managing-cloud-identity-with-okta
本技能涵盖将 Okta 部署为云环境集中身份提供商,配置与 AWS、Azure 和 GCP 的 SSO 集成,使用 Okta FastPass 部署抗钓鱼 MFA,管理用户预配置和取消配置的生命周期自动化,以及基于设备态势和风险信号实施自适应访问策略。
Best use case
managing-cloud-identity-with-okta is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
本技能涵盖将 Okta 部署为云环境集中身份提供商,配置与 AWS、Azure 和 GCP 的 SSO 集成,使用 Okta FastPass 部署抗钓鱼 MFA,管理用户预配置和取消配置的生命周期自动化,以及基于设备态势和风险信号实施自适应访问策略。
Teams using managing-cloud-identity-with-okta should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/managing-cloud-identity-with-okta/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How managing-cloud-identity-with-okta Compares
| Feature / Agent | managing-cloud-identity-with-okta | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
本技能涵盖将 Okta 部署为云环境集中身份提供商,配置与 AWS、Azure 和 GCP 的 SSO 集成,使用 Okta FastPass 部署抗钓鱼 MFA,管理用户预配置和取消配置的生命周期自动化,以及基于设备态势和风险信号实施自适应访问策略。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 Okta 管理云身份
## 适用场景
- 通过单一身份提供商集中 AWS、Azure 和 GCP 控制台的认证时
- 实施抗钓鱼 MFA 以替代 SMS 或基于 TOTP 的认证时
- 跨云平台和 SaaS 应用自动化用户预配置和取消配置时
- 基于设备合规性、用户风险和网络上下文实施自适应访问策略时
- 为 SOC 2 或零信任合规审计身份相关安全控制时
**不适用于**:无外部 IdP 需求的云原生身份管理(使用 AWS IAM Identity Center 或 Azure AD 原生功能)、应用层授权逻辑,或密钥管理(参见 implementing-secrets-management-with-vault)。
## 前置条件
- 具备管理控制台访问权限的 Okta 组织及适当许可证(Workforce Identity)
- 配置了 SAML 或 OIDC 联合的 AWS、Azure 和 GCP 账户
- 已从 HR 系统或 Active Directory 同步用户身份的 Okta Universal Directory
- 用于设备信任集成的设备管理平台(Intune、Jamf)
## 工作流程
### 步骤 1:配置与云提供商的 SSO 集成
在 Okta 与每个云提供商控制台之间设置 SAML 2.0 或 OIDC 联合以实现集中认证。
```
Okta AWS SSO 集成(SAML 2.0):
1. 在 Okta 管理控制台:Applications > Add Application > AWS Account Federation
2. 配置 SAML 设置:
- Single Sign-On URL: https://signin.aws.amazon.com/saml
- Audience URI: urn:amazon:webservices
- Attribute Statements:
- https://aws.amazon.com/SAML/Attributes/RoleSessionName -> user.email
- https://aws.amazon.com/SAML/Attributes/Role -> appuser.awsRoles
3. 下载 Okta 元数据 XML
4. 在 AWS IAM 中:使用 Okta 元数据创建身份提供商(SAML)
5. 创建信任策略引用 Okta SAML 提供商的 IAM 角色
AWS IAM 信任策略:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::123456789012:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}]
}
```
```bash
# 通过 OIDC 集成 Azure AD
# 在 Azure AD 中将 Okta 配置为外部 IdP
az ad sp create --id <okta-app-client-id>
# 通过 Workforce Identity Federation 集成 GCP
gcloud iam workforce-pools create okta-pool \
--organization=123456789 \
--location=global \
--display-name="Okta Workforce Pool"
gcloud iam workforce-pools providers create-oidc okta-provider \
--workforce-pool=okta-pool \
--location=global \
--issuer-uri="https://company.okta.com/oauth2/default" \
--client-id="gcp-workforce-client-id" \
--attribute-mapping="google.subject=assertion.sub,google.groups=assertion.groups"
```
### 步骤 2:部署抗钓鱼 MFA
启用 Okta FastPass 和 FIDO2 WebAuthn 认证器作为抗钓鱼 MFA 因子。配置策略,要求特权云访问使用这些因子。
```
Okta MFA 策略配置:
1. Security > Authenticators:
- 启用 Okta Verify(FastPass)- 抗钓鱼
- 启用 FIDO2(WebAuthn)- 硬件安全密钥
- 禁用 SMS 和语音(可被钓鱼)
2. Authentication Policies > Cloud Admin Access:
- 规则:"对 AWS/Azure/GCP 管理员角色要求抗钓鱼 MFA"
- 因子类型:Okta FastPass 或 FIDO2 WebAuthn
- 重新认证:管理控制台每 4 小时一次
- 会话时长:最长 8 小时
3. 设备信任策略:
- 云管理员访问需要受管理设备
- 需要已启用设备加密
- 需要操作系统版本在最新版本 90 天内
```
### 步骤 3:自动化用户生命周期管理
配置 SCIM(System for Cross-domain Identity Management)配置,当员工入职、换岗或离职时,自动在云服务中创建和停用用户账户。
```
Okta 生命周期管理:
1. 预配置配置(AWS IAM Identity Center):
- 启用 SCIM 预配置到 AWS IAM Identity Center
- 将 Okta 组映射到 AWS 权限集
- 配置属性映射:email、displayName、groups
2. 自动化规则:
- 用户激活时:根据部门组预配置到 AWS、Azure、GCP
- 组变更时:15 分钟内更新云角色分配
- 用户停用时:立即撤销所有云会话和权限
- 暂停时:禁用云账户,保留数据 30 天
3. 离职工作流:
- HR 在 Workday/BambooHR 中触发停用
- Okta 接收 SCIM 事件,在 Universal Directory 中停用用户
- 所有 SSO 会话在 AWS、Azure、GCP 中终止
- SCIM 取消配置从云平台删除用户
- 创建审计日志条目作为合规证据
```
### 步骤 4:配置自适应访问策略
创建上下文感知认证策略,评估包括设备态势、网络位置、用户行为和威胁情报在内的风险信号。
```
自适应访问策略示例:
策略 1:"高风险云管理员访问"
条件:用户在"Cloud Admins"组
且:访问 AWS Console、Azure Portal 或 GCP Console
则:
- 要求抗钓鱼 MFA(FastPass 或 FIDO2)
- 要求受管理且合规的设备
- 阻止来自匿名代理或 Tor 的访问
- 会话时长:4 小时
- 敏感操作重新认证:每 2 小时
策略 2:"标准云开发者访问"
条件:用户在"Developers"组
且:访问非管理员云资源
则:
- 要求任意 MFA 因子(FastPass、TOTP 或推送通知)
- 允许非托管设备使用升级验证
- 会话时长:8 小时
- 阻止来自运营区域以外国家的访问
策略 3:"紧急应急访问"
条件:用户在"Emergency Admins"组
且:在 ServiceNow 中申请已批准
则:
- 仅要求 FIDO2 硬件密钥
- 将所有操作记录到不可变审计追踪
- 会话时长:最长 1 小时
- 通过自动告警通知 SOC 团队
```
### 步骤 5:使用 Okta ThreatInsight 监控身份威胁
启用 Okta ThreatInsight 和系统日志监控,检测凭据填充、账户接管和可疑认证模式。
```bash
# 通过 API 查询 Okta 系统日志中的安全事件
curl -s -H "Authorization: SSWS ${OKTA_API_TOKEN}" \
"https://company.okta.com/api/v1/logs?filter=eventType+eq+%22user.session.start%22+and+outcome.result+eq+%22FAILURE%22&since=$(date -d '-24 hours' +%Y-%m-%dT%H:%M:%SZ)" | \
jq '.[] | {time: .published, actor: .actor.displayName, ip: .client.ipAddress, result: .outcome.reason}'
# 通过 Log Streaming 将 Okta 日志导出到 SIEM
# 在 Okta Admin > Reports > Log Streaming 中配置
# 支持的目标:Splunk Cloud、AWS EventBridge、Datadog
```
## 核心概念
| 术语 | 定义 |
|------|------|
| Okta FastPass | 抗钓鱼无密码 MFA,以加密方式将认证绑定到设备和源站点,防止实时钓鱼攻击 |
| SCIM 预配置(SCIM Provisioning) | 跨域身份管理系统协议,自动化跨云应用的用户创建、更新和删除 |
| Universal Directory | Okta 的云身份存储,聚合来自 AD、LDAP 和 HR 系统等多个来源的用户档案 |
| 自适应 MFA(Adaptive MFA) | 根据设备信任、位置和行为等风险信号调整 MFA 要求的上下文感知认证 |
| Workforce Identity | Okta 产品层级,专注于员工和承包商的身份管理,包括 SSO、MFA 和生命周期管理 |
| ThreatInsight | Okta 的威胁检测服务,识别并阻止凭据填充、密码喷洒和机器人驱动的认证攻击 |
| 设备信任(Device Trust) | 与 MDM 平台集成,在授权访问前验证设备合规性(加密、操作系统版本、管理状态) |
## 工具与系统
- **Okta Identity Engine**:核心身份平台,提供 SSO、MFA、生命周期管理和自适应访问策略
- **Okta Workflows**:无代码自动化平台,用于构建跨云服务的身份驱动工作流
- **Okta Advanced Server Access**:使用短期证书管理云服务器的 SSH 和 RDP 访问
- **AWS IAM Identity Center**:AWS 原生 SSO 服务,与 Okta 作为外部身份提供商集成
- **Azure AD External Identities**:用于 B2B 和员工场景下与 Okta 联合的 Azure 服务
## 常见场景
### 场景:在多云环境中自动化离职流程
**场景背景**:一名拥有 AWS 管理员、Azure 贡献者和 GCP 编辑者权限的员工离开公司。组织需要在 HR 处理离职后 15 分钟内撤销所有访问权限。
**方法**:
1. HR 在 Workday 中停用员工,触发 SCIM 事件到 Okta
2. Okta 立即在 Universal Directory 中停用用户,终止所有活跃 SSO 会话
3. SCIM 取消配置从 AWS IAM Identity Center、Azure AD 和 GCP Workforce Identity 中删除用户
4. Okta Workflow 触发额外清理:撤销 OAuth 令牌、从 Slack 移除、禁用 VPN 证书
5. 创建审计日志条目,记录每个取消配置操作的时间戳作为合规证据
6. SOC 收到通知,验证是否存在通过直接 IAM 用户或服务账户的残余访问
**常见陷阱**:未取消配置在 Okta 联合之外创建的直接 IAM 用户或服务账户,留下后门访问。某些服务中 SCIM 传播延迟可能导致 Okta 停用后访问仍持续数分钟。
## 输出格式
```
云身份安全报告
================================
身份提供商: Okta (company.okta.com)
报告日期: 2025-02-23
用户统计:
总用户数: 2,450
活跃: 2,312 | 暂停: 45 | 已停用: 93
MFA 注册率: 2,298/2,312 (99.4%)
抗钓鱼 MFA: 812/2,312 (35.1%)
云 SSO 覆盖率:
AWS Console(45 个账户): 100% 通过 SAML 联合
Azure Portal(8 个订阅): 100% 通过 OIDC 联合
GCP Console(3 个项目): 100% 通过 Workforce Identity
认证事件(过去 30 天):
总登录次数: 145,234
MFA 挑战次数: 89,456
登录失败次数: 3,456
账户锁定次数: 23
ThreatInsight 拦截: 12,345(凭据填充尝试)
生命周期事件:
已预配置用户: 45
已取消配置用户: 23
平均取消配置时间: 8 分钟
检测到的孤儿账户: 3(不受 Okta 管理的直接 IAM 用户)
建议:
[高] 将抗钓鱼 MFA 采用率从 35% 提升到 80%
[高] 修复 3 个不受 Okta 管理的孤儿云账户
[中] 将管理员角色的会话时长从 8 小时缩短到 4 小时
```Related Skills
securing-kubernetes-on-cloud
本技能涵盖通过实施 Pod 安全标准(Pod Security Standards)、网络策略、工作负载身份、RBAC 权限控制、镜像准入控制和运行时安全监控,对 EKS、AKS 和 GKE 上的托管 Kubernetes 集群进行加固。涉及云平台特定安全功能,包括 EKS 的 IRSA、GKE 的工作负载身份(Workload Identity)以及 AKS 的托管身份(Managed Identity)。
performing-cloud-storage-forensic-acquisition
通过收集 API 远程数据和端点设备本地同步客户端制品,对 Google Drive、OneDrive、Dropbox 和 Box 等云存储服务执行取证获取和分析。
performing-cloud-penetration-testing
对 AWS、Azure 和 GCP 云环境执行授权渗透测试,识别 IAM 错误配置、暴露的存储桶、过度宽松的安全组、 无服务器函数漏洞以及从初始访问到账户沦陷的云特定攻击路径。测试人员使用云原生工具及 Pacu、 ScoutSuite 等专用框架枚举并利用云基础设施。适用于云渗透测试、AWS 安全评估、Azure 渗透测试 或云基础设施安全测试等请求场景。
performing-cloud-penetration-testing-with-pacu
使用开源 AWS 利用框架 Pacu 执行已授权的 AWS 渗透测试,枚举 IAM 配置、发现权限提升路径、测试凭据收集,并通过系统化的攻击模拟验证安全控制。
performing-cloud-native-forensics-with-falco
使用 Falco YAML 规则在容器和 Kubernetes 中进行运行时威胁检测,监控系统调用以检测 shell 生成、文件篡改、网络异常和权限提升。通过 Falco gRPC API 管理 Falco 规则并解析 Falco 告警输出。适用于构建容器运行时安全或调查 k8s 集群入侵。
performing-cloud-incident-containment-procedures
在 AWS、Azure 和 GCP 中执行云原生事件遏制,包括隔离受攻陷资源、撤销凭据、保全取证证据,以及应用安全组限制以防止横向移动。
performing-cloud-forensics-with-aws-cloudtrail
使用 CloudTrail 日志对 AWS 环境执行取证调查,重建攻击者活动、识别受损凭据并分析 API 调用模式。
performing-cloud-forensics-investigation
通过收集和分析来自 AWS、Azure 和 GCP 服务的日志、快照和元数据,在云环境中开展取证调查。
performing-cloud-asset-inventory-with-cartography
使用 Cartography 执行全面的云资产清单和关系映射,在 AWS、GCP 和 Azure 中构建包含基础设施资产、IAM 权限和攻击路径的 Neo4j 安全图谱。
managing-intelligence-lifecycle
管理端到端网络威胁情报生命周期,从规划和指导,经过收集、处理、分析、传播到反馈,确保情报产品满足相关方需求并持续改进。当建立或成熟化 CTI 计划、与业务相关方定义情报需求,或在情报消费者和生产者之间建立反馈循环时使用。适用于涉及 CTI 计划成熟度、情报需求、PIR 或情报生命周期管理的请求。
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-scim-provisioning-with-okta
使用 SCIM 2.0 协议以 Okta 作为身份提供商实现自动化用户配置和取消配置。