implementazione di riferimento

Okta Advanced Server Access su AWS

Semplifica la gestione dell'accesso ad Amazon EC2 con il software Okta

Consulta la guida all'implementazione

Questa soluzione del partner implementa Okta Advanced Server Access (Okta ASA) nel cloud Amazon Web Services (AWS). La soluzione è destinata ad amministratori di sistema che implementano e gestiscono istanze Amazon Elastic Compute Cloud (Amazon EC2). Aiuta a proteggere l'accesso remoto e a controllare gli account locali e le autorizzazioni mediante l'uso del software Okta.

Dopo l'implementazione di questa soluzione del partner, l'accesso alle istanze EC2 è autenticato e autorizzato tramite un flusso di lavoro Single Sign-On (SSO) su Okta. Questo flusso di lavoro, in grado di fornire l'autenticazione a più fattori contestuale, mitiga il rischio di furto e uso illecito delle credenziali. Riduce anche la necessità di creare controlli aggiuntivi e livelli di gestione attorno ai segreti.

Nello specifico, questa soluzione del partner fornisce un meccanismo per gestire il ciclo di vita di account utenti e gruppi di istanze EC2 locali e le rispettive autorizzazioni a livello di dispositivo. Tutto ciò viene fornito direttamente da Okta Identity Cloud. Quando si utilizza Okta ASA come meccanismo di autenticazione alle istanze EC2, non è necessario affidarsi a credenziali statiche per effettuare l'accesso. Okta utilizza invece un token di accesso monouso, dinamico e temporaneo che si collega direttamente al profilo di accesso con privilegi minimi dell'utente nel database di identità centrale di Okta.

Puoi accedere a istanze Linux EC2 mediante Secure Shell (SSH) o istanze Windows EC2 che utilizzano Remote Desktop Protocol (RDP). Per impostazione predefinita, questa soluzione del partner configura l'accesso SSH a istanze Linux EC2.

Questa soluzione dei partner è stata sviluppata da Okta in collaborazione con AWS. Okta è un partner AWS.

  •  Attività che realizzerai

  • Questa soluzione dei partner prevede quanto segue:

    • Un'architettura ad alta disponibilità che si estende su due zone di disponibilità.*
    • Un Virtual Public Cloud (VPC) configurato con sottoreti pubbliche e private, come da best practice AWS, per offrirti una rete virtuale personale in AWS.*
    • Nelle sottoreti pubbliche:
      • Gateway NAT (Network Address Translation) gestiti che permettono l'accesso Internet in uscita alle risorse all'interno delle sottoreti private.*
      • Un bastion host Linux in un gruppo Auto Scaling. Su questo host è installato l'agente server Okta. Condivide una configurazione per fungere da bastion per l'accesso SSH a istanze EC2 nelle sottoreti private.
    • Nelle sottoreti private, un'istanza Linux EC2 (host di destinazione) in un gruppo Auto Scaling. Su questo host di destinazione è installato l'agente server Okta ed è configurato in modo da essere accessibile solo tramite il bastion host Linux nella sottorete pubblica.*

    * Il modello che implementa la soluzione del partner su un VPC esistente non include i componenti contrassegnati con asterisco e richiede la configurazione del VPC esistente.

    Architettura Quick Start per Okta ASA su AWS
  •  Come effettuare l'implementazione

  • Per implementare questa soluzione del partner, segui le istruzioni nella guida all'implementazione, che include queste fasi.

    1. Crea un progetto Okta ASA e configura la registrazione delle istanze.
    2. Se non disponi ancora di un account AWS, registrati su https://aws.amazon.com e accedi al tuo account.
    3. Avvia la soluzione del partner. L'implementazione dello stack richiede circa 30 minuti. Prima di creare lo stack, scegli la regione AWS dalla barra degli strumenti in alto. Scegli una delle seguenti opzioni:
    4. Prova la distribuzione

    Amazon può condividere informazioni relative all'implementazione con il Partner AWS che ha collaborato con AWS a questa soluzione.  

    Per ulteriori dettagli, consulta la guida all’implementazione
  •  Costi e licenze

  • Questa soluzione del partner richiede una licenza per Okta Advanced Server Access. Questo prodotto è supportato da Okta Identity Cloud per la gestione di utenti e gruppi, la gestione del ciclo di vita degli account, l'autenticazione Single Sign-On e a più fattori.

    Per utilizzare la soluzione del partner nel tuo ambiente di produzione, registrati per Okta ASA. Segui le istruzioni per creare un tenant Okta ASA supportato da un tenant Okta nuovo o esistente. Per implementare il software nel cloud AWS non è necessario un file di licenza.

    Verranno addebitati i costi dei servizi AWS e di qualsiasi licenza di terze parti utilizzati per eseguire questa soluzione. Non sono previsti costi aggiuntivi per l'utilizzo della soluzione.

    Questa soluzione include alcuni parametri di configurazione personalizzabili. Alcune di queste impostazioni, ad esempio il tipo di istanza, incideranno sul costo dell'implementazione. Per una stima dei costi di ogni servizio AWS utilizzato, consulta la pagina dei prezzi. I prezzi sono soggetti a modifiche.

    Suggerimento: dopo l'implementazione della soluzione, crea report di costi e utilizzo di AWS per monitorare i costi associati. Questi report forniscono i parametri di fatturazione a un bucket Amazon Simple Storage Service (Amazon S3) nel tuo account. Inoltre, essi forniscono i costi stimati in base al consumo con cadenza mensile e aggregano i dati alla fine del mese. Per ulteriori informazioni, consulta Che cosa sono i report di costi e utilizzo AWS?