Oracle Cloud Infrastructure - Dokumentation

JIT-Provisioning von Okta zu OCI IAM

In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen der OCI-Konsole und Okta. Dabei wird Okta als Identitätsprovider (IdP) verwendet.

Sie können das JIT-Provisioning so einrichten, dass Identitäten im Zielsystem erstellt werden können, wenn sie eine Anforderung für den Zugriff auf das Zielsystem stellen. Dies kann einfacher eingerichtet werden, als dass alle Benutzer im Voraus erstellt werden.

In diesem Tutorial werden die folgenden Schritte behandelt:

  1. Konfigurieren Sie die von Okta gesendeten SAML-Attribute.
  2. Konfigurieren Sie JIT-Attribute in OCI IAM.
  3. Testen Sie JIT-Provisioning zwischen OCI IAM und Okta.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Okta-Account mit einer der folgenden Okta-Rollen:
    • Globaler Administrator
    • Cloudanwendungsadministrator
    • Anwendungsadministrator

Außerdem müssen Sie das Tutorial SSO mit OCI und Okta abgeschlossen und die Objekt-ID der Gruppen erfasst haben, die Sie für das JIT-Provisioning verwenden werden.

1. Von Okta gesendete SAML-Attribute konfigurieren

Aktualisieren Sie in OCI IAM die Okta-Datei IdP für JIT.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL an:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
  3. Wählen Sie die Identitätsdomain aus, die zur Konfiguration von SSO verwendet wird.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus.
  6. Wählen Sie unter Identität die Option Domains aus.
  7. Wählen Sie die Identitätsdomain aus, in der Sie Okta als IdP konfiguriert haben.
  8. Wählen Sie im linken Menü die Option "Sicherheit" und dann Identitätsprovider.
  9. Wählen Sie Okta IdP.
  10. Wählen Sie "JIT konfigurieren".

    Konfigurationsseite für den Okta-Identitätsprovider in IAM

  11. Auf der Seite "JIT-(Just-in-Time-(JIT-)Provisioning konfigurieren":
    • Wählen Sie Just-In-Time-(JIT-)Provisioning aus.
    • Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
    • Wählen Sie Vorhandenen Identitätsdomainbenutzer aktualisieren aus.

    just-in-time-Provisioning aktivieren

  12. Unter "Benutzerattribute zuordnen":
    1. Lassen Sie die erste Zeile für NameID unverändert.
    2. Wählen Sie für andere Attribute unter IdP user attribute die Option Attribute aus.
    3. Geben Sie den Benutzerattributnamen IdP wie folgt an:
      • familyName: familyName
      • primaryEmailAddress: email
    4. Wählen Sie Zeile hinzufügen, und geben Sie Folgendes ein: firstName.

      Wählen Sie für das Benutzerattribut der Identitätsdomain First name aus.

      Hinweis

      Wenn Sie zusätzliche Benutzerattribute konfiguriert haben, die als Teil der Benutzer-Assertion von Okta gesendet werden sollen, können Sie sie Identitätsdomainbenutzerattributen zuordnen, indem Sie zusätzliche Zeilen hinzufügen.
  13. Wählen Sie Gruppenzuordnung zuweisen aus.
  14. Geben Sie den Attributnamen für Gruppenmitgliedschaft ein. In diesem Tutorial verwenden Sie groups.
    Hinweis

    Notieren Sie sich den Attributnamen der Gruppenmitgliedschaft, da Sie ihn im nächsten Abschnitt verwenden.
  15. Wählen Sie Explizite Zuordnungen für Gruppenmitgliedschaften definieren aus.
  16. Führen Sie unter IdP die folgenden Schritte aus, um dem Namen der Identitätsdomaingruppe zuzuordnen:
    • Geben Sie unter IdP Gruppenname den Namen der Gruppe in Okta an.
    • Wählen Sie unter Identitätsdomaingruppenname die Gruppe in OCI IAM aus, der die Okta-Gruppe zugeordnet werden soll.

      Gruppenzuordnungen zuweisen

      Hinweis

      Zusätzliche Gruppen können zugeordnet werden, indem Sie Zeile hinzufügen auswählen.

      Dieses Diagramm zeigt die in Okta auf der linken Seite konfigurierten Attribute und die in OCI IAM auf der rechten Seite zugeordneten Attribute.

      Zuordnung von Gruppenattributen zwischen Okta und OCI IAM

  17. Wählen Sie unter Zuweisungsregeln Folgendes aus:
    1. Beim Zuweisen von Gruppenmitgliedschaften: Mit vorhandenen Gruppenmitgliedschaften zusammenfassen
    2. Wenn eine Gruppe nicht gefunden wird: Fehlende Gruppe ignorieren

    Zuweisungsregeln festlegen

    Hinweis

    Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus.
  18. Wählen Sie Änderungen speichern aus.
2. JIT-Attribute für OCI IAM konfigurieren

Aktualisieren Sie in Okta die OCI-IAM-Anwendungskonfiguration, um Benutzerattribute und den Gruppennamen in der SAML-Assertion zu senden.

  1. Wählen Sie in Okta in der Unternehmensanwendung, die Sie für OCI IAM erstellt haben, die Registerkarte "Anmelden".
  2. Wählen Sie neben "Einstellungen" die Option Bearbeiten.
  3. Wählen Sie unter "Saml 2.0" > neben Attribute (optional) aus.
  4. Geben Sie folgende Werte an:
    Name Namensformat Wert
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Sie können zusätzliche Attribute hinzufügen, die Ihren Geschäftsanforderungen entsprechen. Sie benötigen diese jedoch nur für dieses Tutorial.

    Okta-Attribute

  5. Geben Sie unter "Gruppenattributanweisungen" diesen Wert ein.
    Hinweis

    Okta bietet einen Mechanismus zum Filtern von Gruppen, die in SAML-Assertion gesendet werden können. Der Filter enthält Optionen wie Starts with, Equals, Contains und Matches regex. In diesem Tutorial verwenden wir den Filter Contains, was bedeutet, dass Okta nur die Gruppen sendet, die mit dem Benutzer verknüpft sind und die die angegebene Zeichenfolge enthalten. In diesem Beispiel haben wir Admin als Zeichenfolge angegeben. Daher werden alle Gruppen, die die Zeichenfolge Admin enthalten und mit dem Benutzer verknüpft sind, in der SAML-Assertion gesendet.
    Name Namensformat Filter Wert
    groups Unspecified Contains Admin

    Okta-Gruppenattribute

  6. Wählen Sie Speichern aus.
3. JIT-Provisioning zwischen Okta und OCI testen
In diesem Abschnitt können Sie testen, ob das JIT-Provisioning zwischen Okta und OCI IAM funktioniert.
  1. Erstellen Sie in der Okta-Konsole einen neuen Benutzer mit einer E-Mail-ID, die nicht in OCI IAM vorhanden ist.
  2. Weisen Sie den Benutzer den erforderlichen Gruppen zu. Beispiel: Administrators and Admins.
  3. Melden Sie sich von Okta ab.
  4. Weisen Sie den Benutzer der OCI IAM-App in Okta zu.

    Benutzer in Okta

  5. Öffnen Sie im Browser die OCI-Konsole.
  6. Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
  7. Wählen Sie in den Anmeldeoptionen Okta aus.
  8. Geben Sie auf der Okta-Anmeldeseite die neu erstellte Benutzer-ID an.
  9. Bei erfolgreicher Authentifizierung von Okta:
    • Der Benutzeraccount wird in OCI IAM erstellt.
    • Der Benutzer ist bei der OCI-Konsole angemeldet.

    Mein Profil in OCI IAM für Benutzer

  10. Wählen Sie im Navigationsmenü das Menü Profil Symbol für Profilmenü aus, und wählen Sie Benutzereinstellungen aus. Prüfen Sie die Benutzereigenschaften wie E-Mail-ID, Vorname, Nachname und verknüpfte Gruppen.

    Benutzereigenschaften in OCI IAM prüfen

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen Okta und IAM erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: