Documentación de Oracle Cloud Infrastructure

Gestión del ciclo de vida de identidades entre OCI y Okta

En este tutorial, configurará la gestión del ciclo de vida del usuario entre Okta y OCI IAM, donde Okta actúa como almacén de identidades autorizado.

En este tutorial de 30 minutos se muestra cómo aprovisionar usuarios y grupos de Okta a OCI IAM.

  1. Crear una aplicación confidencial en OCI IAM.
  2. Obtenga la URL del dominio de identidad y genere un token secreto.
  3. Cree una aplicación en Okta.
  4. Actualizar la configuración de Okta.
  5. Pruebe que el aprovisionamiento funciona entre OCI IAM y Okta.
  6. Además, instrucciones sobre cómo
    • Defina el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
    • Deje que los usuarios reciban correos electrónicos de notificación cuando se cree o actualice su cuenta.
Nota

Este tutorial es específico de IAM con dominios de identidades.
Antes de empezar

Para realizar este juego de tutoriales, debe tener lo siguiente:

Recopila la información adicional que necesita de los pasos del tutorial:

  • URL de dominio de OCI IAM.
  • ID del cliente de OCI IAM y secreto del cliente.
1. Crear una aplicación confidencial en OCI

Cree una aplicación confidencial en OCI IAM y actívela.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de Cloud, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  5. Seleccione el dominio de identidad en el que desea configurar el aprovisionamiento de Okta y seleccione Aplicaciones.
  6. Seleccione Agregar aplicación, seleccione Aplicación confidencial e Iniciar flujo de trabajo.

    Aplicación confidencial

  7. Introduzca un nombre para la aplicación confidencial, por ejemplo, OktaClient. Seleccione Next (Siguiente).
  8. En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
  9. En Autorización, seleccione Credenciales de cliente.

    Configurar la aplicación como un cliente

  10. Desplácese hasta la parte inferior y seleccione Agregar roles de aplicación.
  11. En Roles de aplicación, seleccione Agregar roles y, en la página Agregar roles de aplicación, seleccione Administrador de usuarios y seleccione Agregar.

    Agregar roles de aplicación

  12. Seleccione Siguiente y, a continuación, seleccione Terminar.
  13. En la página de detalles de la aplicación, seleccione Activar y confirme que desea activar la nueva aplicación.
2. Búsqueda del GUID de OCI IAM y generación de un token secreto

Necesita dos partes de información para utilizar como parte de la configuración para la aplicación Okta que cree más tarde.

  1. Vuelva a la visión general de los dominios de identidad seleccionando el nombre del dominio de identidades en las rutas de navegación. Seleccione Copiar junto a la URL de Dominio en información de dominio y guarde la URL de una aplicación donde pueda editarla.

    La información de dominio muestra dónde está la información de URL de dominio.

    El GUID de OCI IAM forma parte de la URL del dominio:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Por ejemplo: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. En la aplicación confidencial de OCI IAM, seleccione Configuración de OAuth en Recursos.
  3. Desplácese hacia abajo y, en Información general, anote el ID del cliente y el secreto del cliente.
  4. Desplácese hacia abajo y busque el ID de Cliente y elSecreto de Cliente en Información general.
  5. Copie el ID de cliente y almacénelo
  6. Seleccione Mostrar secreto, copie el secreto y almacénelo.

    Identificador de cliente y secreto de cliente

    El token secreto es la codificación base64 de <clientID>:<clientsecret> o
    base64(<clientID>:<clientsecret>)

    En estos ejemplos se muestra cómo generar el token secreto en Windows y MacOS.

    En un entorno Windows, abra CMD y utilice este comando powershell para generar la codificación base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    En MacOS, utilice
    echo -n <clientID>:<clientsecret> | base64
    Se devolverá el token secreto. Por ejemplo
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote el valor del token secreto.

3. Crear una aplicación en Okta

Cree una aplicación en Okta.

