Configuration de connexions Okta - AWS Glue

Configuration de connexions Okta

Okta prend en charge deux types de mécanismes d’authentification :

  • Authentification OAuth : Okta prend en charge le type d’autorisation AUTHORIZATION_CODE.

    • Ce type d’autorisation est considéré comme OAuth tridimensionnel, car il repose sur la redirection des utilisateurs vers le serveur d’autorisation tiers pour authentifier l’utilisateur. Il est utilisé lors de la création de connexions via la console AWS Glue. La console AWS Glue redirigera l’utilisateur vers Okta où il doit se connecter et accorder à AWS Glue les autorisations demandées pour accéder à son instance Okta.

    • Les utilisateurs peuvent choisir de créer leur propre application connectée dans Okta et de fournir leur propre ID et secret client lors de la création de connexions via la console AWS Glue. Dans ce scénario, ils seront toujours redirigés vers Okta pour se connecter et autoriser AWS Glue à accéder à leurs ressources.

    • Ce type d’autorisation donne lieu à un jeton d’actualisation et à un jeton d’accès. Le jeton d’accès est de courte durée et peut être actualisé automatiquement sans interaction de l’utilisateur à l’aide du jeton d’actualisation.

    • Pour plus d’informations, consultez la documentation publique d’Okta sur la création d’une application connectée pour le flux du code d’autorisation OAuth.

  • Authentification personnalisée :

    • Pour consulter la documentation publique d’Okta sur la génération des clés d’API requises pour une autorisation personnalisée, consultez la documentation Okta.

Pour configurer une connexion Okta :

  1. Dans AWS Secrets Manager, créez un secret avec les informations suivantes. Il est nécessaire de créer un secret pour chaque connexion dans AWS Glue.

    1. Pour l’authentification OAuth :

      • Pour l’application connectée gérée par le client : le secret doit contenir le secret du consommateur de l’application connectée avec USER_MANAGED_CLIENT_APPLICATION_CLIENT_SECRET comme clé.

    2. Pour l’authentification personnalisée :

      • Pour l’application connectée gérée par le client : le secret doit contenir le secret du consommateur de l’application connectée avec OktaApiToken comme clé.

  2. Dans AWS Glue Studio, créez une connexion sous Connexions de données en procédant comme suit :

    1. Sous Connexions, choisissez Créer une connexion.

    2. Lorsque vous sélectionnez une source de données, sélectionnez Okta.

    3. Indiquez votre sous-domaine Okta.

    4. Sélectionnez l’URL du domaine Okta de votre compte Okta.

    5. Sélectionnez le rôle IAM qu’AWS Glue peut endosser et qui dispose des autorisations nécessaires pour les actions suivantes :

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "*"
    }
  ]
}

    6. Sélectionnez le type d’authentification pour vous connecter à une source de données.

    7. Pour le type d’authentification OAuth2, indiquez l’ID client de l’application client gérée par l’utilisateur de l’application Okta.

    8. Sélectionnez le secretName que vous souhaitez utiliser pour cette connexion dans AWS Glue afin d’y placer les jetons.

    9. Sélectionnez les options réseau si vous souhaitez utiliser votre réseau.

  3. Accordez au rôle IAM associé à votre tâche AWS Glue l’autorisation de lire secretName.

  4. Dans la configuration de votre tâche AWS Glue, indiquez connectionName en tant que Connexion réseau supplémentaire.