Configuration de connexions Okta - AWS Glue

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de connexions Okta

Okta prend en charge deux types de mécanismes d’authentification :

  • OAuth auth : Okta prend en charge le type de AUTHORIZATION_CODE subvention.

    • Ce type de subvention est considéré comme « à trois étapes » OAuth car il repose sur la redirection des utilisateurs vers le serveur d'autorisation tiers pour authentifier l'utilisateur. Il est utilisé lors de la création de connexions via la AWS Glue console. La AWS Glue console redirige l'utilisateur vers Okta où il doit se connecter et accorder AWS Glue les autorisations demandées pour accéder à son instance Okta.

    • Les utilisateurs peuvent choisir de créer leur propre application connectée dans Okta et de fournir leur propre identifiant client et leur propre secret client lors de la création de connexions via la AWS Glue console. Dans ce scénario, ils seront toujours redirigés vers Okta pour se connecter et autoriser l'accès AWS Glue à leurs ressources.

    • Ce type d’autorisation donne lieu à un jeton d’actualisation et à un jeton d’accès. Le jeton d’accès est de courte durée et peut être actualisé automatiquement sans interaction de l’utilisateur à l’aide du jeton d’actualisation.

    • Pour plus d'informations, consultez la documentation publique d'Okta sur la création d'une application connectée pour le OAuth flux de code d'autorisation.

  • Authentification personnalisée :

    • Pour consulter la documentation publique d’Okta sur la génération des clés d’API requises pour une autorisation personnalisée, consultez la documentation Okta.

Pour configurer une connexion Okta :

  1. Dans AWS Secrets Manager, créez un secret avec les informations suivantes. Il est nécessaire de créer un secret pour chaque connexion dans AWS Glue.

    1. Pour l' OAuth authentification :

      • Pour l’application connectée gérée par le client : le secret doit contenir le secret du consommateur de l’application connectée avec USER_MANAGED_CLIENT_APPLICATION_CLIENT_SECRET comme clé.

    2. Pour l’authentification personnalisée :

      • Pour l’application connectée gérée par le client : le secret doit contenir le secret du consommateur de l’application connectée avec OktaApiToken comme clé.

  2. Dans AWS Glue Studio, créez une connexion sous Connexions de données en suivant les étapes ci-dessous :

    1. Sous Connexions, choisissez Créer une connexion.

    2. Lorsque vous sélectionnez une source de données, sélectionnez Okta.

    3. Indiquez votre sous-domaine Okta.

    4. Sélectionnez l’URL du domaine Okta de votre compte Okta.

    5. Sélectionnez le rôle IAM qui AWS Glue peut assumer et dispose des autorisations nécessaires pour les actions suivantes :

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "*"
    }
  ]
}

    6. Sélectionnez le type d’authentification pour vous connecter à une source de données.

    7. Pour le type OAuth2 d'authentification, fournissez l'application client gérée par l'utilisateur ClientId de l'application Okta.

    8. Sélectionnez celui secretName que vous souhaitez utiliser pour cette connexion AWS Glue afin d'y placer les jetons.

    9. Sélectionnez les options réseau si vous souhaitez utiliser votre réseau.

  3. Accordez au rôle IAM associé à votre AWS Glue travail l'autorisation de liresecretName.

  4. Dans la configuration de votre AWS Glue tâche, fournissez connectionName une connexion réseau supplémentaire.