Blog de Amazon Web Services (AWS)

Integración de Okta con AWS Managed Active Directory

Por: Caio Ribeiro César, Arquitecto de Soluciones en AWS Brasil

 

AWS Directory Service para Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, permite que las cargas de trabajo y recursos que se ejecutan en AWS  utilicen el servicio de Active Directory administrado en la nube de AWS. AWS Managed Microsoft AD se basa en un Microsoft Active Directory real y no requiere ni de sincronización ni de replicación de datos de otro Active Directory existente en la nube. Este servicio esta construido sobre Windows Server 2012 R2, y cuando usted selecciona e inicia este tipo de directorio, se van a crear con un par de controladores de dominio para brindar alta disponibilidad en el servicio y este a su vez estará  conectado a su VPC (Virtual Private Cloud) o nube privada en AWS. Los controladores de dominio pueden ser ejecutados en diferentes zonas de disponibilidad en una región de su elección y también tienen la opción de replicarse en un modelo de múltiples regiones. El monitoreo y recuperación del host base, la replicación de datos, las copias de seguridad y las actualizaciones de software son tareas que AWS configura y administra automáticamente.

En este blog, analizaremos dos opciones de integración entre AWS Managed AD con el servicio de identidad de Okta:

1) Integración de AWS Managed AD con Okta.

2) Okta «Writeback» para AWS Managed AD.

 

Parte 1) Integración de AWS Managed AD con Okta.

En este modelo, AWS Managed AD es nuestra “fuente de autoridad”. Los usuarios y grupos se crearán en AWS Managed AD y se exportarán a Okta, que en este caso desempeñará el papel de proveedor de identidad externo.

En la consola de Okta, seleccione la opción “Directory Integrations” y “Active Directory”:

 

 

 

 

 

Nos requerimentos de instalação, temos dois pontos importantes:

  • Windows Server 2008 R2 ou posterior (não precisamos instalar o agente no próprio controlador de domínio).
  • Deve ser membro do seu domínio do Active Directory (iremos utilizar uma EC2 Domain Joined ao nosso domínio do AWS Managed AD)

Agora, efetue o Download do agente:

 

 

Ejecute el agente en la instancia de EC2 la cual esta unida a nuestro dominio del AWS Managed AD:

 

 

Proporcione la información de dominio de AD administrado por AWS:

 

 

Liste los usuarios existentes en su dominio actual (vamos a migrar los siguientes usuarios:  “User One” y “User Two). Además de esto, es necesario crear una cuenta que será utilizada por el agente de Okta, llamada “OktaService”, esta cuenta debe tener permisos especiales para el AWS Managed AD. Tenga en cuenta que esta cuenta  se puede crear automáticamente mediante el setup del instalador, como veremos en las siguientes imágenes:

 

 

Proporcione la URL de su cuenta de Okta.

 

 

El setup le solicitará en este paso la autenticación con el portal de Okta que tenga el permiso de administrador:

 

Permita atreves de los permisos detallados el acceso al Agente de AD de Okta y complete la instalación:

 

 

Ahora, regresa al portal de Okta. En esta pantalla podrá visualizar el mensaje de que el agente se ha instalado y que fue inicializado exitosamente:

 

 

 

 

 

Dado que AWS Managed AD tiene una estructura de unidad organizativa (OU) específica, seleccione sólo  las unidades organizativas (OU) necesarias para la sincronización deseada:

 

 

Para la asignación o mapeo de atributos, en mi caso voy a utilizar el modelo predeterminado. Si necesita sincronizar más atributos, seleccione aquellos que tengan sentido para su organización:

 

 

Seleccione los atributos y haga clic en “Done”

 

 

Configuramos una tarea de sincronización diaria para una importación de los datos delta  que se ejecutara cada hora. Seleccione las opciones que tengan mas sentido para su organización:

 

 

En la opción Importar recursos, podemos ver que los dos usuarios de AWS Managed AD ya fueron exportados a Okta:

 

 

Para confirmar la creación de estos objetos en la plataforma siga los siguientes pasos:

 

 

Estos usuarios deben ser habilitados desde el panel “Staged”:

 

 

Ahora abrimos un nuevo navegador o desde una pestaña anónima e iniciamos sesión usando el usuario recientemente  migrado userone@c4iocesar.club:

 

 

¡Listo! ¡Acabamos de integrar AWS Managed AD con Okta!

 

Parte 2) Okta «Writeback» para AWS Managed AD.

Algunas organizaciones eligen Okta como su plataforma de gestión de usuarios. En este modelo, los usuarios se crearán en la solución de Okta y existe la posibilidad de replicarlos a un AWS Managed AD. En los siguientes pasos veremos este proceso.

Inicialmente, crearemos un usuario “local” en Okta en la pestaña “Users” à “Add person”:

 

 

Ahora, iremos a la pestaña de “Admin” à “Directory” à “Groups” :

 

 

Crearemos un nuevo Grupo:

 

 

En este grupo, agregaremos los usuarios que se replicaran al AWS Managed AD:

 

 

Después de agregar el usuario, seleccionamos la opción “Manage Directories”:

 

 

Ahora en este paso agregamos los detalles del Active Directoy que es nuestro AWS Managed AD, para este caso “c4iocesar.club”:

 

 

Seleccionamos una unidad organizativa (OU) específica donde se aprovisionarán los objetos. De nuevo, este paso es importante ya que la cuenta de sincronización no tendrá acceso a otras unidades organizativas (OU) (solo las creadas abajo de esta estructura).

 

 

Todos los usuarios del grupo se replicaran y sincronizarán con su AWS Managed Active Directory. Si añadimos nuevos usuarios a este nuevo grupo, Okta los replicara automáticamente.

 

 

Ahora podemos utilizar a este usuario para iniciar una sesión en nuestro AWS Managed Active Directory!

 

 

Resumen

En este blog, analizamos las integraciones de Okta con AWS Managed Active Directory, mostrando el procedimiento para utilizar cada uno como el proveedor de identidades principal y también vimos como exportar usuarios a través de  ambas plataformas. Para obtener más información sobre AWS Managed AD, haga clic aquí.

 

Este artigo foi traduzido do Blog da AWS em Espanhol.

 


Sobre el autor

Caio Ribeiro Cesar atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 14 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.

 

 

Revisor

Javier Galvez es Senior Arquitecto de Soluciones en AWS Argentina.