Konfigurieren von Okta-Verbindungen - AWS Glue

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Okta-Verbindungen

Okta unterstützt zwei Arten von Authentifizierungsmechanismen:

  • OAuth Auth: Okta unterstützt den AUTHORIZATION_CODE Zuschusstyp.

    • Dieser Gewährungstyp wird als „dreibeiniges“ angesehen, OAuth da er darauf beruht, dass Benutzer zur Authentifizierung des Benutzers an den Autorisierungsserver eines Drittanbieters weitergeleitet werden. Er wird verwendet, wenn Verbindungen über die Konsole hergestellt werden. AWS Glue Die AWS Glue Konsole leitet den Benutzer zu Okta weiter, wo er sich anmelden und den angeforderten Berechtigungen für AWS Glue den Zugriff auf seine Okta-Instanz gewähren muss.

    • Benutzer können sich dafür entscheiden, ihre eigene verbundene App in Okta zu erstellen und ihre eigene Client-ID und ihr eigenes Client-Geheimnis anzugeben, wenn sie Verbindungen über die Konsole herstellen. AWS Glue In diesem Szenario werden sie weiterhin zu Okta weitergeleitet, um sich anzumelden und den Zugriff auf ihre Ressourcen AWS Glue zu autorisieren.

    • Dieser Gewährungstyp führt zu einem Aktualisierungstoken und einem Zugriffstoken. Das Zugriffstoken ist kurzlebig und kann mithilfe des Aktualisierungstokens automatisch ohne Benutzerinteraktion aktualisiert werden.

    • Weitere Informationen finden Sie in der öffentlichen Okta-Dokumentation zum Erstellen einer verbundenen App für den Autorisierungscodefluss. OAuth

  • Benutzerdefinierte Autorisierung:

    • Die öffentliche Okta-Dokumentation zum Generieren der erforderlichen API-Schlüssel für die benutzerdefinierte Autorisierung finden Sie in der Okta-Dokumentation.

So konfigurieren Sie eine Verbindung zu Okta:

  1. Erstellen Sie in AWS Secrets Manager ein Geheimnis mit den folgenden Details. Es ist erforderlich, für jede Verbindung in AWS Glue ein Geheimnis zu erstellen.

    1. Für die OAuth Authentifizierung:

      • Für kundenseitig verwaltete verbundene App – Geheimnis muss das Verbrauchergeheimnis der verbundenen App mit USER_MANAGED_CLIENT_APPLICATION_CLIENT_SECRET als Schlüssel enthalten.

    2. Für benutzerdefinierte Autorisierung:

      • Für kundenseitig verwaltete verbundene App – Geheimnis muss das Verbrauchergeheimnis der verbundenen App mit OktaApiToken als Schlüssel enthalten.

  2. Erstellen Sie AWS Glue Studio unter Datenverbindungen eine Verbindung, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie unter „Verbindungen“ die Option Verbindung erstellen aus.

    2. Wählen Sie bei der Auswahl einer Datenquelle Okta aus.

    3. Geben Sie Ihre Okta-Unterdomäne an.

    4. Wählen Sie die Okta-Domänen-URL Ihres Okta-Kontos aus.

    5. Wählen Sie die IAM-Rolle aus, die die folgenden Aktionen übernehmen AWS Glue kann und über Berechtigungen verfügt:

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "*"
    }
  ]
}

    6. Wählen Sie den Authentifizierungstyp aus, um eine Verbindung zur Datenquelle herzustellen.

    7. Geben Sie als OAuth2 Authentifizierungstyp die User Managed Client Application ClientId der Okta-App an.

    8. Wählen Sie den aussecretName, den Sie für diese Verbindung verwenden möchten AWS Glue , um die Token einzufügen.

    9. Wählen Sie die Netzwerkoptionen aus, wenn Sie Ihr Netzwerk verwenden möchten.

  3. Erteilen Sie der mit Ihrem AWS Glue Job verknüpften IAM-Rolle secretName Leserechte.

  4. Stellen connectionName Sie in Ihrer AWS Glue Jobkonfiguration eine zusätzliche Netzwerkverbindung bereit.