Oracle Cloud Infrastructure - Dokumentation

Identitätslebenszyklusmanagement zwischen OCI und Okta

In diesem Tutorial konfigurieren Sie die Verwaltung des Benutzerlebenszyklus zwischen Okta und OCI IAM, wobei Okta als autoritativer Identitätsspeicher fungiert.

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie Benutzer und Gruppen von Okta zu OCI IAM bereitstellen.

  1. Eine vertrauliche Anwendung in OCI IAM erstellen.
  2. Rufen Sie die Identitätsdomain-URL ab, und generieren Sie ein Secret-Token.
  3. Erstellen Sie eine App in Okta.
  4. Okta-Einstellungen aktualisieren.
  5. Testen Sie, ob das Provisioning zwischen OCI IAM und Okta funktioniert.
  6. Darüber hinaus Anweisungen, wie
    • Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
    • Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um diese Gruppe von Tutorials auszuführen, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Okta-Account mit Administratorberechtigungen zur Konfiguration der Bereitstellung.

Sie sammeln die zusätzlichen Informationen, die Sie in den Schritten des Tutorials benötigen:

  • Die OCI-IAM-Domain-URL.
  • Die OCI-IAM-Client-ID und das Client Secret.
1. Vertrauliche Anwendung in OCI erstellen

Erstellen Sie eine vertrauliche Anwendung in OCI IAM, und aktivieren Sie sie.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL an:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
  3. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  4. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter "Identität" Domains aus.
  5. Wählen Sie die Identitätsdomain aus, in der Sie das Okta-Provisioning konfigurieren möchten, und Anwendungen.
  6. Wählen Sie Anwendung hinzufügen, Vertrauliche Anwendung aus, und wählen Sie Workflow starten aus.

    Vertrauliche Anwendung

  7. Geben Sie einen Namen für die vertrauliche Anwendung ein, beispielsweise OktaClient. Wählen Sie Weiter.
  8. Wählen Sie unter "Clientkonfiguration" Diese Anwendung jetzt als Client konfigurieren aus.
  9. Wählen Sie unter Autorisierung die Option Clientzugangsdaten aus.

    Anwendung als Client konfigurieren

  10. Scrollen Sie nach unten, und wählen Sie Anwendungsrollen hinzufügen aus.
  11. Wählen Sie unter "Anwendungsrollen" die Option Rollen hinzufügen aus, und wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator und dann Hinzufügen aus.

    Anwendungsrollen hinzufügen

  12. Wählen Sie Weiter, Fertigstellen aus.
  13. Wählen Sie auf der Seite mit den Anwendungsdetails die Option Aktivieren aus, und bestätigen Sie, dass Sie die neue Anwendung aktivieren möchten.
2. OCI-IAM-GUID suchen und Secret-Token generieren

Sie benötigen zwei Informationen, die als Teil der Verbindungseinstellungen für die später erstellte Okta-App verwendet werden können.

  1. Kehren sie zum Identitätsdomainüberblick Zurück, indem sie den Identitätsdomainnamen in den Navigationspfaden auswählen. Wählen Sie in den Domaininformationen neben der Domain-URL die Option Kopieren aus, und speichern sie in einer App, in welcher Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

    Die OCI-IAM-GUID ist Teil der Domain-URL:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Beispiel: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Wählen Sie in der vertraulichen App in OCI IAM unter "Ressourcen" die Option OAuth-Konfiguration aus.
  3. Scrollen Sie nach unten, und notieren Sie sich unter "Allgemeine Informationen" die Client-ID und das Client Secret.
  4. Führen Sie einen Bildlauf nach unten durch, und suchen Sie unter "Allgemeine Informationen" die Client-ID und Client Secret.
  5. Kopieren und speichern Sie die Client-ID.
  6. Wählen Sie Secret anzeigen aus, kopieren Sie das Secret, und speichern Sie es.

    Client-ID und Client Secret

    Das Secret-Token ist die base64-Codierung von <clientID>:<clientsecret> oder
    base64(<clientID>:<clientsecret>)

    Diese Beispiele zeigen, wie das Secret-Token unter Windows und MacOS generiert wird.

    Öffnen Sie CMD in einer Windows-Umgebung und verwenden Sie diesen Powershell-Befehl, um die base64-Codierung [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))" zu generieren

    Verwenden Sie unter MacOS
    echo -n <clientID>:<clientsecret> | base64
    Das Secret-Token wird zurückgegeben. Beispiel
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notieren Sie sich den Wert des Secret-Tokens.

3. App in Okta erstellen

Erstellen einer Anwendung in Okta.

  1. Melden Sie sich im Browser mit der folgenden URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Wählen Sie im Menü auf der linken Seite Anwendungen.

    Wenn Sie bereits eine Anwendung haben, die Sie erstellt haben, als Sie SSO With OCI and Okta durchlaufen haben, können Sie sie verwenden. Wählen Sie diese Option aus, um sie zu öffnen und zu bearbeiten, und gehen Sie zu 5. Okta-Einstellungen ändern.

  3. Wählen Sie App-Katalog durchsuchen aus, und suchen Sie nach Oracle Cloud. Wählen Sie unter den verfügbaren Optionen Oracle Cloud Infrastructure IAM aus.
  4. Wählen Sie Integration hinzufügen aus.
  5. Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B. OCI IAM, und wählen Sie Fertig.
5. Okta-Einstellungen ändern

Verbinden Sie die Okta-App mit der vertraulichen OCI IAM-App. Verwenden Sie dazu die Domain-URL und das Secret-Token aus einem früheren Schritt.

  1. Wählen Sie auf der neu erstellten Anwendungsseite die Registerkarte "Anmelden".
  2. Wählen Sie unter "Einstellungen" die Option Bearbeiten aus.
  3. Blättern Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
  4. Geben Sie die Domain-URL in Oracle Cloud Infrastructure-IAM-GUID ein.
  5. Wählen Sie Speichern aus.
  6. Klicken Sie oben auf der Seite auf die Registerkarte {\b Provisioning}.
  7. Wählen Sie API-Integration konfigurieren aus.
  8. Wählen Sie API-Integration aktivieren aus.

    API-Integration aktivieren

  9. Geben Sie den Secret-Tokenwert ein, den Sie zuvor in API-Token kopiert haben.

  10. Wählen Sie API-Zugangsdaten testen aus.

    Wenn Sie eine Fehlermeldung erhalten, prüfen Sie die eingegebenen Werte, und versuchen Sie es erneut.

    Wenn Sie die Nachricht Oracle Cloud Infrastructure IAM was verified successfully! erhalten, hat Okta erfolgreich eine Verbindung zum OCI IAM-SCIM-Endpunkt hergestellt.

  11. Wählen Sie Speichern aus.

Die Seite "Provisioning für Anwendung" wird geöffnet, auf der Sie Benutzer erstellen, Benutzerattribute aktualisieren und Attribute zwischen OCI IAM und Okta zuordnen können.

6. Benutzer- und Gruppen-Provisioning testen

So testen Sie Benutzer- und Gruppen-Provisioning für Okta:

  1. Wählen Sie in der neu erstellten Anwendung die Registerkarte "Zuweisungen".
  2. Wählen Sie Zuweisen aus, und wählen Sie Zu Personen zuweisen aus.
  3. Suchen Sie nach dem Benutzer, der von Okta für OCI IAM bereitgestellt werden soll.

    Wählen Sie Zuweisen neben dem Benutzer aus.

  4. Wählen Sie Speichern, Zurück aus.
  5. Stellen Sie jetzt Okta-Gruppen in OCI IAM bereit. Wählen Sie auf der Registerkarte "Zuweisungen" die Option Zuweisen, und wählen Sie Zu Gruppen zuweisen.
  6. Suchen Sie nach den Gruppen, die für OCI IAM bereitgestellt werden sollen. Wählen Sie neben dem Gruppennamen Zuweisen aus.
  7. Wählen Sie Fertig.
  8. Melden Sie sich jetzt bei OCI an:

    1. Öffnen Sie einen unterstützten Browser, und geben Sie die OCI-Konsolen-URL an:

      https://cloud.oracle.com .

    2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
    3. Wählen Sie die Identitätsdomain aus, in der Okta konfiguriert wurde.
  9. Wählen Sie Benutzer aus.
  10. Der Benutzer, der der OCI-IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
  11. Wählen Sie Gruppen aus.
  12. Die Gruppe, die der OCI-IAM-Anwendung in Okta zugewiesen wurde, ist jetzt in OCI IAM vorhanden.
7. Zusätzliche Konfigurationen für föderierte Benutzer
  • Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
  • Sie können das Senden von Benachrichtigungs-E-Mails an den Benutzer deaktivieren, wenn sein Account erstellt oder aktualisiert wird.
a. Föderierten Status von Benutzern festlegen

Föderierte Benutzer haben keine Zugangsdaten, um sich direkt bei OCI anzumelden. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre föderierten Accounts zur Anmeldung bei OCI verwenden sollen, setzen Sie das föderierte Attribut für diese Benutzer auf TRUE.

So legen Sie den föderierten Status des Benutzers fest:

  1. Melden Sie sich im Browser mit der folgenden URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Wählen Sie im Menü auf der linken Seite Anwendungen.
  3. Wählen Sie die zuvor erstellte Anwendung OCI IAM aus.
  4. Blättern Sie nach unten zum Abschnitt "Attributzuordnungen".
  5. Wählen Sie Gehe zu Profile Editor.
  6. Wählen Sie unter "Attribute" die Option Attribute hinzufügen.
  7. Gehen Sie auf der Seite "Attribut hinzufügen" folgendermaßen vor:
    • Wählen Sie unter Datentyp die Option Boolean aus.
    • Geben Sie unter Anzeigename isFederatedUser ein.
    • Geben Sie unter Variablenname isFederatedUser ein.
      Hinweis

      Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt.
    • Geben Sie unter Externer Namespace urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User ein.
    • Aktivieren Sie unter Geltungsbereich die Option User personal.

    Seite "Attribute hinzufügen"

  8. Navigieren Sie zurück zur Anwendungsseite von Okta, und wählen Sie die Anwendung OCI IAM aus.
  9. Wählen Sie Provisioning wird ausgeführt.
  10. Blättern Sie nach unten zu "Attributzuordnung", und wählen Sie Nicht zugeordnete Attribute anzeigen aus.
  11. Suchen Sie das Attribut isFederatedUser, und wählen Sie die Schaltfläche "Edit" neben dem Attribut aus.
  12. Auf der Attributseite:
    • Wählen Sie unter Attributwert Expression aus.
    • Geben Sie im Feld unten true ein.
    • Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.

    Attribut (Seite)

  13. Wählen Sie Speichern aus.

    Attributwerte mit Föderation

Wenn die Benutzer jetzt von Okta zu OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers in OCI angezeigt.

  • Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, wählen Sie Benutzer aus, und wählen Sie den Benutzer aus, der die Benutzerinformationen anzeigen soll.
  • Föderiert wird als Yes angezeigt.

    Benutzerinformationen, die zeigen, dass der Benutzer föderiert ist

b. Benachrichtigungen für Kontoerstellung oder -aktualisierungen deaktivieren

Das Kennzeichen "Umgehungsbenachrichtigung" steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzer in OCI erstellt oder aktualisiert wurde Wenn Benutzer nicht benachrichtigt werden sollen, dass der Account für sie erstellt wurde, setzen Sie das Kennzeichen für die Umgehungsbenachrichtigung auf "true".

So legen Sie das Kennzeichen für die Umgehungsbenachrichtigung fest:

  1. Melden Sie sich im Browser mit der folgenden URL bei Okta an:

    https://<Okta-org>-admin.okta.com

    Dabei ist <okta-org> das Präfix für Ihre Organisation mit Okta.

  2. Wählen Sie im Menü auf der linken Seite Anwendungen.
  3. Wählen Sie die zuvor erstellte Anwendung OCI IAM aus.
  4. Blättern Sie nach unten zum Abschnitt "Attributzuordnungen".
  5. Wählen Sie unter "Attribute" die Option Attribute hinzufügen.
  6. Gehen Sie auf der Seite "Attribut hinzufügen" folgendermaßen vor:
    • Wählen Sie unter Datentyp die Option Boolean aus.
    • Geben Sie unter Anzeigename bypassNotification ein.
    • Geben Sie unter Variablenname bypassNotification ein.
      Hinweis

      Der externe Name wird automatisch mit dem Wert des Variablennamens aufgefüllt.
    • Geben Sie unter Externer Namespace urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User ein.
    • Aktivieren Sie unter Geltungsbereich die Option User personal.

    Attribut hinzufügen (Seite)

  7. Navigieren Sie zurück zur Anwendungsseite von Okta, und wählen Sie die Anwendung OCI IAM aus.
  8. Wählen Sie Provisioning wird ausgeführt.
  9. Blättern Sie nach unten zu "Attributzuordnung", und wählen Sie Nicht zugeordnete Attribute anzeigen aus.
  10. Suchen Sie das Attribut bypassNotification, und wählen Sie die Schaltfläche "Edit" neben dem Attribut aus.
  11. Auf der Attributseite:
    • Wählen Sie unter Attributwert Expression aus.
    • Geben Sie im Feld unten true ein.
    • Wählen Sie unter Anwenden auf die Option Erstellen und aktualisieren aus.

    Attribut (Seite)

  12. Wählen Sie Speichern aus.

    Attributwerte mit Umgehungsbenachrichtigung

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das Benutzerlebenszyklusmanagement zwischen Okta und OCI erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: