Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Oracle Cloud Infrastructure Identity and Access Management-Domaingruppenmitgliedschaft mit Okta-Pushgruppen automatisieren

Einführung

In der realen Welt gibt es Szenarien, in denen Kunden Okta als Corporate Identity Provider (IdP) verwenden können, die Benutzer jedoch auch Zugriff auf Services benötigen, die von Oracle Cloud Infrastructure (OCI) gehostet werden. In solchen Szenarios wird empfohlen, eine Föderation einzurichten, um die Benutzer zu automatisieren und das automatische Provisioning von Okta zu Identitätsdomains zu gruppieren, um das Lebenszyklusmanagement von Benutzern zu verbessern.

Weitere Informationen zum Einrichten von Föderation und Provisioning finden Sie unter SSO mit OCI und Okta und Identity Lifecycle Management zwischen OCI und Okta.

Für die Verwaltung von Gruppenmitgliedschaften in Okta und Oracle Cloud Infrastructure (OCI) spielt die Push Group eine entscheidende Rolle. Betrachten wir verschiedene Szenarien, die das Provisioning und Management von Gruppenmitgliedschaften mit der Okta Push Group beinhalten.

Wichtige Vorteile

• Sie können die Gruppen in Okta IdP nutzen und in die Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Domain übertragen.
• Sie können auch mehrere Gruppen pushen, indem Sie die Regeln erstellen und mit der OCI-IAM-Domain synchronisieren.

Ziele

• Automatisieren Sie die Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Domaingruppenmitgliedschaft mit der Okta-Pushgruppe.

Voraussetzungen

• Oracle Apps Premium-SKU für OCI IAM-Domains.
• Admin-Account für OCI IAM-Domain.
• Okta als IdP zur OCI-IAM-Domain hinzugefügt.
• Admin-Konto für Okta.

Aufgabe 1: Gruppenmitgliedschaft mit OCI IAM-Domains synchronisieren

Wenn keine Gruppe in den OCI-IAM-Domains vorhanden ist, können Sie Pushgruppen nach Name erstellen.

1. Wählen Sie die Okta-Gruppe mit darin enthaltenen Mitgliedern aus.

2. Wählen Sie Gruppe erstellen für OCI aus.

Dieser Prozess stellt sicher, dass die Gruppe in der OCI-IAM-Domain angezeigt wird, aber keine Mitglieder enthält.

Als Nächstes können Sie der Anwendung unter Zuweisungen Benutzer aus der Okta-Gruppe zuweisen.

Sie werden feststellen, dass die Benutzer, die Sie in Okta zugewiesen haben, in der OCI-IAM-Domain bereitgestellt werden und die Mitgliedschaft in der Gruppe aktualisiert wird.

Hinweis: Unabhängig von der Anzahl der Benutzer in der Okta-Gruppe auf der Okta-Seite werden die der App zugewiesenen Benutzer unter der Mitgliedschaft der übertragenen Gruppe in der OCI-IAM-Domain angezeigt. Außerdem empfiehlt Okta, dass Sie die Gruppe der Anwendung zuweisen, wenn Sie sie durch Push-Gruppen übertragen.

Oder

In dem Szenario, in dem bereits eine Gruppe in der OCI-IAM-Domain vorhanden ist, umfasst der Prozess zur Gewährleistung einer effizienten Gruppensynchronisierung die folgenden Schritte.

1. Identifizieren Sie die Okta-Gruppe mit den erforderlichen Mitgliedern.

2. Verknüpfen Sie die Gruppe, und wählen Sie die bereits vorhandene Gruppe in den OCI-IAM-Domains aus.

Hinweis: Wenn eine Gruppe mit demselben Namen in den OCI-IAM-Domains gefunden wird, verschiebt das System die Mitglieder nahtlos in diese vorhandene Gruppe. Wenn die Gruppennamen hingegen nicht übereinstimmen, wird die ausgewählte Gruppe automatisch umbenannt, damit sie dem Okta-Gruppennamen entspricht, wodurch die Konsistenz zwischen den beiden Plattformen erhalten bleibt.

Durch Befolgen dieser Richtlinien können Unternehmen die Verwaltung von Gruppenmitgliedschaften optimieren und sicherstellen, dass Mitglieder korrekt zugewiesen werden, während die Benennungskonventionen in der OCI-IAM-Domain und der Okta-Plattform eingehalten werden.

Aufgabe 2: Zuordnung von Gruppen zu Push-Provisioning aufheben

Wenn die Verknüpfung einer Gruppe mit dem Push auf dem Okta-Ende aufgehoben wird, haben Sie zwei Möglichkeiten, die Verknüpfung der Gruppe effektiv aufzuheben.

1. Gruppe in der Ziel-App löschen (empfohlen): Wenn Sie die Gruppe in der Ziel-App löschen, heben Sie die Verknüpfung effektiv auf. Mit dieser Aktion wird die Gruppe in der OCI-IAM-Domain gelöscht, während sichergestellt wird, dass Benutzer in der OCI-IAM-Domain bleiben und sich in einem aktiven Status befinden. Wenn der Pushgruppenlink erneut für dieselbe Gruppe erstellt wird, wird die Gruppe zusammen mit ihrer Mitgliedschaft in der OCI-IAM-Domain neu erstellt.

2. Gruppe in der Zielanwendung belassen: Wenn Sie die Gruppe in der Zielanwendung belassen möchten, wird auch die Verknüpfung der Gruppe aufgehoben. Die Gruppe bleibt jedoch zusammen mit ihrer Mitgliedschaft in der OCI-IAM-Domain bestehen.

   

Wenn Sie den Gruppenlink erneut erstellen, wird eine Übereinstimmung mit der Gruppe in der OCI-IAM-Domain angezeigt. Dieser Prozess stellt die Verbindung zwischen den Gruppen wieder her.

Wichtige Hinweise

Wenn eine verknüpfte Gruppe explizit aus den OCI-IAM-Domains gelöscht wird, müssen bestimmte Schritte ausgeführt werden.

1. Auch nach dem Löschen wird der Link möglicherweise weiterhin in Okta angezeigt. Beim Pushprozess tritt jedoch ein Fehler auf, der angibt, dass die verknüpfte Gruppe in OCI IAM fehlt. Ändern Sie die verknüpfte Gruppe, um die Push-Gruppenmitgliedschaften wieder aufzunehmen.

2. Wenn Sie die Gruppe mit demselben Namen in der OCI-IAM-Domain neu erstellen, wird die Okta-Gruppe nicht automatisch neu verknüpft. Die empfohlene Lösung besteht darin, den Link in Okta zu löschen und dann den Link neu zu erstellen.

Darüber hinaus gibt es eine nützliche Funktion für Pushgruppen, die als Pushgruppen nach Regel bezeichnet werden. So funktioniert es.

1. Sie können eine Regel mit Bedingungen erstellen, wann Gruppen von Okta in die OCI-IAM-Domain übertragen werden sollen.

2. Die Bedingungen können auf dem Gruppennamen oder der Gruppenbeschreibung basieren, wobei für beide Felder verschiedene Operatoren verfügbar sind, wie "beginnt mit", "endet mit" und "enthält".

   

Nächste Schritte

Wenn Sie die Gruppen mit ihrer Mitgliedschaft von der Okta in die OCI-IAM-Domain übertragen, können Sie den Zugriff auf Ihre Endanwendungen einfach aufrechterhalten, indem Sie diese Gruppen den Anwendungen zuweisen. Darüber hinaus können Sie die Mitgliedschaft aktualisieren, um den Zugriff auf Endanwendungen zuzulassen oder zu verweigern, indem Sie einfach die Mitgliedschaft auf Okta aktualisieren.

Danksagungen

• Autor - Sagar Takkar

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Automate OCI IAM Domain Group Membership with Okta Push Groups

G13461-01

August 2024

Copyright ©2024,

Oracle und/oder verbundene Unternehmen.