Modern uygulamalar, birçok sistemde ve bunların alt sistemlerinde güvenlik kontrolleri uygular. Ayrı ayrı uygulamaya çalışırsanız, tüm bu sistemleri senkronize tutmak büyük bir girişim olacaktır. Merkezi kimlik yönetimi, aktörlerin kimliğini doğrulayabilen ve haklarını yönetip dağıtabilen tek bir kimlik sağlayıcı (IdP) sağlamanın yoludur.

Aramayı Aç tam metin ve günlük verilerini almanızı, depolamanızı, analiz etmenizi ve görselleştirmenizi sağlayan açık kaynaklı bir arama ve analiz paketidir. Amazon OpenSearch Sunucusuz OpenSearch'ü AWS Cloud'da dağıtmayı, ölçeklendirmeyi ve çalıştırmayı basitleştirir ve sizi bir OpenSearch kümesini boyutlandırma, ölçeklendirme ve çalıştırma gibi farklılaştırılmamış ağır yüklerden kurtarır. OpenSearch Serverless kullandığınızda, OpenSearch Serverless koleksiyonlarınız için parçalı erişim kontrolü sağlamak üzere mevcut Security Assertion Markup Language 2.0 (SAML) uyumlu IdP ile entegre edebilirsiniz. Müşterilerimiz, aşağıdakiler de dahil olmak üzere çeşitli IdP'ler kullanır: AWS IAM Kimlik Merkezi (AWS SSO'nun halefi), Okta, Keycloak, Active Directory Federasyon Hizmetleri (AD FS) ve Auth0.

Bu gönderide, verilerinize güvenli erişim için kullanıcılarınızı ve gruplarınızı güvenli bir şekilde yönetmek üzere Okta'yı IdP'niz olarak nasıl kullanacağınızı ve OpenSearch Serverless ile entegre etmeyi öğreneceksiniz.

Çözüme genel bakış

Erişim isteklerinin akışı aşağıdaki şekilde gösterilmektedir.

OpenSearch Dashboards'a gittiğinizde, iş akışı adımları aşağıdaki gibidir:

1. OpenSearch Serverless, bir SAML kimlik doğrulama isteği oluşturur.
2. OpenSearch Serverless, isteğinizi tarayıcıya geri yönlendirir.
3. Tarayıcı, Okta uygulama kurulumu aracılığıyla Okta URL'sine yönlendirir.
4. Okta, SAML isteğini ayrıştırır, kullanıcının kimliğini doğrular ve bir SAML yanıtı oluşturur.
5. Okta, kodlanmış SAML yanıtını tarayıcıya döndürür.
6. Tarayıcı, SAML yanıtını OpenSearch Sunucusuz Onay Tüketici Hizmetleri (ACS) URL'sine geri gönderir.
7. ACS, SAML yanıtını doğrular ve veri erişim ilkesinde tanımlanan izinlerle kullanıcıyı günlüğe kaydeder.

Önkoşullar

Aşağıdaki ön koşul adımlarını tamamlayın:

1. Bir OpenSearch Sunucusuz koleksiyonu oluşturun. Talimatlar için bkz. Önizleme: Amazon OpenSearch Sunucusuz – Kümeleri Yönetmeden Arama ve Analitik İş Yüklerini Çalıştırın.
2. Okta'da uygulamanızı yapılandırırken kullanmak için AWS hesap kimliğinizi not edin.
3. Bir oluşturma Okta hesabı, bir IdP olarak kullanacağınız.
4. Okta'da kullanıcılar ve bir grup oluşturun:
   1. Okta hesabınızda oturum açın ve gezinti bölmesinde seçin rehber, Daha sonra seçmek Gruplar.
   2. Klinik Grup ekle ve adlandıropensearch-serverless, Daha sonra seçmek İndirim.
   3. Klinik Kişi Ata kullanıcı eklemek için
   4. kullanıcıları ekleyebilirsiniz.opensearch-serverlesskullanıcı adının yanındaki artı işaretini seçerek gruplayabilir veya seçebilirsiniz Tümünü ekle.
   5. Kullanıcılarınızı ekleyin, ardından seçin İndirim.
   6. Yeni kullanıcılar oluşturmak için seçin İnsanlar altındaki gezinme bölmesinde rehber, Daha sonra seçmek Kişi ekle.
   7. Adınızı, soyadınızı, kullanıcı adınızı (e-posta kimliği) ve birincil e-posta adresinizi girin.
   8. İçin Şifre, seçmek yönetici tarafından ayarla ve İlk kez şifre.
   9. Kullanıcınızı oluşturmak için seçin İndirim.
   10. Gezinti bölmesinde şunu seçin: Gruplar, sonra seçinopensearch-serverless daha önce oluşturduğunuz grup.

Aşağıdaki grafik, bir kullanıcı ve grup kurmanın hızlı bir gösterimini sunar.

Okta'da bir uygulama yapılandırın

Okta'da bir uygulamayı yapılandırmak için aşağıdaki adımları tamamlayın:

1. gidin Uygulamalar Okta konsolundaki sayfa.
2. Klinik Uygulama Entegrasyonuseçin SAML 2.0 web uygulaması, Daha sonra seçmek Sonraki.
3. İçin Name, uygulama için bir ad girin (örneğin, myweblogs), ardından Sonraki.
4. Altında Uygulama ACS URL'si, biçimi kullanarak URL'yi girin https://collection..aoss.amazonaws.com/_saml/acs (yerine <BÖLGE> IdP meta verilerini oluşturmak için ilgili Bölge ile birlikte).
5. seç Alıcı URL'si ve Hedef URL için bunu kullanın alıcı ve hedef olarak aynı ACS URL'sini kullanmak için.
6. Belirtmek aws:opensearch: altında Kitle URI'si (SP Varlık Kimliği). Bu, SAML iddiasında iddianın kime yönelik olduğunu belirtir.
7. Altında Grup Öznitelik Tabloları, uygulamanızla alakalı bir ad girin; örneğin mygroupSeçin ve belirtilmemiş ad biçimi olarak. (Bu ismi unutmayın, daha sonra ihtiyacınız olacak.)
8. seç eşittir filtre olarak ve girin opensearch-serverless.
9. seç Ben bir yazılım satıcısıyım. Uygulamamı Okta ile entegre etmek istiyorum Ve seç Bitiş.
10. Bir uygulama oluşturulduktan sonra, oturum açma sekmesini seçin, meta veri ayrıntılarına gidin ve için değeri kopyalayın. Meta veri URL'si.

Aşağıdaki grafik, önceki adımlar aracılığıyla Okta'da bir uygulama kurmanın hızlı bir gösterimini sunar.

Ardından, kullanıcıları ve grupları önceki adımda oluşturduğunuz uygulamayla ilişkilendirirsiniz.

11. Üzerinde Uygulamalar sayfasında, daha önce oluşturduğunuz uygulamayı seçin.
12. Üzerinde Ödevler sekmesini seçin Atamak.
13. seç Gruplara Ata ve atamak istediğiniz grubu seçin (opensearch-serverlessbu durumda).
14. Klinik tamam.

Aşağıdaki grafik, önceki adımlar aracılığıyla uygulamaya grup atamanın hızlı bir gösterimini sunar.

SAML'yi OpenSearch Serverless'ta kurun

Bu bölümde, OpenSearch Serverless koleksiyonunuz için kullanacağınız bir SAML sağlayıcısı oluşturacaksınız. Aşağıdaki adımları tamamlayın:

1. OpenSearch Sunucusuz konsolunu yeni bir sekmede açın.
2. Gezinti bölmesinde, altında Serverless, seçmek SAML kimlik doğrulaması.
3. seç SAML sağlayıcısı ekle.
4. Tanınabilir bir ad sağlayın (örneğin, okta) ve bir açıklama.
5. Yeni bir sekme açın ve kopyalanan meta veri URL'sini tarayıcınıza girin.

Okta uygulaması için meta verileri görmelisiniz.

6. Bu meta verileri not alın ve panonuza kopyalayın.
7. OpenSearch Service konsol sekmesinde, bu meta verileri şuraya girin: IdP'nizden meta veriler sağlayın Bölüm.
8. Altında Ek ayarlar, girmek mygroup veya Okta yapılandırmasında sağlanan grup özelliği.
9. Klinik SAML sağlayıcısı oluşturun.

SAML sağlayıcısı artık oluşturuldu.

Aşağıdaki grafik, önceki adımlar aracılığıyla OpenSearch Serverless'ta SAML sağlayıcısını kurmanın hızlı bir gösterimini sunar.

Veri erişim politikasını güncelleyin

Okta grubu üyelerinizin OpenSearch Dashboards uç noktasına erişebilmesi için OpenSearch koleksiyonunuzla ilişkili veri erişim ilkelerinde doğru izinleri yapılandırmanız gerekir.

1. OpenSearch Sunucusuz konsolunda koleksiyonunuzu açın.
2. Koleksiyonla ilişkili veri erişim politikasını seçin. Veri erişimi Bölüm.
3. Klinik Düzenle.
4. Klinik müdürler ve SAML sorumlusu ekleyin.
5. Daha önce oluşturduğunuz SAML sağlayıcısını seçin ve girin group/opensearch-serverless onun yanında.
6. OpenSearch Dashboards uç noktasına tüm grup üyeleri erişebilir. Koleksiyonlara, dizinlere veya her ikisine birden erişim izni verebilirsiniz.
7. Klinik İndirim.

OpenSearch Dashboards'ta oturum açın

Panolara erişim izinlerini ayarladığınıza göre, OpenSearch Serverless koleksiyonu için genel bilgiler altında Panolar URL'sini seçin. Bu sizi web sitesine götürmeli
https://collection-endpoint/_dashboards/

Tüm erişim seçeneklerini içeren bir liste göreceksiniz. Oluşturduğunuz SAML sağlayıcısını seçin (bu durumda okta) ve Okta kimlik bilgilerinizi kullanarak oturum açın. Artık veri erişim politikasının parçası olan izinlerle OpenSearch Dashboards'ta oturum açmış olacaksınız. Gösterge tablosundan arama yapabilir veya görselleştirmeler oluşturabilirsiniz.

Temizlemek

İstenmeyen ücretlerden kaçınmak için, OpenSearch Sunucusuz koleksiyonu, veri erişim politikası, ve SAML sağlayıcısı bu gösterinin bir parçası olarak oluşturuldu.

Özet

Bu gönderide, SAML kullanarak OpenSearch Gösterge Tablolarına erişmek için Okta'yı bir IdP olarak nasıl kuracağınızı öğrendiniz. Ayrıca, Okta içinde kullanıcıları ve grupları nasıl kuracağınızı ve OpenSearch Panolarına erişimlerini nasıl yapılandıracağınızı da öğrendiniz. Daha fazla ayrıntı için bkz. Amazon OpenSearch Serverless için SAML kimlik doğrulaması.

Ayrıca Amazon OpenSearch Serverless'ı kullanmaya başlarken OpenSearch Sunucusuz hakkında daha fazla bilgi edinmek için atölye.

Bu gönderi hakkında geri bildiriminiz varsa, yorumlar bölümünde gönderin. Bu gönderi hakkında sorularınız varsa, yeni bir konu başlatın. OpenSearch Hizmeti forumu or AWS Support ile iletişime geçin.

Yazarlar Hakkında

Aish Günasekar Amazon OpenSearch Hizmetine odaklanan bir Uzman Çözümler mimarıdır. AWS'deki tutkusu, müşterilerin üst düzeyde ölçeklenebilir mimariler tasarlamasına ve bulut benimseme yolculuklarında onlara yardımcı olmaktır. İş dışında yürüyüş yapmaktan ve yemek pişirmekten hoşlanıyor.

Prashant Agrawal Amazon OpenSearch Hizmeti ile Kıdemli Arama Uzmanı Çözüm Mimarıdır. İş yüklerini buluta taşımalarına yardımcı olmak için müşterilerle yakın işbirliği içinde çalışır ve mevcut müşterilerin daha iyi performans elde etmeleri ve maliyetten tasarruf etmeleri için kümelerinde ince ayar yapmalarına yardımcı olur. AWS'ye katılmadan önce, çeşitli müşterilerin arama ve günlük analitiği kullanım durumları için OpenSearch ve Elasticsearch'ü kullanmalarına yardımcı oldu. Çalışmadığı zamanlarda onu seyahat ederken ve yeni yerler keşfederken bulabilirsiniz. Kısacası, Ye → Seyahat Et → Tekrarlamayı seviyor.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://aws.amazon.com/blogs/big-data/configure-saml-federation-for-amazon-opensearch-serverless-with-okta/