  1. En el explorador, conéctese a Okta mediante la URL:

    https://<Okta-org>-admin.okta.com

    Donde <okta-org> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Aplicaciones.

    Si ya tiene una aplicación que ha creado al pasar por SSO con OCI y Okta, puede utilizarla. Seleccione esta opción para abrirla y editarla, y vaya a 5. Cambiar la configuración de Okta.

  3. Seleccione Examinar catálogo de aplicaciones y busque Oracle Cloud. Seleccione Oracle Cloud Infrastructure IAM entre las opciones disponibles.
  4. Seleccione Agregar integración.
  5. En Configuración general, introduzca un nombre para la aplicación, por ejemplo OCI IAM, y seleccione Listo.
5. Cambiar la configuración de Okta

Conecte la aplicación Okta a la aplicación confidencial de OCI IAM mediante la URL de dominio y el token secreto de un paso anterior.

  1. En la página de la aplicación recién creada, seleccione el separador Iniciar sesión.
  2. En Configuración, seleccione Editar.
  3. Desplácese hacia abajo hasta Configuración de inicio de sesión avanzado.
  4. Introduzca la URL de dominio en el GUID de IAM de Oracle Cloud Infrastructure.
  5. Seleccione Guardar.
  6. Cerca de la parte superior de la página, seleccione el separador Provisioning.
  7. Seleccione Configurar integración de API.
  8. Seleccione Activar integración de API.

    Activar integración de API

  9. Introduzca el valor del token secreto que ha copiado anteriormente en el token de API.

  10. Seleccione Probar credenciales de API.

    Si aparece un mensaje de error, compruebe los valores que ha introducido y vuelva a intentarlo.

    Cuando obtiene un mensaje Oracle Cloud Infrastructure IAM was verified successfully!, Okta se ha conectado correctamente al punto final de SCIM de OCI IAM.

  11. Seleccione Guardar.

Se abre la página Aprovisionamiento a aplicación, donde puede crear usuarios, actualizar atributos de usuario y asignar atributos entre OCI IAM y Okta.

6. Probar Provisionamiento de Usuarios y Grupos

Para probar el aprovisionamiento de usuarios y grupos para Okta:

  1. En la aplicación recién creada, seleccione el separador Assignments.
  2. Seleccione Asignar y Asignar a Personas.
  3. Busque el usuario que desea aprovisionar desde Okta a OCI IAM.

    Seleccione Asignar junto al usuario.

  4. Seleccione Guardar y, a continuación, Volver.
  5. Ahora aprovisione grupos de Okta en OCI IAM. En el separador Asignaciones, seleccione Asignar y Asignar a grupos.
  6. Busque los grupos que se aprovisionarán en OCI IAM. Junto al nombre del grupo, seleccione Asignar.
  7. Seleccione Listo.
  8. Ahora conéctese a OCI:

    1. Abra un explorador soportado e introduzca la URL de la consola de OCI:

      https://cloud.oracle.com .

    2. Introduzca su Nombre de cuenta de Cloud, también denominado su nombre de arrendamiento, y seleccione Siguiente.
    3. Seleccione el dominio de identidad en el que se ha configurado Okta.
  9. Seleccione Users (Usuarios).
  10. El usuario asignado a la aplicación OCI IAM en Okta ahora está presente en OCI IAM.
  11. Seleccione Grupos.
  12. El grupo que se asignó a la aplicación OCI IAM en Okta ahora está presente en OCI IAM.
7. Configuraciones adicionales para usuarios federados
  • Puede definir el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
  • Puede desactivar los correos electrónicos de notificación que se envían al usuario cuando se crea o actualiza su cuenta.
a. Definición del estado federado de los usuarios

Los usuarios federados no tienen credenciales para conectarse directamente a OCI. En su lugar, son autenticados por el proveedor de identidad externo. Si desea que los usuarios utilicen sus cuentas federadas para conectarse a OCI, defina el atributo federado en true para esos usuarios.

Para definir el estado federado del usuario:

  1. En el explorador, conéctese a Okta mediante la URL:

    https://<Okta-org>-admin.okta.com

    Donde <okta-org> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Aplicaciones.
  3. Seleccione la aplicación que ha creado anteriormente, OCI IAM.
  4. Desplácese hasta la sección Attribute Mappings.
  5. Seleccione Ir al editor de perfiles.
  6. En Atributos, seleccione Agregar atributos.
  7. En la página Add Attribute:
    • En Tipo de datos, seleccione Boolean.
    • En Nombre mostrado, introduzca isFederatedUser.
    • En Nombre de variable, introduzca isFederatedUser.
      Nota

      El nombre externo se rellena automáticamente con el valor del nombre de variable.
    • En Espacio de nombres externo, introduzca urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • En Ámbito, marque User personal.

    Página Agregar Atributos

  8. Vuelva a la página Application de Okta y seleccione la aplicación OCI IAM.
  9. Seleccione Aprovisionamiento.
  10. Desplácese hacia abajo hasta la asignación de atributos y seleccione Mostrar atributos sin asignar.
  11. Busque el atributo isFederatedUser y seleccione el botón de edición situado junto a él.
  12. En la página de atributos:
    • En Valor de atributo, seleccione Expression.
    • En el cuadro siguiente, introduzca true.
    • Para Aplicar a, seleccione Crear y actualizar.

    Atributo, página

  13. Seleccione Guardar.

    Valores de atributo que muestran federación

Ahora, cuando los usuarios se aprovisionan de Okta a OCI, su estado federado se define en true. Esto se puede ver en la página de perfil del usuario en OCI.

  • En la consola de OCI, vaya al dominio de identidad que está utilizando, seleccione Usuarios y seleccione el usuario para mostrar la información del usuario.
  • Federado se muestra como Yes.

    Información de usuario que muestra que el usuario está federado

b. Desactivar notificaciones para creación o actualizaciones de cuentas

El indicador de omisión de notificación controla si se envía una notificación por correo electrónico después de crear o actualizar una cuenta de usuario en OCI. Si no desea que se notifique a los usuarios que se ha creado una cuenta para ellos, defina el indicador de omisión de notificación en true.

Para establecer el indicador de omisión de notificación:

  1. En el explorador, conéctese a Okta mediante la URL:

    https://<Okta-org>-admin.okta.com

    Donde <okta-org> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Aplicaciones.
  3. Seleccione la aplicación que ha creado anteriormente, OCI IAM.
  4. Desplácese hasta la sección Attribute Mappings.
  5. En Atributos, seleccione Agregar atributos.
  6. En la página Add Attribute:
    • En Tipo de datos, seleccione Boolean.
    • En Nombre mostrado, introduzca bypassNotification.
    • En Nombre de variable, introduzca bypassNotification.
      Nota

      El nombre externo se rellena automáticamente con el valor del nombre de variable.
    • En Espacio de nombres externo, introduzca urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • En Ámbito, marque User personal.

    Añadir Atributo, página

  7. Vuelva a la página Application de Okta y seleccione la aplicación OCI IAM.
  8. Seleccione Aprovisionamiento.
  9. Desplácese hacia abajo hasta la asignación de atributos y seleccione Mostrar atributos sin asignar.
  10. Busque el atributo bypassNotification y seleccione el botón de edición situado junto a él.
  11. En la página de atributos:
    • En Valor de atributo, seleccione Expression.
    • En el cuadro siguiente, introduzca true.
    • Para Aplicar a, seleccione Crear y actualizar.

    Atributo, página

  12. Seleccione Guardar.

    Valores de atributo que muestran la notificación de omisión

Siguiente paso

¡Enhorabuena! Ha configurado correctamente la gestión del ciclo de vida del usuario entre Okta y OCI.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: