O blog da AWS
Integrando o Okta com o AWS Managed Active Directory
Por: Caio Ribeiro César, Arquiteto de Soluções AWS Brasil
O AWS Directory Service for Microsoft Active Directory, também conhecido como AWS Managed Microsoft AD, permite que cargas de trabalho e recursos da AWS com reconhecimento de diretório usem o Active Directory gerenciado na Nuvem AWS. O AWS Managed Microsoft AD é criado com base em um Microsoft Active Directory real e não exige a sincronização ou replicação de dados do Active Directory existente para a nuvem. Ele é habilitado pelo Windows Server 2012 R2 e quando você seleciona e inicia esse tipo de diretório, ele é criado como um par altamente disponível de controladores de domínio conectados à sua nuvem privada virtual (VPC). Os controladores de domínio são executados em diferentes zonas de disponibilidade em uma região de sua escolha, além de possuir a funcionalidade de multi-região. O monitoramento e a recuperação de host, a replicação de dados, os snapshots e as atualizações de software são configurados e automaticamente gerenciados pela AWS.
Neste Blog Post, iremos discutir como integrar o AWS Managed AD com o serviço de identidade da Okta em duas partes:
1) Integrando o AWS Managed AD com o Okta.
2) “Writeback” Okta para o AWS Managed AD.
Parte 1) Integrando o AWS Managed AD com o Okta.
Neste modelo, o AWS Managed AD é o nosso “Source of Authority”. Os usuários e grupos serão criados no AWS Managed AD e exportados para o Okta, que irá fazer o papel de provedor de identidade externo.
Na console da Okta, selecione a opção “Directory Integrations” e “Active Directory”:
Nos requerimentos de instalação, temos dois pontos importantes:
- Windows Server 2008 R2 ou posterior (não precisamos instalar o agente no próprio controlador de domínio).
- Deve ser membro do seu domínio do Active Directory (iremos utilizar uma EC2 Domain Joined ao nosso domínio do AWS Managed AD)
Agora, efetue o Download do agente:
Execute o agente em um EC2 Windows Domain Joined ao nosso AWS Managed AD:
Adicione a informação do domínio do AWS Managed AD:
Liste os usuários existentes no seu domínio atual (iremos migrar os usuários “UserOne” e “UserTwo”). Além disso, existe a necessidade de criar uma conta que será utilizada pelo agente da Okta, chamada “OktaService”, esta conta deve possuir permissões especiais no AWS Managed AD. Esta conta também pode ser criada automaticamente pelo setup, como podemos ver nas próximas imagens.
Adicione as informações de URL da conta da Okta.
Agora, o setup irá soliciar uma autenticação no portal da Okta com a permissão de administrator:
Libere o acesso para o Okta AD Agent e complete a instalação:
Agora, volte para o portal da Okta. Você poderá ver a mensagem de que o agente foi instalado:
Como o AWS Managed AD possui uma estrutura específica de Organization Unit (OU), selecione apenas as OUs necessárias para o sincronismo:
Para o mapeamento de atributos, irei deixar com o modelo padrão. Caso você precise sincronizar mais atributos, selecione o que fizer sentido para a sua organização:
Selecione os atributos e clique em “Done”:
Configuramos a tarefa de sincronismo diária para uma importação delta a cada hora. Selecione o que fizer sentido para a sua organização:
Na opção de Import, já podemos ver os dois usuários do AWS Managed AD sendo exportados para o Okta:
Iremos confirmar a criação destes objetos na plataforma:
Estes usuários devem ser ativados no dashboard de “Staging area”:
Agora abrimos um novo browser ou aba anônima e logamos utilizando o usuário migrado userone@c4iocesar.club:
Pronto! Acabamos de integrar o AWS Managed AD com o Okta!
Parte 2) “Writeback” Okta para o AWS Managed AD.
Algumas organizações escolhem o Okta como a plataforma de gestão de usuários. Neste modelo, os usuários serão criados no Okta e provisionados para o AWS Managed AD.
Inicialmente, iremos criar um usuário “local” no Okta na tab de “Users” -> “Add Person”:
Agora, iremos na tab de “Admin” -> “Directory” -> “Groups”:
Iremos criar um novo Grupo:
Neste grupo, iremos adicionar os usuários que serão enviados para o AWS Managed AD:
Após adicionar o usuário, selecionamos a opção “Manage Directories”:
Agora, adicionamos o diretório do AWS Managed AD, nesse caso “c4iocesar.club”:
Selecionamos a OU específica que os objetos serão provisionados. Novamente, esta parte é importante já que a conta de sincronismo não terá acesso em outras OUs (apenas as criadas abaixo desta estrutura).
Todos os usuários no grupo serão enviados e sincronizados com o seu AWS Managed Active Directory. Se adicionarmos novos usuários ao grupo, o Okta também os enviará automaticamente.
Agora, já podemos utilizar este usuário para efetuar um login no nosso AWS Managed AD!
Resumo
Neste blog post, discutimos integrações do Okta com o AWS Managed Active Directory, mostrando o procedimento para usar cada um como provedor de identidade e a exportação de usuários entre as plataformas. Para saber mais sobre o AWS Managed AD, clique aqui.
Sobre os autores
Caio Ribeiro Cesar atualmente trabalha como arquiteto de soluções especializadas em tecnologia da Microsoft na nuvem AWS. Ele iniciou sua carreira profissional como administrador de sistemas, que continuou por mais de 14 anos em áreas como Segurança da Informação, Identity Online e Plataformas de Email Corporativo. Recentemente, se tornou fã da computação em nuvem da AWS e auxilia os clientes a utilizar o poder da tecnologia da Microsoft na AWS.
Felipe Bortoletto é um arquiteto de soluções na AWS. Ele tem trabalhado na Amazon desde 2017, começando como Engenheiro de TI, em 2019 ele participou do programa Tech U que proveu o conhecimento e pratica necessário para ser promovido para arquiteto de soluções em 2020. Atualmente está trabalhando com o mercado financeiro e se aprofundando na área de segurança.
Rafael Mantovani é Technical Account Manager para Enterprize na AWS Brasil