Oracle Cloud Infrastructure - Dokumentation

Identitätslebenszyklusmanagement zwischen OCI und Okta

In diesem Tutorial konfigurieren Sie die Verwaltung des Benutzerlebenszyklus zwischen Okta und OCI IAM, wobei Okta als autoritativer Identitätsspeicher fungiert.

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie Benutzer und Gruppen von Okta in OCI IAM bereitstellen.

  1. Erstellen Sie eine vertrauenswürdige Anwendung in OCI IAM.
  2. Rufen Sie die Identitätsdomain-URL ab, und generieren Sie ein Secret-Token.
  3. Erstellen Sie eine App in Okta.
  4. Aktualisieren Sie die Okta-Einstellungen.
  5. Testen Sie, ob das Provisioning zwischen OCI IAM und Okta funktioniert.
  6. Darüber hinaus Anweisungen, wie Sie
    • Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
    • Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um diese Gruppe von Tutorials auszuführen, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Okta-Account mit Administratorberechtigungen zur Konfiguration des Provisionings.

In den Schritten des Tutorials sammeln Sie die zusätzlichen Informationen, die Sie benötigen:

  • Die OCI IAM-Domain-URL.
  • Die OCI-IAM-Client-ID und das Client Secret.
1. Vertrauenswürdige Anwendung in OCI erstellen

Erstellen Sie eine vertrauliche Anwendung in OCI IAM, und aktivieren Sie sie.

  1. Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
  3. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  4. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter "Identität" Domains aus.
  5. Wählen Sie die Identitätsdomain aus, in der Sie das Okta-Provisioning konfigurieren möchten, und wählen Sie Anwendungen aus.
  6. Wählen Sie Anwendung hinzufügen, Vertrauliche Anwendung aus, und wählen Sie Workflow starten aus.

    Vertrauliche Anwendung

  7. Geben Sie einen Namen für die vertrauliche Anwendung ein. Beispiel: OktaClient. Wählen Sie Weiter aus.
  8. Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.
  9. Wählen Sie unter Autorisierung die Option Clientzugangsdaten aus.

    Anwendung als Client konfigurieren

  10. Scrollen Sie nach unten, und wählen Sie Anwendungsrollen hinzufügen aus.
  11. Wählen Sie unter "Anwendungsrollen" die Option Rollen hinzufügen aus, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und wählen Sie Hinzufügen aus.

    Anwendungsrollen hinzufügen

  12. Wählen Sie Weiter und dann Fertigstellen aus.
  13. Wählen Sie auf der Seite mit den Anwendungsdetails Activate aus, und bestätigen Sie, dass die neue Anwendung aktiviert werden soll.
2. OCI-IAM-GUID suchen und Secret-Token generieren

Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Okta-App verwenden können, die Sie später erstellen.

  1. Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie den Identitätsdomainnamen im Navigationspfad auswählen. Wählen Sie Kopieren neben der Domain-URL in den Domaininformationen aus, und speichern Sie die URL in einer Anwendung, in der Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

    Die OCI-IAM-GUID ist Teil der Domain-URL:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Beispiel: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Wählen Sie in der vertraulichen App in OCI IAM unter "Ressourcen" die Option OAuth-Konfiguration aus.
  3. Scrollen Sie nach unten, und notieren Sie sich unter Allgemeine Informationen die Client-ID und das Client Secret.
  4. Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
  5. Kopieren und speichern Sie die Client-ID.
  6. Wählen Sie Secret anzeigen aus, und kopieren und speichern Sie das Secret.

    Client-ID und Client Secret

    Das Secret-Token ist die base64-Codierung von <clientID>:<clientsecret> oder
    base64(<clientID>:<clientsecret>)

    Diese Beispiele zeigen, wie das Secret-Token unter Windows und MacOS generiert wird.

    Öffnen Sie in einer Windows-Umgebung CMD, und generieren Sie mit diesem Powershell-Befehl die base64-Codierung [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Verwenden Sie unter MacOS
    echo -n <clientID>:<clientsecret> | base64
    Das Secret-Token wird zurückgegeben. Beispiel
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notieren Sie sich den Wert des Secret-Tokens.

3. App in Okta erstellen

Erstellen Sie eine Anwendung in Okta.

  1. Melden Sie sich im Browser über die folgende URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Wählen Sie im Menü auf der linken Seite Anwendungen aus.

    Wenn Sie bereits eine Anwendung haben, die Sie beim Durchlaufen von SSO mit OCI und Okta erstellt haben, können Sie sie verwenden. Wählen Sie diese Option aus, um sie zu öffnen und zu bearbeiten, und gehen Sie zu 5. Ändern Sie die Okta-Einstellungen.

  3. Wählen Sie App-Katalog durchsuchen aus, und suchen Sie nach Oracle Cloud. Wählen Sie unter den verfügbaren Optionen die Option Oracle Cloud Infrastructure IAM aus.
  4. Wählen Sie Integration hinzufügen aus.
  5. Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B. OCI IAM, und wählen Sie Fertig aus.
5. Okta-Einstellungen ändern

Verbinden Sie die Okta-App mit der vertraulichen OCI IAM-App mit der Domain-URL und dem Secret-Token aus einem früheren Schritt.

  1. Wählen Sie auf der neu erstellten Anwendungsseite die Registerkarte "Anmelden".
  2. Wählen Sie unter "Einstellungen" die Option Bearbeiten aus.
  3. Scrollen Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
  4. Geben Sie die Domain-URL in der Oracle Cloud Infrastructure IAM-GUID ein.
  5. Wählen Sie Speichern aus.
  6. Wählen Sie oben auf der Seite die Registerkarte "Provisioning" aus.
  7. Wählen Sie API-Integration konfigurieren aus.
  8. Wählen Sie API-Integration aktivieren aus.

    API-Integration aktivieren

  9. Geben Sie den zuvor in API-Token kopierten Secret-Tokenwert ein.

  10. Wählen Sie API-Zugangsdaten testen aus.

    Wenn eine Fehlermeldung angezeigt wird, prüfen Sie die eingegebenen Werte, und versuchen Sie es erneut.

    Wenn Sie die Nachricht Oracle Cloud Infrastructure IAM was verified successfully! erhalten, wurde Okta erfolgreich mit dem OCI-IAM-SCIM-Endpunkt verbunden.

  11. Wählen Sie Speichern aus.

Die Seite "Provisioning für App" wird geöffnet, auf der Sie Benutzer erstellen, Benutzerattribute aktualisieren und Attribute zwischen OCI IAM und Okta zuordnen können.

6. Benutzer- und Gruppen-Provisioning testen

So testen Sie das Benutzer- und Gruppen-Provisioning für Okta:

  1. Wählen Sie in der neu erstellten Anwendung die Registerkarte "Zuweisungen".
  2. Wählen Sie Zuweisen, Personen zuweisen aus.
  3. Suchen Sie nach dem Benutzer, der von Okta für OCI IAM bereitgestellt werden soll.

    Wählen Sie Zuweisen neben dem Benutzer aus.

  4. Wählen Sie Speichern, Zurück aus.
  5. Stellen Sie jetzt Okta-Gruppen in OCI IAM bereit. Wählen Sie auf der Registerkarte "Zuweisungen" die Option Zuweisen aus, und wählen Sie Gruppen zuweisen aus.
  6. Suchen Sie nach den Gruppen, die für OCI IAM bereitgestellt werden sollen. Wählen Sie neben dem Gruppennamen die Option Zuweisen aus.
  7. Wählen Sie Fertig.
  8. Melden Sie sich jetzt bei OCI an:

    1. Öffnen Sie einen unterstützten Browser, und geben Sie die OCI-Konsolen-URL ein:

      https://cloud.oracle.com.

    2. Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
    3. Wählen Sie die Identitätsdomain aus, in der Okta konfiguriert wurde.
  9. Wählen Sie Benutzer.
  10. Der Benutzer, der der OCI IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
  11. Wählen Sie Gruppen aus.
  12. Die Gruppe, die der OCI-IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
7. Zusätzliche Konfigurationen für föderierte Benutzer
  • Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
  • Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
a. Föderationsstatus von Benutzern festlegen

Föderierte Benutzer haben keine Zugangsdaten für die direkte Anmeldung bei OCI. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre Verbundaccounts bei OCI anmelden sollen, setzen Sie das Verbundattribut für diese Benutzer auf "true".

So legen Sie den föderierten Status des Benutzers fest:

  1. Melden Sie sich im Browser über die folgende URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Wählen Sie im Menü auf der linken Seite Anwendungen aus.
  3. Wählen Sie die zuvor erstellte Anwendung OCI IAM aus.
  4. Scrollen Sie nach unten zum Abschnitt "Attributzuordnungen".
  5. Wählen Sie Gehe zum Profileditor.
  6. Wählen Sie unter "Attribute" Attribute hinzufügen aus.
  7. Gehen Sie auf der Seite "Attribut hinzufügen" wie folgt vor:
    • Wählen Sie unter Datentyp die Option Boolean aus.
    • Geben Sie unter Anzeigename isFederatedUser ein.
    • Geben Sie unter Variablenname isFederatedUser ein.
      Hinweis

      Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt.
    • Geben Sie unter Externer Namespace die Zeichenfolge urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User ein.
    • Prüfen Sie unter Geltungsbereich die Option User personal.

    Seite Attribut hinzufügen

  8. Navigieren Sie zurück zur Okta-Anwendungsseite, und wählen Sie die Anwendung OCI IAM.
  9. Wählen Sie Provisioning wird ausgeführt.
  10. Scrollen Sie nach unten zu "Attributzuordnung", und wählen Sie Nicht zugeordnete Attribute anzeigen aus.
  11. Suchen Sie das Attribut isFederatedUser, und wählen Sie die Schaltfläche "Bearbeiten" daneben aus.
  12. Führen Sie auf der Attributseite Folgendes aus:
    • Wählen Sie unter Attributwert die Option Expression aus.
    • Geben Sie im Feld unten true ein.
    • Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.

    Attribut (Seite)

  13. Wählen Sie Speichern aus.

    Attributwerte mit Föderation

Wenn die Benutzer nun von Okta in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers in OCI angezeigt.

  • Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, wählen Sie Benutzer aus, und wählen Sie den Benutzer aus, der die Benutzerinformationen anzeigen soll.
  • Föderiert wird als Yes angezeigt.

    Benutzerinformationen, die zeigen, dass der Benutzer föderiert ist

b. Benachrichtigungen für Accounterstellung oder -aktualisierungen deaktivieren

Das Flag für die Umgehungsbenachrichtigung steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Kennzeichen "Benachrichtigung umgehen" auf "true".

So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:

  1. Melden Sie sich im Browser über die folgende URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Wählen Sie im Menü auf der linken Seite Anwendungen aus.
  3. Wählen Sie die zuvor erstellte Anwendung OCI IAM aus.
  4. Scrollen Sie nach unten zum Abschnitt "Attributzuordnungen".
  5. Wählen Sie unter "Attribute" Attribute hinzufügen aus.
  6. Gehen Sie auf der Seite "Attribut hinzufügen" wie folgt vor:
    • Wählen Sie unter Datentyp die Option Boolean aus.
    • Geben Sie unter Anzeigename bypassNotification ein.
    • Geben Sie unter Variablenname bypassNotification ein.
      Hinweis

      Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt.
    • Geben Sie unter Externer Namespace die Zeichenfolge urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User ein.
    • Prüfen Sie unter Geltungsbereich die Option User personal.

    Attribut hinzufügen (Seite)

  7. Navigieren Sie zurück zur Okta-Anwendungsseite, und wählen Sie die Anwendung OCI IAM.
  8. Wählen Sie Provisioning wird ausgeführt.
  9. Scrollen Sie nach unten zu "Attributzuordnung", und wählen Sie Nicht zugeordnete Attribute anzeigen aus.
  10. Suchen Sie das Attribut bypassNotification, und wählen Sie die Schaltfläche "Bearbeiten" daneben aus.
  11. Führen Sie auf der Attributseite Folgendes aus:
    • Wählen Sie unter Attributwert die Option Expression aus.
    • Geben Sie im Feld unten true ein.
    • Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.

    Attribut (Seite)

  12. Wählen Sie Speichern aus.

    Attributwerte mit Umgehungsbenachrichtigung

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das Benutzerlebenszyklusmanagement zwischen Okta und OCI erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: