Identitätslebenszyklusmanagement zwischen OCI und Okta
In diesem Tutorial konfigurieren Sie die Verwaltung des Benutzerlebenszyklus zwischen Okta und OCI IAM, wobei Okta als autoritativer Identitätsspeicher fungiert.
In diesem 30-minütigen Tutorial erfahren Sie, wie Sie Benutzer und Gruppen von Okta in OCI IAM bereitstellen.
- Erstellen Sie eine vertrauenswürdige Anwendung in OCI IAM.
- Rufen Sie die Identitätsdomain-URL ab, und generieren Sie ein Secret-Token.
- Erstellen Sie eine App in Okta.
- Aktualisieren Sie die Okta-Einstellungen.
- Testen Sie, ob das Provisioning zwischen OCI IAM und Okta funktioniert.
- Darüber hinaus Anweisungen, wie Sie
- Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
- Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Um diese Gruppe von Tutorials auszuführen, benötigen Sie Folgendes:
-
Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
- Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
- Ein Okta-Account mit Administratorberechtigungen zur Konfiguration des Provisionings.
In den Schritten des Tutorials sammeln Sie die zusätzlichen Informationen, die Sie benötigen:
- Die OCI IAM-Domain-URL.
- Die OCI-IAM-Client-ID und das Client Secret.
Erstellen Sie eine vertrauliche Anwendung in OCI IAM, und aktivieren Sie sie.
-
Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie das Okta-Provisioning konfigurieren möchten, und klicken Sie auf Anwendungen.
- Klicken Sie auf Anwendung hinzufügen, wählen Sie Vertikale Anwendung aus, und klicken Sie auf Workflow starten.
- Geben Sie einen Namen für die vertrauliche Anwendung ein. Beispiel: OktaClient. Klicken Sie Weiter.
- Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.
- Wählen Sie unter Autorisierung die Option Clientzugangsdaten aus.
- Scrollen Sie nach unten, und klicken Sie auf Anwendungsrollen hinzufügen.
- Klicken Sie unter "Anwendungsrollen" auf Rollen hinzufügen, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und klicken Sie auf Hinzufügen.
- Klicken Sie auf Weiter und dann auf Fertigstellen.
- Klicken Sie auf der Seite mit den Anwendungsdetails auf Aktivieren, und bestätigen Sie, dass die neue Anwendung aktiviert werden soll.
Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Okta-App verwenden können, die Sie später erstellen.
- Kehren Sie zum Identitätsdomainüberblick zurück, indem Sie im Navigationspfad auf den Identitätsdomainnamen klicken. Klicken Sie in den Domaininformationen neben der Domain-URL auf Kopieren, und speichern Sie die URL in einer App, in der Sie sie bearbeiten können.
Die OCI-IAM-GUID ist Teil der Domain-URL:
https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso
Beispiel:
idcs-9ca4f92e3fba2a4f95a4c9772ff3278
- Klicken Sie in der vertraulichen App in OCI IAM unter "Ressourcen" auf OAuth-Konfiguration.
- Scrollen Sie nach unten, und notieren Sie sich unter Allgemeine Informationen die Client-ID und das Client Secret.
- Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
- Kopieren und speichern Sie die Client-ID.
- Klicken Sie auf Secret anzeigen, und kopieren und speichern Sie das Secret.Das Secret-Token ist die base64-Codierung von
<clientID>:<clientsecret>
oderbase64(<clientID>:<clientsecret>)
Diese Beispiele zeigen, wie das Secret-Token unter Windows und MacOS generiert wird.
Öffnen Sie in einer Windows-Umgebung CMD, und generieren Sie mit diesem Powershell-Befehl die base64-Codierung
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"
Verwenden Sie unter MacOSecho -n <clientID>:<clientsecret> | base64
Das Secret-Token wird zurückgegeben. Beispielecho -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==
Notieren Sie sich den Wert des Secret-Tokens.
Erstellen Sie eine Anwendung in Okta.
- Melden Sie sich im Browser über die folgende URL bei Okta an:
https://<Okta-org>-admin.okta.com
Dabei ist
<okta-org>
das Präfix für Ihre Organisation mit Okta. - Klicken Sie im Menü auf der linken Seite auf Anwendungen.
Wenn Sie bereits eine Anwendung haben, die Sie beim Durchlaufen von SSO mit OCI und Okta erstellt haben, können Sie sie verwenden. Klicken Sie auf diese Option, um sie zu öffnen und zu bearbeiten, und gehen Sie zu 5. Okta-Einstellungen ändern.
- Klicken Sie auf App-Katalog durchsuchen, und suchen Sie nach
Oracle Cloud
. Wählen Sie unter den verfügbaren Optionen die Option Oracle Cloud Infrastructure IAM aus. - Klicken Sie auf Integration hinzufügen.
- Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B.
OCI IAM
, und klicken Sie auf Fertig.
Verbinden Sie die Okta-App mit der vertraulichen OCI IAM-App mit der Domain-URL und dem Secret-Token aus einem früheren Schritt.
- Klicken Sie auf der neu erstellten Anwendungsseite auf die Registerkarte "Anmelden".
- Klicken Sie in den Einstellungen auf Bearbeiten.
- Scrollen Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
- Geben Sie die Domain-URL in der Oracle Cloud Infrastructure IAM-GUID ein.
- Klicken Sie auf Speichern.
- Klicken Sie oben auf der Seite auf die Registerkarte {\b Provisioning}.
- Klicken Sie auf API-Integration konfigurieren.
- Wählen Sie API-Integration aktivieren aus.
- Geben Sie den zuvor in API-Token kopierten Secret-Tokenwert ein.
-
Klicken Sie auf API-Zugangsdaten testen.
Wenn eine Fehlermeldung angezeigt wird, prüfen Sie die eingegebenen Werte, und versuchen Sie es erneut.
Wenn Sie die Nachricht
Oracle Cloud Infrastructure IAM was verified successfully!
erhalten, wurde Okta erfolgreich mit dem OCI-IAM-SCIM-Endpunkt verbunden. -
Klicken Sie auf Speichern.
Die Seite "Provisioning für App" wird geöffnet, auf der Sie Benutzer erstellen, Benutzerattribute aktualisieren und Attribute zwischen OCI IAM und Okta zuordnen können.
So testen Sie das Benutzer- und Gruppen-Provisioning für Okta:
- Wählen Sie in der neu erstellten Anwendung die Registerkarte "Zuweisungen".
- Klicken Sie auf Zuweisen, und wählen Sie Zu Personen zuweisen aus.
- Suchen Sie nach dem Benutzer, der von Okta für OCI IAM bereitgestellt werden soll.
Klicken Sie neben dem Benutzer auf Zuweisen.
- Klicken Sie auf Speichern, Zurück.
- Stellen Sie jetzt Okta-Gruppen in OCI IAM bereit. Klicken Sie auf der Registerkarte "Zuweisungen" auf Zuweisen, und wählen Sie Gruppen zuweisen aus.
- Suchen Sie nach den Gruppen, die für OCI IAM bereitgestellt werden sollen. Klicken Sie neben dem Gruppennamen auf Zuweisen.
- Klicken Sie auf Fertig.
- Melden Sie sich jetzt bei OCI an:
-
Öffnen Sie einen unterstützten Browser, und geben Sie die OCI-Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Wählen Sie die Identitätsdomain aus, in der Okta konfiguriert wurde.
-
- Klicken Sie auf Benutzer.
- Der Benutzer, der der OCI IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
- Klicken Sie auf Gruppen.
- Die Gruppe, die der OCI-IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
- Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
- Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
Föderierte Benutzer haben keine Zugangsdaten für die direkte Anmeldung bei OCI. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre Verbundaccounts bei OCI anmelden sollen, setzen Sie das Verbundattribut für diese Benutzer auf "true".
So legen Sie den föderierten Status des Benutzers fest:
- Melden Sie sich im Browser über die folgende URL bei Okta an:
https://<Okta-org>-admin.okta.com
Dabei ist
<okta-org>
das Präfix für Ihre Organisation mit Okta. - Klicken Sie im Menü auf der linken Seite auf Anwendungen.
- Klicken Sie auf die zuvor erstellte Anwendung
OCI IAM
. - Scrollen Sie nach unten zum Abschnitt "Attributzuordnungen".
- Klicken Sie auf Gehe zu Profile Editor.
- Klicken Sie unter "Attribute" auf Attribute hinzufügen.
- Gehen Sie auf der Seite "Attribut hinzufügen" wie folgt vor:
- Wählen Sie unter Datentyp die Option
Boolean
aus. - Geben Sie unter Anzeigename
isFederatedUser
ein. - Geben Sie unter Variablenname
isFederatedUser
ein.Hinweis
Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt. - Geben Sie unter Externer Namespace die Zeichenfolge
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User
ein. - Prüfen Sie unter Geltungsbereich die Option
User personal
.
- Wählen Sie unter Datentyp die Option
- Navigieren Sie zurück zur Okta-Anwendungsseite, und wählen Sie die Anwendung
OCI IAM
. - Klicken Sie auf Provisioning.
- Scrollen Sie nach unten zur Attributzuordnung, und klicken Sie auf Nicht zugeordnete Attribute anzeigen.
- Suchen Sie das Attribut
isFederatedUser
, und klicken Sie auf die Schaltfläche "Bearbeiten". - Führen Sie auf der Attributseite Folgendes aus:
- Wählen Sie unter Attributwert die Option
Expression
aus. - Geben Sie im Feld unten
true
ein. - Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.
- Wählen Sie unter Attributwert die Option
- Klicken Sie auf Speichern.
Wenn die Benutzer nun von Okta in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers in OCI angezeigt.
- Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, klicken Sie auf Benutzer, und klicken Sie auf den Benutzer, um die Benutzerinformationen anzuzeigen.
- Föderiert wird als
Yes
angezeigt.
Das Flag für die Umgehungsbenachrichtigung steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Kennzeichen "Benachrichtigung umgehen" auf "true".
So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:
- Melden Sie sich im Browser über die folgende URL bei Okta an:
https://<Okta-org>-admin.okta.com
Dabei ist
<okta-org>
das Präfix für Ihre Organisation mit Okta. - Klicken Sie im Menü auf der linken Seite auf Anwendungen.
- Klicken Sie auf die zuvor erstellte Anwendung
OCI IAM
. - Scrollen Sie nach unten zum Abschnitt "Attributzuordnungen".
- Klicken Sie unter "Attribute" auf Attribute hinzufügen.
- Gehen Sie auf der Seite "Attribut hinzufügen" wie folgt vor:
- Wählen Sie unter Datentyp die Option
Boolean
aus. - Geben Sie unter Anzeigename
bypassNotification
ein. - Geben Sie unter Variablenname
bypassNotification
ein.Hinweis
Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt. - Geben Sie unter Externer Namespace die Zeichenfolge
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User
ein. - Prüfen Sie unter Geltungsbereich die Option
User personal
.
- Wählen Sie unter Datentyp die Option
- Navigieren Sie zurück zur Okta-Anwendungsseite, und wählen Sie die Anwendung
OCI IAM
. - Klicken Sie auf Provisioning.
- Scrollen Sie nach unten zur Attributzuordnung, und klicken Sie auf Nicht zugeordnete Attribute anzeigen.
- Suchen Sie das Attribut
bypassNotification
, und klicken Sie auf die Schaltfläche "Bearbeiten". - Führen Sie auf der Attributseite Folgendes aus:
- Wählen Sie unter Attributwert die Option
Expression
aus. - Geben Sie im Feld unten
true
ein. - Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.
- Wählen Sie unter Attributwert die Option
- Klicken Sie auf Save.
Herzlichen Glückwunsch. Sie haben das Benutzerlebenszyklusmanagement zwischen Okta und OCI erfolgreich eingerichtet.
Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: