将 AWS IoT SiteWise 和 Fleet Hub 与 IAM 身份中心和 Okta 集成

AWS IoT SiteWise与Fleet Hub的IAM身份中心和Okta集成

关键要点

本文提供AWS IoT SiteWise与Fleet Hub的IAM身份中心和Okta集成的分步指导。借助Okta，您可以使用外部身份提供者管理AWS账户中的用户身份。配置单点登录SSO，让用户能用现有的公司凭证访问AWS IoT SiteWise Monitor和Fleet Hub。

引言

许多组织正在使用外部身份提供者IdP来管理用户身份。通过身份提供者，您可以在AWS外部管理用户身份，并为这些外部用户身份分配在您的AWS账户中使用AWS资源的权限。像Okta Universal Directory这样的外部身份提供者可以与AWS IAM身份中心AWS单点登录的继任者集成，成为AWS IoT SiteWise和AWS IoT设备管理的Fleet Hub的真实来源。

龙猫加速器

AWS IoT SiteWise Monitor和Fleet Hub支持AWS IAM身份中心认证的单点登录SSO体验。用户可以使用其现有的公司凭证访问AWS IoT SiteWise Monitor和Fleet Hub。身份提供者管理员可以继续在其现有身份系统中管理用户和组，并将其与AWS IAM身份中心同步。AWS IAM身份中心使管理员能够连接他们现有的外部身份提供者。

在本文中，我们将逐步指导您如何设置AWS IoT SiteWise Monitor和Fleet Hub的SSO，并将其与Okta Universal Directory集成。

前提条件

要使用相同的Okta用户登录AWS IoT SiteWise Monitor和Fleet Hub，您需要先设置AWS IAM身份中心并连接到Okta Universal Directory。有关说明，请参见Okta Universal Directory与AWS之间的单点登录

高层步骤如下：

在AWS管理控制台上启用IAM身份中心，并在与AWS IoT SiteWise相同的AWS区域中创建此IAM身份中心账户。将IAM身份中心添加为Okta用户可连接的应用。配置IAM身份中心和Okta之间的相互协议，下载Okta中的IdP元数据，并在IAM身份中心中配置外部IdP。启用Okta与IAM身份中心之间的身份同步。

此设置确保当新账户添加到Okta并与IAM身份中心连接时，相应的IAM身份中心用户会自动创建。

完成这些步骤后，您可以在Okta控制台中查看到所分配的用户，如下所示。

您还可以在IAM身份中心控制台的用户页面查看到用户，如下所示。

配置AWS IoT SiteWise Monitor与IAM身份中心的认证

按照以下步骤完成AWS SiteWise Monitor的IAM身份中心认证配置。

从AWS IoT SiteWise控制台中，选择左侧导航栏中的Monitor，然后选择Portals。点击创建门户按钮以创建IoT SiteWise门户。

在门户配置中，输入以下内容：

在门户详情下，填写门户名称为oktaiotsitewise

在用户认证中，选择AWS IAM身份中心在支持联系邮箱中，填写您的邮箱地址

在权限中，选择创建并使用新服务角色

在附加功能 可选页面下，仅选择启用警报，然后选择创建完成门户创建。

在邀请管理员下，选择来自您的Okta身份库的用户，然后选择分配用户以完成门户配置。

一旦完成以上所有步骤，系统将为通过外部身份提供者如Okta访问AWS IoT SiteWise Monitor创建一个唯一URL。

配置Fleet Hub与IAM身份中心的认证

按照以下步骤完成AWS IoT设备管理的Fleet Hub与IAM身份中心的认证配置。

从Fleet Hub for AWS IoT Device Management控制台，选择创建应用。将重定向到IAM身份中心的访问设置屏幕，然后选择下一步。

对于索引AWS IoT数据，保持所有默认选项，然后选择下一步。

对于配置应用：

在应用角色下，选择创建新服务角色

在角色名称中，输入Fleethubrole在应用详情中，输入应用名称为FleethubOkta 点击添加用户并选择您的外部身份提供者用户，如下所示。

选择添加所选用户以完成访问分配。现在Fleet Hub应用准备就绪，您可以使用外部身份提供者Okta凭证访问Fleet Hub。

通过IAM身份中心访问AWS IoT SiteWise Monitor和Fleet Hub

作为用户，您可以通过以下三种方式开始：

AWS IoT SiteWise

从Okta用户门户页面，选择IAM身份中心应用并选择AWS IoT SiteWise Monitor。

从IAM身份中心用户门户开始，它将重定向到Okta登录页面以进行认证，然后选择Fleet Hub。

使用AWS IoT SiteWise Monitor门户URL，如上所示，它将重定向到Okta登录页面进行认证。

Fleet Hub

从Okta用户门户页面，选择IAM身份中心应用并选择Fleet Hub。

从AWS身份中心用户门户开始，它将重定向到Okta登录页面进行认证，然后选择Fleet Hub。

使用Fleet Hub门户URL，如上所示，它将重定向到Okta登录页面进行认证。

清理

如果您按照此解决方案操作，我们建议您完成以下步骤，以避免在完成操作后在您的AWS账户中产生费用。

删除AWS IoT SiteWise删除Fleet Hub删除您的Okta账户如有需要删除IAM身份中心

结论

AWS IoT SiteWise Monitor和Fleet Hub支持使用IAM身份中心认证的单点登录体验。工业客户使用许多不同的安全工具，并需要与AWS服务轻松集成的方式。在实施IIoT解决方案时，AWS建议遵循十条安全黄金法则。第三条黄金法则讨论了为IIoT网页和移动应用程序提供独特身份并使用Amazon Cognito或第三方身份提供者如Okta管理用户身份的必要性。

在本文中，我们展示了如何利用新的IAM身份中心功能，使用Okta身份访问AWS IoT SiteWise Monitor和AWS IoT设备管理的Fleet Hub。管理员现在可以使用单一来源的真相来管理用户，而用户无需管理额外的身份和密码即可登录其AWS账户和应用。

IAM身份中心与Okta的配合使用是免费的，并在所有支持AWS身份中心的区域均可用。请阅读产品文档了解有关AWS IoT SiteWise的更多信息，以及Fleet Hub产品文档了解有关Fleet Hub的更多信息。

作者介绍

Raghavarao Sodabathina 是AWS的首席解决方案架构师，专注于数据分析、人工智能/机器学习和无服务器平台。他与客户合作，创建创新的解决方案，解决客户的业务问题，并加快AWS服务的采用。在业余时间，Raghavarao喜欢和家人一起度过时光，阅读书籍和观看电影。

Krupanidhi Jay 是AWS总部位于波士顿的企业解决方案架构师。他是一位经验丰富的架构师，拥有超过20年的经验，帮助客户实现数字化转型并提供无缝的数字用户体验。他喜欢与客户合作，帮助他们在AWS上构建可扩展、具有成本效益的解决方案。在工作之外，Jay喜欢与家人一起度过时光及旅行。