使用 AWS IAM 身份中心和 Okta 来联邦管理 Amazon DataZone 的访问权限

重要重点

本文介绍如何通过 AWS IAM 身份中心和 Okta 将访问权限联邦化来使用 Amazon DataZone。读者将学习如何设置 SAML 连接，并在 Okta 中自动配置用户及其群组。

许多客户如今依赖 Okta 或其他身份提供者 (IdP) 来联邦管理其技术堆叠和工具的访问权限。通过联邦化管理，安全团队可以将用户管理集中在一个地方，这有助于简化日常操作并提升灵活性，同时保护最高的安全标准。

Amazon DataZone 使组织内的所有人都能发展数据驱动的文化。为了充分发挥 Amazon DataZone 在数据管理、发现和跨团队协作中的优势，客户通常将其与现有技术堆叠整合。通过身份提供者进行访问管理并保持熟悉的单一登录 (SSO) 体验，客户可以顺利地将 Amazon DataZone 扩展至组织中的各个团队用户，并保持集中控制。

Amazon DataZone 是一项完全管理的数据管理服务，使客户能更快、更简单地目录化、发现、分享和管理存储于 Amazon Web Services (AWS)、本地和第三方来源的数据。它也为数据产出者、分析师和业务用户提供便捷的数据访问，以便他们能够发现、使用并合作得出数据驱动的见解。

你可以使用 AWS IAM 身份中心 为组织的工作团队安全地创建和管理身份，或同步使用已在 Okta 或其他身份提供者中设置的身份，以保持对它们的集中控制。通过 IAM 身份中心，你还可以集中管理组织在 AWS 账户和应用中的 SSO 体验。

本文将指导你如何设置 Okta 作为身份提供者，以便用户登录到 Amazon DataZone。该过程使用 IAM 身份中心及其与 Amazon DataZone 的原生集成来与外部身份提供者整合。尽管本帖专注于 Okta，但所展示的模式依赖于 SAML 20 标准，因此其他 身份提供者 也适用。

先决条件

要构建本文所述的解决方案，你必须具备以下条件：

先决条件说明Okta 开发者或许可帐户需要具有管理用户和权限的许可权限。IAM 身份中心管理员访问权限用于单帐户或多帐户环境。详情见 启用 AWS IAM 身份中心。已建立 Amazon DataZone 域详情见 创建域。为 Amazon DataZone 启用 IAM 身份中心详情见 为 Amazon DataZone 设置 AWS IAM 身份中心。

流程概述

在本文中，你将遵循以下高级步骤：

在 Okta 和 IAM 身份中心之间建立 SAML 连接。在 IAM 身份中心中设置用户和群组的自动配置，以便 Okta 域中的用户和群组可以创建在身份中心中。通过假设 AWS 身份和访问管理 (IAM) 角色来将用户和群组分配到你的 AWS 账户中。通过 Okta SSO 访问 AWS 管理控制台和 Amazon DataZone 入口。在 Amazon DataZone 入口中管理 Amazon DataZone 的特定权限。

设定 Okta 和 IAM 身份中心的用户联邦

本指南遵循 配置 Okta 与 IAM 身份中心的 SAML 和 SCIM 步骤。

在开始之前，查看你 Okta 设置中的以下项目：

每个 Okta 用户必须指定名、姓、用户名和显示名称的值。每个 Okta 用户在数据属性中仅能有一个值，例如电子邮件地址或电话号码。有多个值的用户将无法同步。如果有用户的属性中有多个值，请在尝试将用户配置到 IAM 身份中心之前删除重复的属性。例如，仅能同步一个电话号码属性。因为默认的电话号码属性为 工作电话，所以应使用工作电话属性来存储用户的电话号码，即使用户的电话号码是家庭电话或手机。如果更新用户的地址，必须指定街道地址、城市、州、邮政编码和国码值。如果在同步时未为 Okta 用户指定任何这些值，用户或用户的变更将无法配置。

1) 在 Okta 和 AWS IAM 身份中心之间建立 SAML 连接

现在，让我们在 Okta 和 AWS IAM 身份中心之间建立 SAML 连接。首先，你需要在 Okta 中创建一个应用程序以建立连接：

登录到 Okta 管理仪表板，展开应用程序，然后选择应用程序。在应用程序页面上，选择浏览应用目录。在搜索框中输入 AWS IAM 身份中心，然后选择该应用以添加 IAM 身份中心应用。

接下来的步骤请参照原文。

小结

在本文中，你学习了如何通过 AWS IAM 身份中心和 Okta 成功设置联邦访问 Amazon DataZone 的方法。我们回顾了以 Okta 为身份提供者的每个步骤，涵盖了如何管理用户及其进入 Amazon DataZone 的具体权限。随著你对如何将外部身份提供者整合以联邦访问的了解进一步加深，期待你在其他身份提供者中的应用实践。

如需了解更多内容，请参见 管理 Amazon DataZone 域和用户访问。

了解作者

Carlos Gallegos 是 AWS 的资深分析专家解决方案架构师，他拥有在全球交付结果的丰富经验。你可以通过 LinkedIn 与他联系。

免费又好用的加速器

Jose Romero 是 AWS 的资深解决方案架构师，热衷于帮助客户设计现代化的平台。你可以通过 LinkedIn 与他联系。

Arun Pradeep Selvaraj 是 AWS 的资深解决方案架构师，对数字转型充满热情。他有丰富的创新背景，想要帮助客户解决独特的挑战，随时与他联系 LinkedIn。

欲了解更多内容或有任何问题，请随时联系我们！