Documentación de Oracle Cloud Infrastructure

Aprovisionamiento JIT de Okta a OCI IAM

En este tutorial, configurará el aprovisionamiento justo a tiempo (JIT) entre la consola de OCI y Okta, utilizando Okta como proveedor de identidad (IdP).

Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino en el momento en que realizan una solicitud para acceder al sistema de destino. Esto puede ser más fácil de configurar que tener todos los usuarios creados por adelantado.

En este tutorial se tratan los siguientes pasos:

  1. Configure los atributos de SAML enviados por Okta.
  2. Configure los atributos de JIT en OCI IAM.
  3. Pruebe el aprovisionamiento JIT entre OCI IAM y Okta.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.

  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una cuenta de Okta con uno de los siguientes roles de Okta:
    • Administración global
    • Administrador de aplicación en la nube
    • Administrador de aplicación

Además, debe haber completado el tutorial SSO con OCI y Okta y haber recopilado el ID de objeto de los grupos que va a utilizar para el aprovisionamiento de JIT.

1. Configurar atributos de SAML enviados por Okta

En OCI IAM, actualice Okta IdP para JIT.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad que se utilizará para configurar SSO.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad.
  6. En Identidad, haga clic en Dominios.
  7. Seleccione el dominio de identidad en el que ha configurado Okta como IdP.
  8. Haga clic en Seguridad en el menú de la izquierda y, a continuación, en Proveedores de identidad.
  9. Haga clic en Okta IdP.
  10. Haga clic en Configure JIT.

    Página de configuración para el proveedor de identidad de Okta en IAM

  11. En la página de aprovisionamiento de configuración a tiempo (JIT):
    • Seleccione Aprovisionamiento de Justo a Tiempo (JIT).
    • Seleccione Crear un nuevo usuario de dominio de identidad.
    • Seleccione Actualizar usuario de dominio de identidad existente.

    Activar aprovisionamiento a tiempo

  12. En Asignar atributos de usuario:
    1. Deje la primera fila de NameID sin cambios.
    2. Para otros atributos, en atributo de usuario IdP, seleccione Attribute.
    3. Proporcione el nombre de atributo de usuario IdP de la siguiente forma
      • familyName: familyName
      • primaryEmailAddress: email
    4. Haga clic en Agregar fila e introduzca: firstName.

      Para el atributo de usuario del dominio de identidad, seleccione First name.

      Nota

      Si ha configurado atributos de usuario adicionales para que se envíen como parte de la afirmación de usuario desde Okta, puede asignarlos a atributos de usuario de dominio de identidad agregando filas adicionales.
  13. Seleccione Asignar asignación de grupo.
  14. Introduzca el nombre de atributo de miembros del grupo. En este tutorial, utilice groups.
    Nota

    Anote el nombre del atributo de miembro de grupo, ya que lo utilizará en la siguiente sección.
  15. Seleccione Definir asignaciones de miembros de grupo explícitas.
  16. En IdP, el nombre de grupo se asigna al nombre de grupo de dominios de identidad, realice lo siguiente:
    • En IdP Nombre de grupo, proporcione el nombre del grupo en Okta.
    • En Nombre de grupo de dominios de identidad y seleccione el grupo en OCI IAM al que asignar el grupo de Okta.

      Asignar asignaciones de grupos

      Nota

      Se pueden asignar grupos adicionales haciendo clic en Agregar fila.

      En este diagrama se muestran los atributos configurados en Okta a la izquierda y los atributos asignados en OCI IAM a la derecha.

      Asignación de atributos de grupo entre Okta y OCI IAM

  17. En Reglas de asignación, seleccione lo siguiente:
    1. Al asignar miembros de grupo: Fusionar con miembros de grupo existentes
    2. Cuando no se encuentra un grupo: Ignore the missing group

    definición de reglas de asignación

    Nota

    Seleccione opciones según los requisitos de su organización.
  18. Haga clic en Guardar cambios.
2. Configurar atributos de JIT para OCI IAM

En Okta, actualice la configuración de la aplicación de OCI IAM para enviar atributos de usuario y el nombre de grupo en la afirmación de SAML.

  1. En Okta, en la aplicación empresarial que ha creado para OCI IAM, seleccione el separador Conexión.
  2. Haga clic en Editar junto a Configuración.
  3. En Saml 2.0, haga clic en > junto a Atributos (opcional).
  4. Proporcione los siguientes valores:
    Nombre Formato de Nombre Valor
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Puede agregar atributos adicionales que se adapten a los requisitos de su negocio, pero solo los necesita para este tutorial.

    Atributos de Okta

  5. En Sentencias de atributos de grupo, introduzca este valor.
    Nota

    Okta proporciona un mecanismo para filtrar grupos que se pueden enviar en la afirmación SAML. El filtro tiene opciones que incluyen Starts with, Equals, Contains y Matches regex. En este tutorial, utilizamos el filtro Contains, lo que significa que Okta solo envía los grupos que están asociados al usuario y que contienen la cadena especificada. En este ejemplo, hemos especificado Admin como cadena, por lo que todos los grupos que contienen la cadena Admin y están asociados al usuario se envían en la afirmación SAML.
    Nombre Formato de Nombre Filtro Valor
    groups Unspecified Contains Admin

    Atributos de grupo de Okta

  6. Haga clic en Guardar.
3. Probar aprovisionamiento de JIT entre Okta y OCI
En esta sección, puede probar que el aprovisionamiento de JIT funciona entre Okta y OCI IAM.
  1. En la consola de Okta, cree un nuevo usuario con un ID de correo electrónico que no esté presente en OCI IAM.
  2. Asigne el usuario a los grupos necesarios, por ejemplo, Administrators and Admins.
  3. Desconéctese de Okta.
  4. Asigne el usuario a la aplicación de OCI IAM en Okta.

    Usuario en Okta

  5. En el explorador, abra la consola de OCI.
  6. Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
  7. En las opciones de conexión, haga clic en Okta.
  8. En la página de inicio de sesión de Okta, proporcione el ID de usuario recién creado.
  9. Al realizar la autenticación correcta desde Okta:
    • La cuenta de usuario se crea en OCI IAM.
    • El usuario está conectado a la consola de OCI.

    Mi perfil en OCI IAM para el usuario

  10. Seleccione el menú Perfil (Icono de menú de perfil), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Mi perfil. Compruebe las propiedades de usuario, como el ID de correo electrónico, el nombre, los apellidos y los grupos asociados.

    Comprobar propiedades de usuario en OCI IAM

Siguiente paso

¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre Okta e IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: