを構成する際、推奨される AWS ロール グループの構文は (aws#{account alias]#{role name}#{account #]) です。 グループ フィルター名の RegEx パターンの例を以下に示します。

  • ^aws\#\S+\#?{{role}}[\w\-]+)\#(?{{accountid}}\d+)$
  • aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+) Permissions Management は、既定の推奨フィルターを読み取ります。 グループ構文のカスタム RegEx 式はサポートされていません。

Okta を ID プロバイダーとして構成する方法

  1. API Access Management の管理者で Okta ポータルにログインします。
  2. 新しい Okta API サービス アプリケーションを作成します。
  3. 管理コンソールで、[Applications] (アプリケーション) に移動します。
  4. [Create a new app integration] (新しいアプリ統合の作成) ページで、[API Services] (API サービス) を選択します。
  5. アプリケーション統合の名前を入力して [Save] (保存) をクリックします。
  6. 今後の使用のために、クライアント ID をコピーします。
  7. [General] (全般) タブの [Client Credentials] (クライアント資格情報) セクションで、[Edit] (編集) をクリックして、クライアント認証方法を変更します。
  8. クライアント認証方法として [Public key/Private key] (公開キー/秘密キー) を選択します。
  9. [Save keys in Okta] (キーを Okta に保存) を既定のままにして、[Add key] (キーの追加) をクリックします。
  10. [Add] (追加) をクリックし、[Add a public key] (公開キーの追加) ダイアログで、独自の公開キーを貼り付けるか、[Generate new key] (新しいキーの生成) をクリックして、新しい 2048 ビット RSA キーを自動生成します。
  11. 今後の使用のために、公開キー ID をコピーします。
  12. [Generate new key] (新しいキーの生成) をクリックすると、公開および秘密キーが JWK 形式で表示されます。
  13. PEM をクリックします。 秘密キーが PEM 形式で表示されます。 これは、秘密キーを保存する唯一の機会です。 [Copy to clipboard] (クリップボードにコピー) をクリックして秘密キーをコピーし、安全な場所に保存します。
  14. [Done] をクリックします。 これで、新しい公開キーがアプリに登録され、[General] (全般) タブの [PUBLIC KEYS] (公開キー) セクションのテーブルに表示されます。
  15. [Okta API scopes] (Okta API スコープ) タブで、以下のスコープを付与します。
    • okta.users.read
    • okta.groups.read
    • okta.apps.read
  16. 省略可能。 [Application rate limits] (アプリケーションのレート制限) タブをクリックして、このサービス アプリケーションのレート制限容量の割合を調整します。 既定では、新規の各アプリケーションでこの割合が 50% に設定されます。

公開キーを Base64 文字列に変換する

  1. 個人用アクセス トークン (PAT) を使用するための手順を参照してください。

Okta URL (Okta ドメインとも呼ばれます) を見つける

この Okta URL/Okta ドメインは AWS シークレットに保存されています。

  1. 管理者アカウントを使用して Okta 組織にサインインします。
  2. ダッシュボードのグローバル ヘッダーで Okta URL/Okta ドメインを探します。 見つけたら、メモ帳などのアプリで Okta URL を書き留めます。 この URL は、次の手順で必要になります。

AWS スタックの詳細を構成する

  1. Okta アプリケーションからの情報を使用して、CloudFormation Template の [Specify stack details] (スタック詳細の指定) 画面で、以下のフィールドに入力します。
    • Stack name (スタックの名前) - 選択した名前
    • Or URL (または URL) 組織の Okta URL。例: https://companyname.okta.com
    • Client Id (クライアント ID) - Okta アプリケーションの [Client Credentials] (クライアント資格情報) セクションからの情報
    • Public Key Id (公開キー ID) - [Add] (追加) > [Generate new key] (新しいキーの生成) をクリックします。 公開キーが生成されます
    • Private Key (in PEM format) (秘密キー (PEM 形式)) - PEM 形式の秘密キーの Base64 でエンコードされた文字列

    Note

    Base64 文字列に変換する前に、フィールド内のすべてのテキストをコピーする必要があります (BEGIN PRIVATE KEY の前と END PRIVATE KEY の後のダッシュを含む)。

  2. CloudFormation Template の [Specify stack details] (スタック詳細の指定) 画面が完了したら、[Next] (次へ) をクリックします。.
  3. [Configure stack options] (スタック オプションの設定) 画面で [Next] (次へ) をクリックします。
  4. 入力した情報を確認してから、[Submit] (送信) をクリックします。
  5. [Resources] (リソース) タブを選択し、後で使用するために 物理 ID (この ID はシークレットの ARN です) をコピーします。

Microsoft Entra Permissions Management で Okta を構成する

Note

Okta を ID プロバイダーとして統合することは、省略可能な手順です。 これらの手順に戻って、いつでも ID プロバイダーを構成できます。

  1. Permissions Management の起動時に [データ コレクター] ダッシュボードが表示されない場合は、[設定] (歯車アイコン) を選択した後に、[データ コレクター] サブタブを選択します。

  2. [データ コレクター] ダッシュボードで、[AWS] を選択し、[構成の作成] を選択します。 Manage Authorization System (認可システムの管理) の手順を完了します。

    Note

    データ コレクターが AWS アカウントに既に存在し、Okta 統合を追加する場合は、こちらの手順に従います。

    1. Okta 統合を追加したいデータ コレクターを選択します。
    2. [Authorization System Status] (認可システムの状態) の横にある省略記号をクリックします。
    3. [ID プロバイダーの統合] を選択します。
  3. [Integrate Identity Provider (IdP)] (ID プロバイダー (IdP) の統合)] ページで、[Okta] のボックスを選択します。

  4. [Launch CloudFormation Template] (CloudFormation テンプレートの起動) を選択します。 テンプレートが新しいウィンドウで開きます。

    Note

    ここでは、[Integrate Identity Provider (IdP)] (ID プロバイダー (IdP) の統合)] ページで入力するシークレットの Amazon リソース名 (ARN) を作成するための情報を入力します。 Microsoft では、この ARN の読み取りや保存は行いません。

  5. Permissions Management の [Integrate Identity Provider (IdP)] (ID プロバイダー (IdP) の統合)] ページに戻り、シークレットの ARN を指定されたフィールドに貼り付けます。

  6. [次へ] をクリックして、入力した情報を確認します。

  7. [Verify now & save](すぐに確認して保存) をクリックします。 設定された AWS CloudFormation テンプレートがシステムから返されます。

次のステップ