本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置Okta为 AppFabric
<a name="okta"></a>

Okta 是举世闻名的公司。作为领先的独立身份合作伙伴，Okta 让每个人都可以随时随地在任何设备或应用程序上安全地使用任何技术。最值得信赖的品牌信赖 Okta 能够实现安全访问、身份验证和自动化。灵活性和中立性是 Okta 劳动力身份和客户身份云的核心，借助可定制的解决方案和 7,000 多个预先构建的集成，企业领导者和开发人员可以专注于创新并加快数字化转型。Okta 正在建设一个身份属于您的世界。在 okta .com 上了解更多信息。

 AWS AppFabric 出于安全考虑，您可以使用来审核来自的日志和用户数据Okta，将数据标准化为开放网络安全架构框架 (OCSF) 格式，并将数据输出到亚马逊简单存储服务 (Amazon S3) 存储桶或亚马逊数据 Firehose 流。

**Topics**
+ [AppFabric 支持 Okta](#okta-appfabric-support)
+ [正在 AppFabric 连接您的Okta账户](#okta-appfabric-connecting)

## AppFabric 支持 Okta
<a name="okta-appfabric-support"></a>

AppFabric 支持接收来自的用户信息和审核日志Okta。

### 先决条件
<a name="okta-prerequisites"></a>

 AppFabric 要使用将审核日志从支持的目标传输Okta到支持的目的地，您必须满足以下要求：
+ 您可以 AppFabric 与任何Okta计划类型一起使用。
+ 您的 Okta 账户中必须有具有**超级管理员**角色的用户。
+ 在中批准应用程序授权的用户还 AppFabric 必须在您的Okta账户中拥有**超级管理员**角色。

### 速率限制注意事项
<a name="okta-rate-limit"></a>

Okta 对 Okta API 施加速率限制。如需详细了解 Okta API 速率限制，请参阅 Okta 网站上 *Okta 开发人员指南*中的[速率限制](https://developer.okta.com/docs/reference/rate-limits/)。如果您的现有 API 应用程序 AppFabric 和您的现有 Okta API 应用程序Okta的组合超出限制，则显示在中的审核日志 AppFabric 可能会延迟。

### 数据延迟注意事项
<a name="okta-data-delay"></a>

审计事件发送到目标位置的时间可能会延迟多达 30 分钟。这是应用程序提供的审核事件延迟或为减少数据丢失而采取的预防措施所致。不过，这可以在账户级别进行自定义。如需帮助，请联系 [支持](https://aws.amazon.com/contact-us/)。

## 正在 AppFabric 连接您的Okta账户
<a name="okta-appfabric-connecting"></a>

在 AppFabric 服务中创建应用程序包后，必须 AppFabric使用进行授权Okta。要查找授权所需的信息 Okta AppFabric，请使用以下步骤。

### 创建 OAuth 应用程序
<a name="okta-create-oauth-application"></a>

AppFabric 与Okta使用集成 OAuth。要创建要连接的 OAuth应用程序 AppFabric，请按照*Okta帮助*中心网站[创建 OIDC 应用程序集成](https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm)中的说明进行操作。以下是以下配置注意事项 AppFabric：

1. 对于**应用程序类型**，选择 **Web 应用程序**。

1. 对于**授予类型**，请选择**授权码**和**刷新令牌**。

1. 使用以下格式的重定向 URL 作为**登录重定向 URI** 和**注销重定向 URI**。

   ```
   https://{{<region>}}.console.aws.amazon.com/appfabric/oauth2
   ```

   此 URL AWS 区域 中{{<region>}}是您在其中配置 AppFabric 应用程序包的代码。例如，美国东部（弗吉尼亚州北部）区域的代码为 `us-east-1`。对于该区域，重定向 URL 为 `https://{{us-east-1}}.console.aws.amazon.com/appfabric/oauth2`。

1. 您可以跳过**可信来源**配置。

1. 在**受控访问**配置中向 Okta 组织中的每个人授予访问权限。
**注意**  
如果您在初始创建 OAuth 应用程序时跳过此步骤，则可以使用应用程序配置页面上的 “**任务” 选项卡将组织中的所有人分配**为一个小组。

1. 您可以将所有其他选项保留为默认值。

### 所需范围
<a name="okta-required-scopes"></a>

您必须将以下范围添加到您的Okta OAuth应用程序中：
+ `okta.logs.read`
+ `okta.users.read`

### 应用程序授权
<a name="okta-app-authorizations"></a>

#### 租户编号
<a name="okta-tenant-id"></a>

AppFabric 将请求租户 ID。中的租户 ID AppFabric 是您的Okta域名。有关查找 Okta 域名的更多信息，请参阅 Okta 网站上 *Okta 开发人员指南*中的[查找您的 Okta 域名](https://developer.okta.com/docs/guides/find-your-domain/main/)。

#### 租户名称
<a name="okta-tenant-name"></a>

输入标识此唯一Okta组织的名称。 AppFabric 使用租户名称来标记应用程序授权和通过应用程序授权创建的任何摄取。

#### 客户端 ID
<a name="okta-client-id"></a>

AppFabric 将请求客户端 ID。要在 Okta 中查找您的客户端 ID，请按以下步骤操作：

1. 导航到 Okta 开发人员控制台。

1. 选择**应用程序**选项卡。

1. 选择您的应用程序，然后选择**常规**选项卡。

1. 滚动至**客户端凭证**部分。

1. 在的 “客户端 ID” 字段中输入 OAuth 来自**客户的客户端 ID** AppFabric。

#### 客户端密钥
<a name="okta-client-secret"></a>

AppFabric 将请求客户机密钥。要在 Okta 中查找您的客户端密钥，请执行以下步骤：

1. 导航到 Okta 开发人员控制台。

1. 选择**应用程序**选项卡。

1. 选择您的应用程序，然后选择**常规**选项卡。

1. 滚动至**客户端凭证**部分。

1. 在的 “客户机密钥” 字段中输入 OAuth 应用程序中的**客户机密钥** AppFabric。

#### 批准授权
<a name="okta-approve-authorization"></a>

在中创建应用程序授权后 AppFabric，您将收到一个Okta用于批准授权的弹出窗口。要批准 AppFabric 授权，请选择**允许**。批准 Okta 授权的用户必须在 Okta 中拥有**超级管理员**权限。