Documentación de Oracle Cloud Infrastructure

Gestión del ciclo de vida de identidades entre OCI y Okta

En este tutorial, configurará la gestión del ciclo de vida del usuario entre Okta y OCI IAM, donde Okta actúa como almacén de identidades autorizado.

En este tutorial de 30 minutos se muestra cómo aprovisionar usuarios y grupos de Okta a OCI IAM.

  1. Cree una aplicación confidencial en OCI IAM.
  2. Obtenga la URL del dominio de identidad y genere un token secreto.
  3. Crea una aplicación en Okta.
  4. Actualizar la configuración de Okta.
  5. Pruebe que el aprovisionamiento funciona entre OCI IAM y Okta.
  6. Además, instrucciones sobre cómo
    • Defina el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
    • Detenga a los usuarios que reciban notificaciones por correo electrónico cuando se cree o actualice su cuenta.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este juego de tutoriales, debe tener lo siguiente:

Puede recopilar la información adicional que necesita de los pasos del tutorial:

  • URL del dominio de OCI IAM.
  • ID de cliente y secreto de cliente de OCI IAM.
1. Creación de una aplicación confidencial en OCI

Cree una aplicación confidencial en OCI IAM y actívela.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta en la nube, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  5. Seleccione el dominio de identidad en el que desea configurar el aprovisionamiento de Okta y seleccione Aplicaciones.
  6. Seleccione Agregar aplicación, Aplicación confidencial y Iniciar flujo de trabajo.

    Aplicación confidencial

  7. Introduzca un nombre para la aplicación confidencial, por ejemplo OktaClient. Seleccione Siguiente.
  8. En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
  9. En Autorización, seleccione Credenciales de cliente.

    Configurar la aplicación como un cliente

  10. Desplácese hasta la parte inferior y seleccione Agregar roles de aplicación.
  11. En Roles de aplicación, seleccione Agregar roles y, en la página Agregar roles de aplicación, seleccione Administrador de usuarios y seleccione Agregar.

    Agregar roles de aplicación

  12. Seleccione Siguiente y, a continuación, seleccione Terminar.
  13. En la página de detalles de la aplicación, seleccione Activar y confirme que desea activar la nueva aplicación.
2. Búsqueda del GUID de OCI IAM y generación de un token secreto

Necesita dos partes de información para utilizar como parte de la configuración de conexión para la aplicación de Okta que cree más tarde.

  1. Vuelva a la visión general del dominio de identidad seleccionando el nombre de dominio de identidad en las rutas. Seleccione Copiar junto a la URL de dominio en la información de dominio y guarde la URL en una aplicación donde pueda editarla.

    La información de dominio muestra dónde está la información de URL de dominio.

    El GUID de OCI IAM forma parte de la URL de dominio:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Por ejemplo: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. En la aplicación confidencial de OCI IAM, seleccione OAuth configuration, en Resources.
  3. Desplácese hacia abajo y, en Información general, anote el ID de cliente y el secreto de cliente.
  4. Desplácese hacia abajo y busque el ID de cliente y el Secreto de cliente en Información general.
  5. Copie el ID de cliente y almacénelo
  6. Seleccione Mostrar Secreto, copie el secreto y almacénelo.

    Identificador de cliente y secreto de cliente

    El token secreto es la codificación en base64 de <clientID>:<clientsecret> o
    base64(<clientID>:<clientsecret>)

    En estos ejemplos se muestra cómo generar el token secreto en Windows y MacOS.

    En un entorno Windows, abra CMD y utilice este comando powershell para generar la codificación base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    En MacOS, utilice
    echo -n <clientID>:<clientsecret> | base64
    Se devolverá el token secreto. Por ejemplo,
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote el valor del token secreto.

3. Crear una aplicación en Okta

Cree una aplicación en Okta.

  1. En el explorador, conéctese a Okta utilizando la dirección URL:

    https://<Okta-org>-admin.okta.com

    Donde <okta-org> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Aplicaciones.

    Si ya tiene una aplicación que ha creado al pasar por SSO con OCI y Okta, puede utilizarla. Seleccione esta opción para abrirla y editarla, y vaya a 5. Cambiar la configuración de Okta.

  3. Seleccione Examinar catálogo de aplicaciones y busque Oracle Cloud. Seleccione Oracle Cloud Infrastructure IAM en las opciones disponibles.
  4. Seleccione Agregar integración.
  5. En Configuración general, introduzca un nombre para la aplicación, por ejemplo OCI IAM, y seleccione Listo.
5. Cambiar configuración de Okta

Conecte la aplicación Okta a la aplicación confidencial de OCI IAM mediante la URL de dominio y el token secreto de un paso anterior.

  1. En la página de la aplicación recién creada, seleccione el separador Sign On.
  2. En Configuración, seleccione Editar.
  3. Vaya a Configuración de inicio de sesión avanzada.
  4. Introduzca la URL de dominio en GUID de IAM de Oracle Cloud Infrastructure.
  5. Seleccione Guardar.
  6. Cerca de la parte superior de la página, seleccione el separador Provisioning.
  7. Seleccione Configurar integración de API.
  8. Seleccione Activar integración de API.

    Activar integración de API

  9. Introduzca el valor del token secreto que ha copiado anteriormente en el token de API.

  10. Seleccione Probar credenciales de API.

    Si recibe un mensaje de error, compruebe los valores que ha introducido y vuelva a intentarlo.

    Al obtener un mensaje Oracle Cloud Infrastructure IAM was verified successfully!, Okta se ha conectado correctamente al punto final de OCI IAM SCIM.

  11. Seleccione Guardar.

Se abre la página Aprovisionamiento a la aplicación, donde puede crear usuarios, actualizar atributos de usuario y asignar atributos entre OCI IAM y Okta.

6. Probar aprovisionamiento de usuarios y grupos

Para probar el aprovisionamiento de usuarios y grupos para Okta:

  1. En la aplicación recién creada, seleccione el separador Assignments.
  2. Seleccione Asignar y seleccione Asignar a personas.
  3. Busque el usuario que desea aprovisionar de Okta a OCI IAM.

    Seleccione Assign junto al usuario.

  4. Seleccione Guardar y, a continuación, Volver.
  5. Ahora aprovisione grupos de Okta en OCI IAM. En el separador Asignaciones, seleccione Asignar y Asignar a grupos.
  6. Busque los grupos que se van a aprovisionar en OCI IAM. Junto al nombre del grupo, seleccione Asignar.
  7. Seleccione Listo.
  8. Ahora conéctese a OCI:

    1. Abra un explorador soportado e introduzca la URL de la consola de OCI:

      https://cloud.oracle.com.

    2. Introduzca su Nombre de cuenta en la nube, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
    3. Seleccione el dominio de identidad en el que se ha configurado Okta.
  9. Seleccione Usuarios.
  10. El usuario asignado a la aplicación OCI IAM en Okta ahora está presente en OCI IAM.
  11. Seleccione Grupos.
  12. El grupo que se asignó a la aplicación OCI IAM en Okta ahora está presente en OCI IAM.
7. Configuraciones adicionales para usuarios federados
  • Puede definir el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
  • Puede desactivar los correos electrónicos de notificación que se envían al usuario cuando se crea o actualiza su cuenta.
a. Definición del estado federado de los usuarios

Los usuarios federados no tienen credenciales para conectarse directamente a OCI. En su lugar, se autentican mediante el proveedor de identidad externo. Si desea que los usuarios utilicen sus cuentas federadas para conectarse a OCI, defina el atributo federado en true para esos usuarios.

Para definir el estado federado del usuario:

  1. En el explorador, conéctese a Okta utilizando la dirección URL:

    https://<Okta-org>-admin.okta.com

    Donde <okta-org> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Aplicaciones.
  3. Seleccione la aplicación que ha creado anteriormente, OCI IAM.
  4. Desplácese hacia abajo hasta la sección Attribute Mappings.
  5. Seleccione Ir al editor de perfiles.
  6. En Atributos, seleccione Agregar atributos.
  7. En la página Agregar Atributo:
    • En Tipo de datos, seleccione Boolean.
    • En Nombre mostrado, introduzca isFederatedUser.
    • Para Nombre de variable, introduzca isFederatedUser.
      Nota

      El nombre externo se rellena automáticamente con el valor del nombre de variable.
    • En Espacio de nombres externo, introduzca urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • En Ámbito, compruebe User personal.

    Página Agregar Atributo

  8. Vuelva a la página Application de Okta y seleccione la aplicación OCI IAM.
  9. Seleccione Aprovisionamiento.
  10. Desplácese hacia abajo hasta Attributes Mapping y seleccione Show Unmapped Attributes.
  11. Busque el atributo isFederatedUser y seleccione el botón de edición junto a él.
  12. En la página de atributos:
    • Para Valor de atributo, seleccione Expression.
    • En el cuadro siguiente, introduzca true.
    • Para Aplicar el, seleccione Crear y actualizar.

    Atributo, página

  13. Seleccione Guardar.

    Valores de atributo que muestran federación

Ahora, cuando los usuarios se aprovisionan de Okta a OCI, su estado federado se define en true. Puede ver esto en la página de perfil del usuario en OCI.

  • En la consola de OCI, vaya al dominio de identidad que está utilizando, seleccione Usuarios y seleccione el usuario para mostrar la información del usuario.
  • Federado se muestra como Yes.

    Información de usuario que muestra que el usuario está federado

b. Desactivar notificaciones para creación o actualizaciones de cuentas

El indicador de omisión de notificación controla si se debe enviar una notificación de correo electrónico después de crear o actualizar una cuenta de usuario en OCI. Si no desea que se notifique a los usuarios que se ha creado una cuenta para ellos, defina el indicador de omisión de notificación en true.

Para establecer el indicador de omisión de notificación:

  1. En el explorador, conéctese a Okta utilizando la dirección URL:

    https://<Okta-org>-admin.okta.com

    Donde <okta-org> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Aplicaciones.
  3. Seleccione la aplicación que ha creado anteriormente, OCI IAM.
  4. Desplácese hacia abajo hasta la sección Attribute Mappings.
  5. En Atributos, seleccione Agregar atributos.
  6. En la página Agregar Atributo:
    • En Tipo de datos, seleccione Boolean.
    • En Nombre mostrado, introduzca bypassNotification.
    • Para Nombre de variable, introduzca bypassNotification.
      Nota

      El nombre externo se rellena automáticamente con el valor del nombre de variable.
    • En Espacio de nombres externo, introduzca urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • En Ámbito, compruebe User personal.

    Añadir Atributo, página

  7. Vuelva a la página Application de Okta y seleccione la aplicación OCI IAM.
  8. Seleccione Aprovisionamiento.
  9. Desplácese hacia abajo hasta Attributes Mapping y seleccione Show Unmapped Attributes.
  10. Busque el atributo bypassNotification y seleccione el botón de edición junto a él.
  11. En la página de atributos:
    • Para Valor de atributo, seleccione Expression.
    • En el cuadro siguiente, introduzca true.
    • Para Aplicar el, seleccione Crear y actualizar.

    Atributo, página

  12. Seleccione Guardar.

    Valores de atributo que muestran la notificación de omisión

Siguiente paso

¡Enhorabuena! Ha configurado correctamente la gestión del ciclo de vida del usuario entre Okta y OCI.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: