Las aplicaciones modernas aplican controles de seguridad en muchos sistemas y sus subsistemas. Mantener todos estos sistemas sincronizados sería una tarea importante si intentara implementarlos por separado. La administración centralizada de identidades es la forma de mantener un único proveedor de identidades (IdP) que puede autenticar a los actores y administrar y distribuir sus derechos.

Opensearch es una suite de análisis y búsqueda de código abierto que le permite ingerir, almacenar, analizar y visualizar texto completo y datos de registro. Amazon OpenSearch sin servidor hace que sea sencillo implementar, escalar y operar OpenSearch en la nube de AWS, lo que lo libera del trabajo pesado e indiferenciado de dimensionar, escalar y operar un clúster de OpenSearch. Cuando utiliza OpenSearch Serverless, puede integrarse con su IdP compatible con Security Assertion Markup Language 2.0 (SAML) existente para proporcionar un control de acceso granular para sus colecciones de OpenSearch Serverless. Nuestros clientes utilizan una variedad de IdP, que incluyen Centro de identidad de AWS IAM (sucesor de AWS SSO), Okta, Keycloak, Active Directory Federation Services (AD FS) y Auth0.

En esta publicación, aprenderá cómo usar Okta como su IdP e integrarlo con OpenSearch Serverless para administrar de manera segura a sus usuarios y grupos para un acceso seguro a sus datos.

Resumen de la solución

El flujo de solicitudes de acceso se muestra en la siguiente figura.

Cuando navega a OpenSearch Dashboards, los pasos del flujo de trabajo son los siguientes:

1. OpenSearch Serverless genera una solicitud de autenticación SAML.
2. OpenSearch Serverless redirige su solicitud al navegador.
3. El navegador redirige a la URL de Okta a través de la configuración de la aplicación Okta.
4. Okta analiza la solicitud SAML, autentica al usuario y genera una respuesta SAML.
5. Okta devuelve la respuesta SAML codificada al navegador.
6. El navegador envía la respuesta SAML de regreso a la URL de OpenSearch Serverless Assertion Consumer Services (ACS).
7. ACS verifica la respuesta SAML e inicia sesión en el usuario con los permisos definidos en la política de acceso a datos.

Requisitos previos

Complete los siguientes pasos de requisitos previos:

1. Cree una colección sin servidor de OpenSearch. Para obtener instrucciones, consulte Vista previa: Amazon OpenSearch Serverless: ejecute cargas de trabajo de búsqueda y análisis sin administrar clústeres.
2. Tome nota de su ID de cuenta de AWS para usar mientras configura su aplicación en Okta.
3. Crear una cuenta Okta, que utilizará como IdP.
4. Crear usuarios y un grupo en Okta:
   1. Inicie sesión en su cuenta de Okta y, en el panel de navegación, elija Directorio, A continuación, elija Grupos.
   2. Elige Añadir Grupo y nombrarloopensearch-serverless, A continuación, elija Guardar.
   3. Elige Asignar personas para agregar usuarios.
   4. Puede agregar usuarios a laopensearch-serverlessgrupo eligiendo el signo más junto al nombre de usuario, o puede elegir Agrega todas las.
   5. Agregue sus usuarios, luego elija Guardar.
   6. Para crear nuevos usuarios, seleccione Personas en el panel de navegación bajo Directorio, A continuación, elija Añadir persona.
   7. Proporcione su nombre, apellido, nombre de usuario (ID de correo electrónico) y dirección de correo electrónico principal.
   8. Contraseña, escoger Establecido por el administrador y Contraseña de primera vez.
   9. Para crear su usuario, elija Guardar.
   10. En el panel de navegación, elija Grupos, luego elige elopensearch-serverless grupo que creó anteriormente.

El siguiente gráfico ofrece una demostración rápida de cómo configurar un usuario y un grupo.

Configurar una aplicación en Okta

Para configurar una aplicación en Okta, complete los siguientes pasos:

1. Navegue hasta la Aplicaciones página en la consola de Okta.
2. Elige Integración de aplicaciones, seleccione Aplicación web SAML 2.0, A continuación, elija Siguiente.
3. Nombre, ingrese un nombre para la aplicación (por ejemplo, myweblogs), entonces escoge Siguiente.
4. under URL ACS de la aplicación, ingrese la URL usando el formato https://collection..aoss.amazonaws.com/_saml/acs (reemplazar <REGIÓN> con la Región correspondiente) para generar los metadatos del IdP.
5. Seleccione Use esto para la URL del destinatario y la URL de destino para usar la misma URL de ACS que el destinatario y el destino.
6. Especificar aws:opensearch: bajo URI de audiencia (ID de entidad de SP). Esto especifica a quién está destinada la aserción dentro de la aserción SAML.
7. under Declaraciones de atributos de grupo, ingrese un nombre que sea relevante para su aplicación, como mygroupy seleccione sin especificar como formato de nombre. (No olvide este nombre, lo necesitará más adelante).
8. Seleccione iguales como el filtro y entrar opensearch-serverless.
9. Seleccione Soy un proveedor de software. Me gustaría integrar mi aplicación con Okta y elige Acabado.
10. Después de crear una aplicación, elija la pestaña de inicio de sesión, desplácese hacia abajo hasta los detalles de los metadatos y copie el valor para URL de metadatos.

El siguiente gráfico ofrece una demostración rápida de cómo configurar una aplicación en Okta a través de los pasos anteriores.

A continuación, asocia los usuarios y grupos a la aplicación que creó en el paso anterior.

11. En Aplicaciones página, elija la aplicación que creó anteriormente.
12. En Asignaciones pestaña, elegir Asignar.
13. Seleccione Asignar a grupos y elija el grupo al que desea asignar (opensearch-serverlessen este caso).
14. Elige Terminado.

El siguiente gráfico ofrece una demostración rápida de la asignación de grupos a la aplicación a través de los pasos anteriores.

Configurar SAML en OpenSearch Serverless

En esta sección, creará un proveedor de SAML que usará para su colección de OpenSearch Serverless. Complete los siguientes pasos:

1. Abra la consola de OpenSearch Serverless en una nueva pestaña.
2. En el panel de navegación, debajo Sin servidor, escoger Autenticación SAML.
3. Seleccione Añadir proveedor SAML.
4. Proporcione un nombre reconocible (por ejemplo, okta) y una descripción.
5. Abra una nueva pestaña e ingrese la URL de metadatos copiada en su navegador.

Debería ver los metadatos de la aplicación Okta.

6. Tome nota de estos metadatos y cópielos en su portapapeles.
7. En la pestaña de la consola de OpenSearch Service, ingrese estos metadatos en el Proporcione metadatos de su IdP .
8. under Ajustes adicionales, introduzca mygroup o el atributo de grupo proporcionado en la configuración de Okta.
9. Elige Crear un proveedor SAML.

El proveedor SAML ahora se ha creado.

El siguiente gráfico ofrece una demostración rápida de cómo configurar el proveedor SAML en OpenSearch Serverless a través de los pasos anteriores.

Actualizar la política de acceso a datos

Debe configurar los permisos correctos en las políticas de acceso a datos asociadas con su colección de OpenSearch para que los miembros de su grupo Okta puedan acceder al punto final de OpenSearch Dashboards.

1. En la consola de OpenSearch Serverless, abra su colección.
2. Elija la política de acceso a datos asociada con la colección en el Acceso a los datos .
3. Elige Editar.
4. Elige Directores y Agregar una entidad principal SAML.
5. Seleccione el proveedor SAML que creó anteriormente e ingrese group/opensearch-serverless junto a él.
6. Todos los miembros del grupo pueden acceder al extremo de OpenSearch Dashboards. Puede otorgar acceso a colecciones, índices o ambos.
7. Elige Guardar.

Inicie sesión en los paneles de OpenSearch

Ahora que ha establecido los permisos para acceder a los paneles, elija la URL de los paneles en la información general de la colección OpenSearch Serverless. Esto debería llevarte al sitio web.
https://collection-endpoint/_dashboards/

Verás un listado con todas las opciones de acceso. Elija el proveedor de SAML que creó (okta en este caso) e inicie sesión con sus credenciales de Okta. Ahora iniciará sesión en OpenSearch Dashboards con los permisos que forman parte de la política de acceso a datos. Puede realizar búsquedas o crear visualizaciones desde el tablero.

Limpiar

Para evitar cargos no deseados, elimine el Colección sin servidor de OpenSearch, política de acceso a datos, y proveedor de SAML creado como parte de esta demostración.

Resumen

En esta publicación, aprendió cómo configurar Okta como IdP para acceder a los paneles de OpenSearch usando SAML. También aprendió cómo configurar usuarios y grupos dentro de Okta y configurar su acceso a OpenSearch Dashboards. Para obtener más detalles, consulte Autenticación SAML para Amazon OpenSearch Serverless.

También puede consultar el Primeros pasos con Amazon OpenSearch Serverless taller para saber más sobre OpenSearch Serverless.

Si tiene comentarios sobre esta publicación, envíelos en la sección de comentarios. Si tiene preguntas sobre esta publicación, inicie un nuevo hilo en el Foro del servicio OpenSearch or póngase en contacto con el soporte de AWS.

Acerca de los autores

Aish Gunasekar es un arquitecto de soluciones especializado con un enfoque en Amazon OpenSearch Service. Su pasión en AWS es ayudar a los clientes a diseñar arquitecturas altamente escalables y ayudarlos en su proceso de adopción de la nube. Fuera del trabajo, le gusta caminar y hornear.

Prashant Agrawal es Arquitecto de Soluciones Sr. Especialista en Búsqueda con Amazon OpenSearch Service. Trabaja en estrecha colaboración con los clientes para ayudarlos a migrar sus cargas de trabajo a la nube y ayuda a los clientes existentes a ajustar sus clústeres para lograr un mejor rendimiento y ahorrar costos. Antes de unirse a AWS, ayudó a varios clientes a usar OpenSearch y Elasticsearch para sus casos de uso de búsqueda y análisis de registros. Cuando no está trabajando, puedes encontrarlo viajando y explorando nuevos lugares. En resumen, le gusta hacer Comer → Viajar → Repetir.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://aws.amazon.com/blogs/big-data/configure-saml-federation-for-amazon-opensearch-serverless-with-okta/