Aprovisionamiento JIT de Okta a OCI IAM
En este tutorial, configurará el aprovisionamiento justo a tiempo (JIT) entre la consola de OCI y Okta, utilizando Okta como proveedor de identidad (IdP).
Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino en el momento en que realizan una solicitud para acceder al sistema de destino. Esto puede ser más fácil de configurar que tener todos los usuarios creados por adelantado.
En este tutorial se tratan los siguientes pasos:
- Configure los atributos de SAML enviados por Okta.
- Configure los atributos de JIT en OCI IAM.
- Pruebe el aprovisionamiento JIT entre OCI IAM y Okta.
Este tutorial es específico de IAM con dominios de identidad.
Para realizar este tutorial, debe tener lo siguiente:
-
Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
- Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
- Una cuenta de Okta con uno de los siguientes roles de Okta:
- Administración global
- Administrador de aplicación en la nube
- Administrador de aplicación
Además, debe haber completado el tutorial SSO con OCI y Okta y haber recopilado el ID de objeto de los grupos que va a utilizar para el aprovisionamiento de JIT.
En OCI IAM, actualice Okta IdP para JIT.
-
Abra un explorador soportado e introduzca la URL de la consola:
- Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
- Seleccione el dominio de identidad que se utilizará para configurar SSO.
- Inicie sesión con su nombre de usuario y contraseña.
- Abra el menú de navegación y haga clic en Identidad y seguridad.
- En Identidad, haga clic en Dominios.
- Seleccione el dominio de identidad en el que ha configurado Okta como IdP.
- Haga clic en Seguridad en el menú de la izquierda y, a continuación, en Proveedores de identidad.
- Haga clic en Okta IdP.
- Haga clic en Configure JIT.
- En la página de aprovisionamiento de configuración a tiempo (JIT):
- Seleccione Aprovisionamiento de Justo a Tiempo (JIT).
- Seleccione Crear un nuevo usuario de dominio de identidad.
- Seleccione Actualizar usuario de dominio de identidad existente.
- En Asignar atributos de usuario:
- Deje la primera fila de
NameID
sin cambios. - Para otros atributos, en atributo de usuario IdP, seleccione
Attribute
. - Proporcione el nombre de atributo de usuario IdP de la siguiente forma
- familyName:
familyName
- primaryEmailAddress:
email
- familyName:
- Haga clic en Agregar fila e introduzca:
firstName
.Para el atributo de usuario del dominio de identidad, seleccione
First name
.Nota
Si ha configurado atributos de usuario adicionales para que se envíen como parte de la afirmación de usuario desde Okta, puede asignarlos a atributos de usuario de dominio de identidad agregando filas adicionales.
- Deje la primera fila de
- Seleccione Asignar asignación de grupo.
- Introduzca el nombre de atributo de miembros del grupo. En este tutorial, utilice
groups
.Nota
Anote el nombre del atributo de miembro de grupo, ya que lo utilizará en la siguiente sección. - Seleccione Definir asignaciones de miembros de grupo explícitas.
- En IdP, el nombre de grupo se asigna al nombre de grupo de dominios de identidad, realice lo siguiente:
- En IdP Nombre de grupo, proporcione el nombre del grupo en Okta.
- En Nombre de grupo de dominios de identidad y seleccione el grupo en OCI IAM al que asignar el grupo de Okta.Nota
Se pueden asignar grupos adicionales haciendo clic en Agregar fila.En este diagrama se muestran los atributos configurados en Okta a la izquierda y los atributos asignados en OCI IAM a la derecha.
- En Reglas de asignación, seleccione lo siguiente:
- Al asignar miembros de grupo: Fusionar con miembros de grupo existentes
- Cuando no se encuentra un grupo: Ignore the missing group
Nota
Seleccione opciones según los requisitos de su organización. - Haga clic en Guardar cambios.
En Okta, actualice la configuración de la aplicación de OCI IAM para enviar atributos de usuario y el nombre de grupo en la afirmación de SAML.
- En Okta, en la aplicación empresarial que ha creado para OCI IAM, seleccione el separador Conexión.
- Haga clic en Editar junto a Configuración.
- En Saml 2.0, haga clic en > junto a Atributos (opcional).
- Proporcione los siguientes valores:
Nombre Formato de Nombre Valor firstName
Unspecified
user.firstName
familyName
Unspecified
user.lastName
email
Unspecified
user.email
Puede agregar atributos adicionales que se adapten a los requisitos de su negocio, pero solo los necesita para este tutorial.
- En Sentencias de atributos de grupo, introduzca este valor.Nota
Okta proporciona un mecanismo para filtrar grupos que se pueden enviar en la afirmación SAML. El filtro tiene opciones que incluyenStarts with
,Equals
,Contains
yMatches regex
. En este tutorial, utilizamos el filtroContains
, lo que significa que Okta solo envía los grupos que están asociados al usuario y que contienen la cadena especificada. En este ejemplo, hemos especificadoAdmin
como cadena, por lo que todos los grupos que contienen la cadenaAdmin
y están asociados al usuario se envían en la afirmación SAML.Nombre Formato de Nombre Filtro Valor groups
Unspecified
Contains
Admin
- Haga clic en Guardar.
- En la consola de Okta, cree un nuevo usuario con un ID de correo electrónico que no esté presente en OCI IAM.
- Asigne el usuario a los grupos necesarios, por ejemplo,
Administrators and Admins
. - Desconéctese de Okta.
- Asigne el usuario a la aplicación de OCI IAM en Okta.
- En el explorador, abra la consola de OCI.
- Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
- En las opciones de conexión, haga clic en Okta.
- En la página de inicio de sesión de Okta, proporcione el ID de usuario recién creado.
- Al realizar la autenticación correcta desde Okta:
- La cuenta de usuario se crea en OCI IAM.
- El usuario está conectado a la consola de OCI.
- Seleccione el menú Perfil (), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Mi perfil. Compruebe las propiedades de usuario, como el ID de correo electrónico, el nombre, los apellidos y los grupos asociados.
¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre Okta e IAM.
Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: