Configurazione delle connessioni Okta - AWS Glue

Configurazione delle connessioni Okta

Okta supporta due tipi di meccanismi di autenticazione:

  • Autenticazione OAuth: Okta supporta il tipo di concessione AUTHORIZATION_CODE.

    • Questo tipo di concessione è considerato OAuth “a tre gambe” in quanto si basa sul reindirizzamento degli utenti al server di autorizzazione di terzi per l'autenticazione. Viene utilizzato durante la creazione di connessioni tramite la console AWS Glue. La console AWS Glue reindirizzerà l'utente a Okta, dove deve effettuare l'accesso e consentire AWS Glue le autorizzazioni richieste per poter accedere alla propria istanza di Okta.

    • Gli utenti possono scegliere di creare la propria app connessa in Okta e fornire l'ID client e il segreto client durante la creazione di connessioni tramite la console AWS Glue. In questo scenario, verranno comunque reindirizzati a Okta per accedere e autorizzare AWS Glue ad accedere alle proprie risorse.

    • Questo tipo di concessione genera un token di aggiornamento e uno di accesso. Il token di accesso dura poco tempo e può essere aggiornato automaticamente senza l'interazione dell'utente utilizzando il token di aggiornamento.

    • Per ulteriori informazioni, consultare la documentazione pubblica di Okta sulla creazione di un'app connessa per il flusso OAuth del codice di autorizzazione.

  • Autenticazione personalizzata:

    • Per la documentazione pubblica di Okta sulla generazione delle chiavi API richieste per l'autorizzazione personalizzata, consultare la documentazione di Okta.

Per configurare una connessione Okta:

  1. In AWS Secrets Manager, creare un segreto con i seguenti dettagli. È necessario creare un segreto per ogni connessione in AWS Glue.

    1. Per l'autenticazione OAuth:

      • Per le app connesse gestite dal cliente: il segreto deve contenere l'app connessa Consumer Secret con USER_MANAGED_CLIENT_APPLICATION_CLIENT_SECRET come chiave.

    2. Per l'autenticazione personalizzata:

      • Per le app connesse gestite dal cliente: il segreto deve contenere l'app connessa Consumer Secret con OktaApiToken come chiave.

  2. In AWS Glue Studio, creare una connessione in Connessioni dati seguendo i passaggi riportati qui di seguito:

    1. In Connessioni, scegliere Crea connessione.

    2. Quando si seleziona una Origine dati, selezionare Okta.

    3. Fornire il proprio sottodominio Okta.

    4. Selezionare l'URL del dominio Okta dell'account Okta.

    5. Selezionare il ruolo IAM che AWS Glue può assumere e che dispone delle autorizzazioni per le seguenti azioni:

      JSON
      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "*"
    }
  ]
}

    6. Selezionare il tipo di autenticazione per connetterti a un'origine dati.

    7. Per il tipo di autenticazione OAuth2, fornire l'ID applicazione client gestita dall'utente dell'app Okta.

    8. Selezionare il secretName da utilizzare per questa connessione in AWS Glue per inserire i token.

    9. Selezionare le opzioni di rete se si desidera utilizzare la propria rete.

  3. Concedere al ruolo IAM associato con il processo AWS Glue il permesso di leggere secretName.

  4. Nella configurazione del processo AWS Glue, fornire connectionName come Connessione di rete aggiuntiva.