JIT-Provisioning von Okta zu OCI IAM
In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen der OCI-Konsole und Okta mit Okta als Identitätsprovider (IdP).
Sie können das JIT-Provisioning so einrichten, dass Identitäten im Zielsystem erstellt werden können, wenn sie eine Anforderung für den Zugriff auf das Zielsystem stellen. Dies kann einfacher einzurichten sein, als alle Benutzer im Voraus zu erstellen.
In diesem Tutorial werden die folgenden Schritte behandelt:
- Konfigurieren Sie SAML-Attribute, die von Okta gesendet werden.
- Konfigurieren Sie JIT-Attribute in OCI IAM.
- Testen Sie das JIT-Provisioning zwischen OCI IAM und Okta.
Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:
-
Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
- Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
- Ein Okta-Account mit einer der folgenden Okta-Rollen:
- Globaler Administrator
- Cloudanwendungsadministrator
- Anwendungsadministrator
Darüber hinaus müssen Sie das Tutorial SSO mit OCI und Okta abgeschlossen und die Objekt-ID der Gruppen erfasst haben, die Sie für das JIT-Provisioning verwenden möchten.
Aktualisieren Sie in OCI IAM die Okta IdP für JIT.
-
Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Wählen Sie die Identitätsdomain aus, die zum Konfigurieren von SSO verwendet wird.
- Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit.
- Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie Okta als IdP konfiguriert haben.
- Klicken Sie im linken Menü auf "Sicherheit" und dann auf Identitätsprovider.
- Klicken Sie auf Okta IdP.
- Klicken Sie auf "JIT konfigurieren".
- Gehen Sie auf der Seite {\b Configure Just-In-Time (JIT) Provisioning} wie folgt vor:
- Wählen Sie JIT-Provisioning aus.
- Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
- Wählen Sie Benutzer der vorhandenen Identitätsdomain aktualisieren aus.
- Unter "Benutzerattribute zuordnen":
- Lassen Sie die erste Zeile für
NameID
unverändert. - Wählen Sie für andere Attribute unter IdP-Benutzerattribut die Option
Attribute
aus. - Geben Sie den IdP-Benutzerattributnamen wie folgt an:
- familyName:
familyName
- primaryEmailAddress:
email
- familyName:
- Klicken Sie auf Zeile hinzufügen, und geben Sie
firstName
ein.Wählen Sie für das Benutzerattribut der Identitätsdomain
First name
aus.Hinweis
Wenn Sie zusätzliche Benutzerattribute konfiguriert haben, die als Teil der Benutzer-Assertion von Okta gesendet werden sollen, können Sie sie Identitätsdomainbenutzerattributen zuordnen, indem Sie zusätzliche Zeilen hinzufügen.
- Lassen Sie die erste Zeile für
- Wählen Sie Gruppenzuordnung zuweisen aus.
- Geben Sie den Attributnamen der Gruppenmitgliedschaft ein. In diesem Tutorial verwenden Sie
groups
.Hinweis
Notieren Sie sich den Namen des Gruppenmitgliedschaftsattributs, da Sie ihn im nächsten Abschnitt verwenden. - Wählen Sie Explizite Gruppenmitgliedschaftszuordnungen definieren aus.
- Gehen Sie unter IdP wie folgt vor, um den Gruppennamen der Identitätsdomaingruppe zuzuordnen:
- Geben Sie unter IdP Group name den Namen der Gruppe in Okta an.
- Wählen Sie unter Identitätsdomaingruppenname die Gruppe in OCI IAM aus, der die Okta-Gruppe zugeordnet werden soll.Hinweis
Weitere Gruppen können durch Klicken auf Zeile hinzufügen zugeordnet werden.Dieses Diagramm zeigt die in Okta konfigurierten Attribute auf der linken Seite und die in OCI IAM zugeordneten Attribute auf der rechten Seite.
- Wählen Sie unter Zuweisungsregeln Folgendes aus:
- Beim Zuweisen von Gruppenmitgliedschaften: Mit vorhandenen Gruppenmitgliedschaften zusammenführen
- Wenn eine Gruppe nicht gefunden wird: Fehlende Gruppe ignorieren
Hinweis
Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus. - Klicken Sie auf Änderungen speichern.
Aktualisieren Sie in Okta die OCI-IAM-Anwendungskonfiguration, um Benutzerattribute und den Gruppennamen in der SAML-Assertion zu senden.
- Wählen Sie in Okta in der Unternehmensanwendung, die Sie für OCI IAM erstellt haben, die Registerkarte "Anmelden" aus.
- Klicken Sie neben "Einstellungen" auf Bearbeiten.
- Klicken Sie in Saml 2.0 neben Attribute (optional) auf >.
- Geben Sie folgende Werte an:
Name Name Format Value firstName
Unspecified
user.firstName
familyName
Unspecified
user.lastName
email
Unspecified
user.email
Sie können zusätzliche Attribute hinzufügen, die Ihren Geschäftsanforderungen entsprechen. Sie benötigen diese jedoch nur für dieses Tutorial.
- Geben Sie unter Gruppenattributauszüge diesen Wert ein.Hinweis
Okta bietet ein Verfahren zum Filtern von Gruppen, die in SAML-Assertion gesendet werden können. Der Filter enthält Optionen wieStarts with
,Equals
,Contains
undMatches regex
. In diesem Tutorial verwenden wir den FilterContains
, was bedeutet, dass Okta nur diejenigen Gruppen sendet, die mit dem Benutzer verknüpft sind und die angegebene Zeichenfolge enthalten. In diesem Beispiel haben wirAdmin
als Zeichenfolge angegeben. Daher werden alle Gruppen, die die ZeichenfolgeAdmin
enthalten und mit dem Benutzer verknüpft sind, in der SAML-Assertion gesendet.Name Name Format Filter Value groups
Unspecified
Contains
Admin
- Klicken Sie auf Speichern.
- Erstellen Sie in der Okta-Konsole einen neuen Benutzer mit einer E-Mail-ID, die nicht in OCI IAM vorhanden ist.
- Weisen Sie den Benutzer den erforderlichen Gruppen zu. Beispiel:
Administrators and Admins
. - Melden Sie sich bei Okta ab.
- Weisen Sie den Benutzer der OCI-IAM-App in Okta zu.
- Öffnen Sie die OCI-Konsole im Browser.
- Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
- Klicken Sie in den Anmeldeoptionen auf Okta.
- Geben Sie auf der Okta-Anmeldeseite die neu erstellte Benutzer-ID an.
- Bei erfolgreicher Authentifizierung von Okta:
- Der Benutzeraccount wird in OCI IAM erstellt.
- Der Benutzer ist bei der OCI-Konsole angemeldet.
- Wählen Sie das Menü Profil () oben rechts in der Navigationsleiste oben auf der Seite aus, und klicken Sie auf Mein Profil. Prüfen Sie die Benutzereigenschaften wie E-Mail-ID, Vorname, Nachname und zugehörige Gruppen.
Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen Okta und IAM erfolgreich eingerichtet.
Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: