Moderna applikationer tillämpar säkerhetskontroller över många system och deras undersystem. Att hålla alla dessa system synkroniserade skulle vara ett stort åtagande om du försökte implementera det separat. Centraliserad identitetshantering är sättet att upprätthålla en enda identitetsleverantör (IdP) som kan autentisera aktörer och hantera och distribuera deras rättigheter.

Opensearch är en sök- och analyssvit med öppen källkod som gör att du kan mata in, lagra, analysera och visualisera fulltext och loggdata. Amazon OpenSearch Serverlös gör det enkelt att distribuera, skala och använda OpenSearch i AWS-molnet, vilket befriar dig från de odifferentierade tunga lyften av dimensionering, skalning och drift av ett OpenSearch-kluster. När du använder OpenSearch Serverless kan du integrera med din befintliga Security Assertion Markup Language 2.0 (SAML)-kompatibla IdP för att tillhandahålla granulär åtkomstkontroll för dina OpenSearch Serverless-samlingar. Våra kunder använder en mängd olika IdP:er, inklusive Aws iam identitetscenter (efterträdare till AWS SSO), Okta, Keycloak, Active Directory Federation Services (AD FS) och Auth0.

I det här inlägget kommer du att lära dig hur du använder Okta som din IdP och integrerar den med OpenSearch Serverless för att säkert hantera dina användare och grupper för säker åtkomst till dina data.

Lösningsöversikt

Flödet av åtkomstförfrågningar visas i följande figur.

När du navigerar till OpenSearch Dashboards är arbetsflödesstegen som följer:

1. OpenSearch Serverless genererar en SAML-autentiseringsbegäran.
2. OpenSearch Serverless omdirigerar din begäran tillbaka till webbläsaren.
3. Webbläsaren omdirigerar till Okta URL via Okta applikationsinställning.
4. Okta analyserar SAML-begäran, autentiserar användaren och genererar ett SAML-svar.
5. Okta returnerar det kodade SAML-svaret till webbläsaren.
6. Webbläsaren skickar SAML-svaret tillbaka till OpenSearch Serverless Assertion Consumer Services (ACS) URL.
7. ACS verifierar SAML-svaret och loggar in användaren med de behörigheter som definieras i dataåtkomstpolicyn.

Förutsättningar

Slutför följande förutsättningssteg:

1. Skapa en OpenSearch Serverless-samling. För instruktioner, se Förhandsvisning: Amazon OpenSearch Serverless – Kör sök- och analysarbetsbelastningar utan att hantera kluster.
2. Anteckna ditt AWS-konto-ID att använda när du konfigurerar din applikation i Okta.
3. Skapa ett Okta konto, som du kommer att använda som en IdP.
4. Skapa användare och en grupp i Okta:
   1. Logga in på ditt Okta-konto och välj i navigeringsfönstret katalogOch välj sedan Grupper.
   2. Välja Lägg till grupp och namnge detopensearch-serverlessOch välj sedan Save.
   3. Välja Tilldela personer för att lägga till användare.
   4. Du kan lägga till användare tillopensearch-serverlessgrupp genom att välja plustecknet bredvid användarnamnet, eller så kan du välja lägg till alla.
   5. Lägg till dina användare och välj sedan Save.
   6. För att skapa nya användare, välj Personer i navigeringsrutan under katalogOch välj sedan Lägg till person.
   7. Ange ditt förnamn, efternamn, användarnamn (e-post-ID) och primär e-postadress.
   8. För Lösenordväljer Ställs in av admin och Förstagångslösenord.
   9. För att skapa din användare, välj Save.
   10. Välj i navigeringsfönstret Grupper, välj sedanopensearch-serverless grupp du skapade tidigare.

Följande grafik ger en snabb demonstration av hur du ställer in en användare och grupp.

Konfigurera en applikation i Okta

För att konfigurera ett program i Okta, slutför följande steg:

1. Navigera till Applikationer sida på Okta-konsolen.
2. Välja App Integration, Välj SAML 2.0 webbapplikationOch välj sedan Nästa.
3. För Namn , ange ett namn för appen (t.ex. myweblogs), sedan Välj Nästa.
4. Enligt Applikations ACS URL, ange URL:en med formatet https://collection..aoss.amazonaws.com/_saml/acs (byta ut <OMRÅDE> med motsvarande region) för att generera IdP-metadata.
5. Välja Använd detta för mottagarens URL och destinationsadressen att använda samma ACS-URL som mottagaren och destinationen.
6. Ange aws:opensearch: under Målgrupps-URI (SP Entity ID). Detta anger vem påståendet är avsett för inom SAML-påståendet.
7. Enligt Gruppattribututlåtanden, ange ett namn som är relevant för din ansökan, t.ex mygroup, och välj ospecificerad som namnformat. (Glöm inte detta namn, du behöver det senare.)
8. Välja är lika med som filtret och skriv in opensearch-serverless.
9. Välja Jag är en mjukvaruleverantör. Jag skulle vilja integrera min app med Okta Och välj Finish.
10. När en app har skapats väljer du fliken inloggning, rullar ned till metadatainformationen och kopierar värdet för Metadata URL.

Följande grafik ger en snabb demonstration av hur du ställer in en applikation i Okta via de föregående stegen.

Därefter kopplar du användarna och grupperna till applikationen som du skapade i föregående steg.

11. På Applikationer sida, välj appen du skapade tidigare.
12. På Uppdrag fliken, välj Tilldela.
13. Välja Tilldela till grupper och välj den grupp du vill tilldela (opensearch-serverlessI detta fall).
14. Välja Färdig .

Följande grafik ger en snabb demonstration av att tilldela grupper till applikationen via de föregående stegen.

Konfigurera SAML på OpenSearch Serverless

I det här avsnittet skapar du en SAML-leverantör som du ska använda för din OpenSearch Serverless-samling. Slutför följande steg:

1. Öppna konsolen OpenSearch Serverless på en ny flik.
2. I navigeringsfönstret, under Serverväljer SAML-autentisering.
3. Välja Lägg till SAML-leverantör.
4. Ange ett igenkännbart namn (t.ex. okta) och en beskrivning.
5. Öppna en ny flik och ange den kopierade metadataadressen i din webbläsare.

Du bör se metadata för Okta-applikationen.

6. Notera denna metadata och kopiera den till ditt urklipp.
7. På OpenSearch Service-konsolfliken anger du denna metadata i Ange metadata från din IdP sektion.
8. Enligt Ytterligare inställningar, stiga på mygroup eller gruppattributet som tillhandahålls i Okta-konfigurationen.
9. Välja Skapa en SAML-leverantör.

SAML-leverantören har nu skapats.

Följande grafik ger en snabb demonstration av hur du ställer in SAML-leverantören i OpenSearch Serverless via de föregående stegen.

Uppdatera policyn för dataåtkomst

Du måste konfigurera rätt behörigheter i dataåtkomstpolicyerna som är kopplade till din OpenSearch-samling så att dina Okta-gruppmedlemmar kan komma åt OpenSearch Dashboards slutpunkt.

1. Öppna din samling på OpenSearch Serverless-konsolen.
2. Välj den dataåtkomstpolicy som är kopplad till insamlingen i Datatillgång sektion.
3. Välja Redigera.
4. Välja Main och Lägg till en SAML-principal.
5. Välj den SAML-leverantör du skapade tidigare och ange group/opensearch-serverless bredvid den.
6. Slutpunkten för OpenSearch Dashboards kan nås av alla gruppmedlemmar. Du kan ge åtkomst till samlingar, index eller båda.
7. Välja Save.

Logga in på OpenSearch Dashboards

Nu när du har angett behörigheter för att komma åt instrumentpanelerna väljer du Dashboards URL under den allmänna informationen för OpenSearch Serverless-samlingen. Detta bör ta dig till webbplatsen
https://collection-endpoint/_dashboards/

Du kommer att se en lista med alla åtkomstalternativ. Välj SAML-leverantören som du skapade (okta i det här fallet) och logga in med dina Okta-uppgifter. Du kommer nu att loggas in på OpenSearch Dashboards med de behörigheter som är en del av dataåtkomstpolicyn. Du kan utföra sökningar eller skapa visualiseringar från instrumentpanelen.

Städa upp

För att undvika oönskade avgifter, ta bort OpenSearch Serverlös samling, dataåtkomstpolicy, och SAML-leverantör skapad som en del av denna demonstration.

Sammanfattning

I det här inlägget lärde du dig hur du ställer in Okta som en IdP för att komma åt OpenSearch Dashboards med SAML. Du lärde dig också hur du konfigurerar användare och grupper inom Okta och konfigurerar deras åtkomst till OpenSearch Dashboards. För mer information, se SAML-autentisering för Amazon OpenSearch Serverless.

Du kan också hänvisa till Komma igång med Amazon OpenSearch Serverless workshop för att veta mer om OpenSearch Serverless.

Om du har feedback om det här inlägget, skicka in det i kommentarsfältet. Om du har frågor om detta inlägg, starta en ny tråd på Forum för OpenSearch Service or kontakta AWS Support.

Om författarna

Aish Gunasekar är en Specialist Solutions-arkitekt med fokus på Amazon OpenSearch Service. Hennes passion på AWS är att hjälpa kunder att designa mycket skalbara arkitekturer och hjälpa dem i deras molnadoptionsresa. Utanför jobbet tycker hon om att vandra och baka.

Prashant Agrawal är en Sr. Search Specialist Solutions Architect med Amazon OpenSearch Service. Han arbetar nära kunderna för att hjälpa dem att migrera sina arbetsbelastningar till molnet och hjälper befintliga kunder att finjustera sina kluster för att uppnå bättre prestanda och spara kostnader. Innan han började med AWS hjälpte han olika kunder att använda OpenSearch och Elasticsearch för deras användningsfall för sökning och logganalys. När du inte arbetar kan du hitta honom på resande fot och utforska nya platser. Kort sagt, han gillar att göra Äta → Resa → Upprepa.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://aws.amazon.com/blogs/big-data/configure-saml-federation-for-amazon-opensearch-serverless-with-okta/