Documentación de Oracle Cloud Infrastructure

Aprovisionamiento JIT de Okta a OCI IAM

En este tutorial, configurará el aprovisionamiento justo a tiempo (JIT) entre la consola de OCI y Okta, utilizando Okta como proveedor de identidad (IdP).

Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino en el momento en que realizan una solicitud para acceder al sistema de destino. Esto puede ser más fácil de configurar que tener todos los usuarios creados por adelantado.

En este tutorial se tratan los siguientes pasos:

  1. Configure los atributos de SAML enviados por Okta.
  2. Configure los atributos de JIT en OCI IAM.
  3. Probar el aprovisionamiento de JIT entre OCI IAM y Okta.
Nota

Este tutorial es específico de IAM con dominios de identidades.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de pruebas de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.

  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una cuenta de Okta con uno de los siguientes roles de Okta:
    • Administración global
    • Administrador de aplicación en la nube
    • Administrador de aplicación

Además, debe haber completado el tutorial SSO con OCI y Okta y recopilado el ID de objeto de los grupos que va a utilizar para el aprovisionamiento de JIT.

1. Configuración de atributos de SAML enviados por Okta

En OCI IAM, actualice Okta IdP para JIT.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de Cloud, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Seleccione el dominio de identidad que se utilizará para configurar SSO.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y seleccione Identidad y seguridad.
  6. En Identidad, seleccione Dominios.
  7. Seleccione el dominio de identidad en el que ha configurado Okta como IdP.
  8. Seleccione Seguridad en el menú izquierdo y, a continuación, Proveedores de identidad.
  9. Seleccione Okta IdP.
  10. Seleccione Configure JIT.

    Página de configuración para el proveedor de identidad de Okta en IAM

  11. En la página Configurar aprovisionamiento Just-In-Time (JIT):
    • Seleccione Aprovisionamiento Just-In-Time (JIT).
    • Seleccione Create a new identity domain user.
    • Seleccione Actualizar Usuario de Dominio de Identidad Existente.

    activar aprovisionamiento justo a tiempo

  12. En Asignar atributos de usuarios:
    1. Deje la primera fila para NameID sin cambios.
    2. Para otros atributos, en IdP atributo de usuario, seleccione Attribute.
    3. Proporcione el nombre de atributo de usuario IdP de la siguiente forma
      • familyName: familyName
      • primaryEmailAddress: email
    4. Seleccione Agregar fila e introduzca: firstName.

      Para el atributo de usuario del dominio de identidad, seleccione First name.

      Nota

      Si ha configurado atributos de usuario adicionales para que se envíen como parte de la afirmación de usuario desde Okta, puede asignarlos a atributos de usuario de dominio de identidad agregando filas adicionales.
  13. Seleccione Asignar asignación de grupo.
  14. Introduzca el nombre de atributo de miembros del grupo. En este tutorial, utilice groups.
    Nota

    Anote el nombre del atributo de afiliación de grupo, ya que lo utilizará en la siguiente sección.
  15. Seleccione Definir asignaciones de miembros del grupo explícitas.
  16. En IdP, el nombre de grupo se asigna al nombre de grupo de dominio de identidad, haga lo siguiente:
    • En IdP Group name, proporcione el nombre del grupo en Okta.
    • En Nombre de grupo de dominios de identidad y seleccione el grupo en OCI IAM al que asignar el grupo de Okta.

      Asignar asignaciones de grupo

      Nota

      Se pueden asignar grupos adicionales seleccionando Agregar fila.

      En este diagrama se muestran los atributos configurados en Okta a la izquierda y los atributos asignados en OCI IAM a la derecha.

      Asignación de atributos de grupo entre Okta y OCI IAM

  17. En Reglas de asignación, seleccione lo siguiente:
    1. Al asignar afiliaciones a grupos: Fusionar con afiliaciones a grupos existentes
    2. Cuando no se encuentre un grupo: Ignore the missing group

    definición de reglas de asignación

    Nota

    Seleccione opciones según los requisitos de su organización.
  18. Seleccione Guardar cambios.
2. Configurar atributos de JIT para OCI IAM

En Okta, actualice la configuración de la aplicación OCI IAM para enviar atributos de usuario y el nombre de grupo en la afirmación de SAML.

  1. En Okta, en la aplicación empresarial que ha creado para OCI IAM, seleccione el separador Conexión.
  2. Seleccione Editar junto a Configuración.
  3. En Saml 2.0, seleccione > junto a Atributos (opcionales).
  4. Proporcione los siguientes valores:
    Nombre Formato del nombre Valor
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Puede agregar atributos adicionales que se ajusten a los requisitos de su negocio, pero solo los necesita para este tutorial.

    Atributos de Okta

  5. En Declaraciones de atributos de grupo, introduzca este valor.
    Nota

    Okta proporciona un mecanismo para filtrar grupos que se pueden enviar en la afirmación de SAML. El filtro tiene opciones que incluyen Starts with, Equals, Contains y Matches regex. En este tutorial, utilizamos el filtro Contains, lo que significa que Okta solo envía aquellos grupos que están asociados al usuario y que contienen la cadena especificada. En este ejemplo, hemos especificado Admin como cadena, por lo que todos los grupos que contienen la cadena Admin y están asociados al usuario se envían en la afirmación SAML.
    Nombre Formato del nombre Filtro Valor
    groups Unspecified Contains Admin

    Atributos de grupo de Okta

  6. Seleccione Guardar.
3. Prueba del aprovisionamiento de JIT entre Okta y OCI
En esta sección, puede probar que el aprovisionamiento de JIT funciona entre Okta y OCI IAM.
  1. En la consola de Okta, cree un nuevo usuario con un ID de correo electrónico que no esté presente en OCI IAM.
  2. Asigne el usuario a los grupos necesarios, por ejemplo, Administrators and Admins.
  3. Cierre la sesión de Okta.
  4. Asigne el usuario a la aplicación OCI IAM en Okta.

    Usuario en Okta

  5. En el explorador, abra la consola de OCI.
  6. Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
  7. En las opciones de conexión, seleccione Okta.
  8. En la página de conexión de Okta, proporcione el ID de usuario recién creado.
  9. En la autenticación correcta desde Okta:
    • La cuenta de usuario se crea en OCI IAM.
    • El usuario está conectado a la consola de OCI.

    Mi perfil en OCI IAM para el usuario

  10. En el menú de navegación , seleccione el menú Perfil Icono de menú de perfil y, a continuación, seleccione Configuración de usuario. Compruebe las propiedades del usuario, como el ID de correo electrónico, el nombre, los apellidos y los grupos asociados.

    Comprobación de las propiedades de usuario en OCI IAM

Siguiente paso

¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre Okta e IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: