Oracle Cloud Infrastructure - Dokumentation

Identitätslebenszyklusmanagement zwischen OCI und Okta

In diesem Tutorial konfigurieren Sie die Verwaltung des Benutzerlebenszyklus zwischen Okta und OCI IAM, wobei Okta als autoritativer Identitätsspeicher fungiert.

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie Benutzer und Gruppen von Okta in OCI IAM bereitstellen.

  1. Erstellen Sie eine vertrauenswürdige Anwendung in OCI IAM.
  2. Rufen Sie die Identitätsdomain-URL ab, und generieren Sie ein Secret-Token.
  3. Erstellen Sie eine App in Okta.
  4. Aktualisieren Sie die Okta-Einstellungen.
  5. Testen Sie, ob das Provisioning zwischen OCI IAM und Okta funktioniert.
  6. Darüber hinaus Anweisungen, wie Sie
    • Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
    • Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um diese Gruppe von Tutorials auszuführen, benötigen Sie Folgendes:

  • Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Okta-Account mit Administratorberechtigungen zur Konfiguration des Provisionings.

In den Schritten des Tutorials sammeln Sie die zusätzlichen Informationen, die Sie benötigen:

  • Die OCI IAM-Domain-URL.
  • Die OCI-IAM-Client-ID und das Client Secret.
1. Vertrauenswürdige Anwendung in OCI erstellen

Erstellen Sie eine vertrauliche Anwendung in OCI IAM, und aktivieren Sie sie.

  1. Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  3. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  4. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  5. Wählen Sie die Identitätsdomain aus, in der Sie das Okta-Provisioning konfigurieren möchten, und klicken Sie auf Anwendungen.
  6. Klicken Sie auf Anwendung hinzufügen, wählen Sie Vertikale Anwendung aus, und klicken Sie auf Workflow starten.

    Vertrauliche Anwendung

  7. Geben Sie einen Namen für die vertrauliche Anwendung ein. Beispiel: OktaClient. Klicken Sie Weiter.
  8. Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.
  9. Wählen Sie unter Autorisierung die Option Clientzugangsdaten aus.

    Anwendung als Client konfigurieren

  10. Scrollen Sie nach unten, und klicken Sie auf Anwendungsrollen hinzufügen.
  11. Klicken Sie unter "Anwendungsrollen" auf Rollen hinzufügen, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und klicken Sie auf Hinzufügen.

    Anwendungsrollen hinzufügen

  12. Klicken Sie auf Weiter und dann auf Fertigstellen.
  13. Klicken Sie auf der Seite mit den Anwendungsdetails auf Aktivieren, und bestätigen Sie, dass die neue Anwendung aktiviert werden soll.
2. OCI-IAM-GUID suchen und Secret-Token generieren

Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Okta-App verwenden können, die Sie später erstellen.

  1. Kehren Sie zum Identitätsdomainüberblick zurück, indem Sie im Navigationspfad auf den Identitätsdomainnamen klicken. Klicken Sie in den Domaininformationen neben der Domain-URL auf Kopieren, und speichern Sie die URL in einer App, in der Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

    Die OCI-IAM-GUID ist Teil der Domain-URL:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Beispiel: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Klicken Sie in der vertraulichen App in OCI IAM unter "Ressourcen" auf OAuth-Konfiguration.
  3. Scrollen Sie nach unten, und notieren Sie sich unter Allgemeine Informationen die Client-ID und das Client Secret.
  4. Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
  5. Kopieren und speichern Sie die Client-ID.
  6. Klicken Sie auf Secret anzeigen, und kopieren und speichern Sie das Secret.

    Client-ID und Client Secret

    Das Secret-Token ist die base64-Codierung von <clientID>:<clientsecret> oder
    base64(<clientID>:<clientsecret>)

    Diese Beispiele zeigen, wie das Secret-Token unter Windows und MacOS generiert wird.

    Öffnen Sie in einer Windows-Umgebung CMD, und generieren Sie mit diesem Powershell-Befehl die base64-Codierung [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Verwenden Sie unter MacOS
    echo -n <clientID>:<clientsecret> | base64
    Das Secret-Token wird zurückgegeben. Beispiel
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notieren Sie sich den Wert des Secret-Tokens.

3. App in Okta erstellen

Erstellen Sie eine Anwendung in Okta.

  1. Melden Sie sich im Browser über die folgende URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Klicken Sie im Menü auf der linken Seite auf Anwendungen.

    Wenn Sie bereits eine Anwendung haben, die Sie beim Durchlaufen von SSO mit OCI und Okta erstellt haben, können Sie sie verwenden. Klicken Sie auf diese Option, um sie zu öffnen und zu bearbeiten, und gehen Sie zu 5. Okta-Einstellungen ändern.

  3. Klicken Sie auf App-Katalog durchsuchen, und suchen Sie nach Oracle Cloud. Wählen Sie unter den verfügbaren Optionen die Option Oracle Cloud Infrastructure IAM aus.
  4. Klicken Sie auf Integration hinzufügen.
  5. Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B. OCI IAM, und klicken Sie auf Fertig.
5. Okta-Einstellungen ändern

Verbinden Sie die Okta-App mit der vertraulichen OCI IAM-App mit der Domain-URL und dem Secret-Token aus einem früheren Schritt.

  1. Klicken Sie auf der neu erstellten Anwendungsseite auf die Registerkarte "Anmelden".
  2. Klicken Sie in den Einstellungen auf Bearbeiten.
  3. Scrollen Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
  4. Geben Sie die Domain-URL in der Oracle Cloud Infrastructure IAM-GUID ein.
  5. Klicken Sie auf Speichern.
  6. Klicken Sie oben auf der Seite auf die Registerkarte {\b Provisioning}.
  7. Klicken Sie auf API-Integration konfigurieren.
  8. Wählen Sie API-Integration aktivieren aus.

    API-Integration aktivieren

  9. Geben Sie den zuvor in API-Token kopierten Secret-Tokenwert ein.

  10. Klicken Sie auf API-Zugangsdaten testen.

    Wenn eine Fehlermeldung angezeigt wird, prüfen Sie die eingegebenen Werte, und versuchen Sie es erneut.

    Wenn Sie die Nachricht Oracle Cloud Infrastructure IAM was verified successfully! erhalten, wurde Okta erfolgreich mit dem OCI-IAM-SCIM-Endpunkt verbunden.

  11. Klicken Sie auf Speichern.

Die Seite "Provisioning für App" wird geöffnet, auf der Sie Benutzer erstellen, Benutzerattribute aktualisieren und Attribute zwischen OCI IAM und Okta zuordnen können.

6. Benutzer- und Gruppen-Provisioning testen

So testen Sie das Benutzer- und Gruppen-Provisioning für Okta:

  1. Wählen Sie in der neu erstellten Anwendung die Registerkarte "Zuweisungen".
  2. Klicken Sie auf Zuweisen, und wählen Sie Zu Personen zuweisen aus.
  3. Suchen Sie nach dem Benutzer, der von Okta für OCI IAM bereitgestellt werden soll.

    Klicken Sie neben dem Benutzer auf Zuweisen.

  4. Klicken Sie auf Speichern, Zurück.
  5. Stellen Sie jetzt Okta-Gruppen in OCI IAM bereit. Klicken Sie auf der Registerkarte "Zuweisungen" auf Zuweisen, und wählen Sie Gruppen zuweisen aus.
  6. Suchen Sie nach den Gruppen, die für OCI IAM bereitgestellt werden sollen. Klicken Sie neben dem Gruppennamen auf Zuweisen.
  7. Klicken Sie auf Fertig.
  8. Melden Sie sich jetzt bei OCI an:

    1. Öffnen Sie einen unterstützten Browser, und geben Sie die OCI-Konsolen-URL ein:

      https://cloud.oracle.com.

    2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
    3. Wählen Sie die Identitätsdomain aus, in der Okta konfiguriert wurde.
  9. Klicken Sie auf Benutzer.
  10. Der Benutzer, der der OCI IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
  11. Klicken Sie auf Gruppen.
  12. Die Gruppe, die der OCI-IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
7. Zusätzliche Konfigurationen für föderierte Benutzer
  • Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
  • Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
a. Föderationsstatus von Benutzern festlegen

Föderierte Benutzer haben keine Zugangsdaten für die direkte Anmeldung bei OCI. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre Verbundaccounts bei OCI anmelden sollen, setzen Sie das Verbundattribut für diese Benutzer auf "true".

So legen Sie den föderierten Status des Benutzers fest:

  1. Melden Sie sich im Browser über die folgende URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Klicken Sie im Menü auf der linken Seite auf Anwendungen.
  3. Klicken Sie auf die zuvor erstellte Anwendung OCI IAM.
  4. Scrollen Sie nach unten zum Abschnitt "Attributzuordnungen".
  5. Klicken Sie auf Gehe zu Profile Editor.
  6. Klicken Sie unter "Attribute" auf Attribute hinzufügen.
  7. Gehen Sie auf der Seite "Attribut hinzufügen" wie folgt vor:
    • Wählen Sie unter Datentyp die Option Boolean aus.
    • Geben Sie unter Anzeigename isFederatedUser ein.
    • Geben Sie unter Variablenname isFederatedUser ein.
      Hinweis

      Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt.
    • Geben Sie unter Externer Namespace die Zeichenfolge urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User ein.
    • Prüfen Sie unter Geltungsbereich die Option User personal.

    Attribut hinzufügen (Seite)

  8. Navigieren Sie zurück zur Okta-Anwendungsseite, und wählen Sie die Anwendung OCI IAM.
  9. Klicken Sie auf Provisioning.
  10. Scrollen Sie nach unten zur Attributzuordnung, und klicken Sie auf Nicht zugeordnete Attribute anzeigen.
  11. Suchen Sie das Attribut isFederatedUser, und klicken Sie auf die Schaltfläche "Bearbeiten".
  12. Führen Sie auf der Attributseite Folgendes aus:
    • Wählen Sie unter Attributwert die Option Expression aus.
    • Geben Sie im Feld unten true ein.
    • Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.

    Attribut (Seite)

  13. Klicken Sie auf Speichern.

    Attributwerte mit Föderation

Wenn die Benutzer nun von Okta in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers in OCI angezeigt.

  • Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, klicken Sie auf Benutzer, und klicken Sie auf den Benutzer, um die Benutzerinformationen anzuzeigen.
  • Föderiert wird als Yes angezeigt.

    Benutzerinformationen, die zeigen, dass der Benutzer föderiert ist

b. Benachrichtigungen für Accounterstellung oder -aktualisierungen deaktivieren

Das Flag für die Umgehungsbenachrichtigung steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Kennzeichen "Benachrichtigung umgehen" auf "true".

So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:

  1. Melden Sie sich im Browser über die folgende URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Klicken Sie im Menü auf der linken Seite auf Anwendungen.
  3. Klicken Sie auf die zuvor erstellte Anwendung OCI IAM.
  4. Scrollen Sie nach unten zum Abschnitt "Attributzuordnungen".
  5. Klicken Sie unter "Attribute" auf Attribute hinzufügen.
  6. Gehen Sie auf der Seite "Attribut hinzufügen" wie folgt vor:
    • Wählen Sie unter Datentyp die Option Boolean aus.
    • Geben Sie unter Anzeigename bypassNotification ein.
    • Geben Sie unter Variablenname bypassNotification ein.
      Hinweis

      Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt.
    • Geben Sie unter Externer Namespace die Zeichenfolge urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User ein.
    • Prüfen Sie unter Geltungsbereich die Option User personal.

    Attribut hinzufügen (Seite)

  7. Navigieren Sie zurück zur Okta-Anwendungsseite, und wählen Sie die Anwendung OCI IAM.
  8. Klicken Sie auf Provisioning.
  9. Scrollen Sie nach unten zur Attributzuordnung, und klicken Sie auf Nicht zugeordnete Attribute anzeigen.
  10. Suchen Sie das Attribut bypassNotification, und klicken Sie auf die Schaltfläche "Bearbeiten".
  11. Führen Sie auf der Attributseite Folgendes aus:
    • Wählen Sie unter Attributwert die Option Expression aus.
    • Geben Sie im Feld unten true ein.
    • Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.

    Attribut (Seite)

  12. Klicken Sie auf Save.

    Attributwerte mit Umgehungsbenachrichtigung

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das Benutzerlebenszyklusmanagement zwischen Okta und OCI erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: