Gestión del ciclo de vida de identidades entre OCI y Okta
En este tutorial, configurará la gestión del ciclo de vida del usuario entre Okta y OCI IAM, donde Okta actúa como almacén de identidades autorizado.
En este tutorial de 30 minutos se muestra cómo aprovisionar usuarios y grupos de Okta a OCI IAM.
- Cree una aplicación confidencial en OCI IAM.
- Obtenga la URL del dominio de identidad y genere un token secreto.
- Crea una aplicación en Okta.
- Actualizar la configuración de Okta.
- Pruebe que el aprovisionamiento funciona entre OCI IAM y Okta.
- Además, instrucciones sobre cómo
- Defina el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
- Detenga a los usuarios que reciban notificaciones por correo electrónico cuando se cree o actualice su cuenta.
Este tutorial es específico de IAM con dominios de identidad.
Para realizar este juego de tutoriales, debe tener lo siguiente:
-
Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
- Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
- Cuenta de Okta con privilegios de administrador para configurar el aprovisionamiento.
Puede recopilar la información adicional que necesita de los pasos del tutorial:
- URL de dominio de OCI IAM.
- El ID de cliente y el secreto de cliente de OCI IAM.
Cree una aplicación confidencial en OCI IAM y actívela.
-
Abra un explorador soportado e introduzca la URL de la consola:
- Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
- Inicie sesión con su nombre de usuario y contraseña.
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
- Seleccione el dominio de identidad en el que desea configurar el aprovisionamiento de Okta y haga clic en Aplicaciones.
- Haga clic en Agregar aplicación, seleccione Aplicación confidencial y haga clic en Iniciar flujo de trabajo.
- Introduzca un nombre para la aplicación confidencial, por ejemplo, OktaClient. Haga clic en Siguiente.
- En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
- En Autorización, seleccione Credenciales de cliente.
- Desplácese hasta la parte inferior y haga clic en Agregar roles de aplicaciones.
- En Roles de aplicación, haga clic en Agregar roles y, en la página Agregar roles de aplicación, seleccione Administrador de usuarios y haga clic en Agregar.
- Haga clic en Siguiente y, a continuación en Finalizar.
- En la página de detalles de la aplicación, haga clic en Activar y confirme que desea activar la nueva aplicación.
Necesita dos partes de información para utilizar como parte de la configuración de conexión para la aplicación de Okta que cree más tarde.
- Vuelva a la visión general del dominio de identidad haciendo clic en el nombre de dominio de identidad en las rutas de navegación. Haga clic en la opción Copiar situada junto a la URL de dominio en la información de dominio y guarde la URL en una aplicación donde pueda editarla.
El GUID de OCI IAM forma parte de la URL de dominio:
https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso
Por ejemplo:
idcs-9ca4f92e3fba2a4f95a4c9772ff3278
- En la aplicación confidencial de OCI IAM, haga clic en Configuración de OAuth, en Recursos.
- Desplácese hacia abajo y, en Información general, anote el ID de cliente y el secreto de cliente.
- Desplácese hacia abajo y busque el ID de cliente y el Secreto de cliente en Información general.
- Copie el ID de cliente y almacénelo
- Haga clic en Mostrar secreto, copie el secreto y almacénelo.El token secreto es la codificación en base64 de
<clientID>:<clientsecret>
obase64(<clientID>:<clientsecret>)
En estos ejemplos se muestra cómo generar el token secreto en Windows y MacOS.
En un entorno Windows, abra CMD y utilice este comando powershell para generar la codificación base64
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"
En MacOS, utiliceecho -n <clientID>:<clientsecret> | base64
Se devolverá el token secreto. Por ejemplo,echo -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==
Anote el valor del token secreto.
Cree una aplicación en Okta.
- En el explorador, conéctese a Okta utilizando la dirección URL:
https://<Okta-org>-admin.okta.com
Donde
<okta-org>
es el prefijo de su organización con Okta. - En el menú de la izquierda, haga clic en Applications.
Si ya tiene una aplicación que ha creado al realizar SSO con OCI y Okta, puede utilizarla. Haga clic para abrirla y editarla, y vaya a 5. Cambiar configuración de Okta.
- Haga clic en Examinar catálogo de aplicaciones y busque
Oracle Cloud
. Seleccione Oracle Cloud Infrastructure IAM de las opciones disponibles. - Haga clic en Agregar integración.
- En Configuración general, introduzca un nombre para la aplicación, por ejemplo,
OCI IAM
, y haga clic en Listo.
Conecte la aplicación de Okta a la aplicación confidencial de OCI IAM mediante la URL de dominio y el token secreto de un paso anterior.
- En la página de la aplicación recién creada, haga clic en el separador Sign On.
- En Configuración, haga clic en Editar.
- Vaya a Configuración de inicio de sesión avanzada.
- Introduzca la URL de dominio en GUID de IAM de Oracle Cloud Infrastructure.
- Haga clic en Guardar.
- Cerca de la parte superior de la página, haga clic en el separador Provisioning.
- Haga clic en Configurar integración de API.
- Seleccione Activar integración de API.
- Introduzca el valor del token secreto que ha copiado anteriormente en el token de API.
-
Haga clic en Probar credenciales de API.
Si recibe un mensaje de error, compruebe los valores que ha introducido y vuelva a intentarlo.
Al obtener un mensaje
Oracle Cloud Infrastructure IAM was verified successfully!
, Okta se ha conectado correctamente al punto final de SCIM de OCI IAM. -
Haga clic en Guardar.
Se abre la página Aprovisionamiento a aplicación, donde puede crear usuarios, actualizar atributos de usuario y asignar atributos entre OCI IAM y Okta.
Para probar el aprovisionamiento de usuarios y grupos para Okta:
- En la aplicación recién creada, seleccione el separador Assignments.
- Haga clic en Asignar y seleccione Asignar a personas.
- Busque el usuario que va a aprovisionar de Okta a OCI IAM.
Haga clic en Asignar junto al usuario.
- Haga clic en Guardar y, a continuación, en Volver.
- Ahora aprovisione grupos de Okta en OCI IAM. En el separador Asignaciones, haga clic en Asignar y seleccione Asignar a grupos.
- Busque los grupos que se van a aprovisionar en OCI IAM. Junto al nombre del grupo, haga clic en Asignar.
- Haga clic en Listo.
- Conéctese a OCI:
-
Abra un explorador soportado e introduzca la URL de la consola de OCI:
- Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
- Seleccione el dominio de identidad en el que se ha configurado Okta.
-
- Haga clic en Usuarios.
- El usuario asignado a la aplicación de OCI IAM en Okta ahora está presente en OCI IAM.
- Haga clic en Grupos.
- El grupo que se ha asignado a la aplicación de OCI IAM en Okta ahora está presente en OCI IAM.
- Puede definir el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
- Puede desactivar los correos electrónicos de notificación que se envían al usuario cuando se crea o actualiza su cuenta.
Los usuarios federados no tienen credenciales para conectarse directamente a OCI. En su lugar, el proveedor de identidad externo los autentica. Si desea que los usuarios utilicen sus cuentas federadas para conectarse a OCI, defina el atributo federado en true para esos usuarios.
Para definir el estado federado del usuario:
- En el explorador, conéctese a Okta utilizando la dirección URL:
https://<Okta-org>-admin.okta.com
Donde
<okta-org>
es el prefijo de su organización con Okta. - En el menú de la izquierda, haga clic en Applications.
- Haga clic en la aplicación que ha creado anteriormente,
OCI IAM
. - Desplácese hacia abajo hasta la sección Attribute Mappings.
- Haga clic en Ir al Editor de Perfil.
- En Atributos, haga clic en Agregar atributos.
- En la página Agregar Atributo:
- En Tipo de datos, seleccione
Boolean
. - En Nombre mostrado, introduzca
isFederatedUser
. - Para Nombre de variable, introduzca
isFederatedUser
.Nota
El nombre externo se rellena automáticamente con el valor del nombre de variable. - En Espacio de nombres externo, introduzca
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User
. - En Ámbito, compruebe
User personal
.
- En Tipo de datos, seleccione
- Vuelva a la página Application de Okta y seleccione la aplicación
OCI IAM
. - Haga clic en Aprovisionamiento.
- Desplácese hasta Asignación de atributos y haga clic en Mostrar atributos no asignados.
- Localice el atributo
isFederatedUser
y haga clic en el botón de edición situado junto a él. - En la página de atributos:
- Para Valor de atributo, seleccione
Expression
. - En el cuadro siguiente, introduzca
true
. - Para Aplicar el, seleccione Crear y actualizar.
- Para Valor de atributo, seleccione
- Haga clic en Guardar.
Ahora, cuando los usuarios se aprovisionan de Okta a OCI, su estado federado se define en true. Puede ver esto en la página de perfil del usuario en OCI.
- En la consola de OCI, vaya al dominio de identidad que está utilizando, haga clic en Usuarios y haga clic en el usuario para mostrar la información del usuario.
- Federado se muestra como
Yes
.
El indicador de omisión de notificación controla si se debe enviar una notificación de correo electrónico después de crear o actualizar una cuenta de usuario en OCI. Si no desea que se notifique a los usuarios que se han creado cuentas para ellos, defina el indicador de omisión de notificación en Verdadero.
Para establecer el indicador de omisión de notificación:
- En el explorador, conéctese a Okta utilizando la dirección URL:
https://<Okta-org>-admin.okta.com
Donde
<okta-org>
es el prefijo de su organización con Okta. - En el menú de la izquierda, haga clic en Applications.
- Haga clic en la aplicación que ha creado anteriormente,
OCI IAM
. - Desplácese hacia abajo hasta la sección Attribute Mappings.
- En Atributos, haga clic en Agregar atributos.
- En la página Agregar Atributo:
- En Tipo de datos, seleccione
Boolean
. - En Nombre mostrado, introduzca
bypassNotification
. - Para Nombre de variable, introduzca
bypassNotification
.Nota
El nombre externo se rellena automáticamente con el valor del nombre de variable. - En Espacio de nombres externo, introduzca
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User
. - En Ámbito, compruebe
User personal
.
- En Tipo de datos, seleccione
- Vuelva a la página Application de Okta y seleccione la aplicación
OCI IAM
. - Haga clic en Aprovisionamiento.
- Desplácese hasta Asignación de atributos y haga clic en Mostrar atributos no asignados.
- Localice el atributo
bypassNotification
y haga clic en el botón de edición situado junto a él. - En la página de atributos:
- Para Valor de atributo, seleccione
Expression
. - En el cuadro siguiente, introduzca
true
. - Para Aplicar el, seleccione Crear y actualizar.
- Para Valor de atributo, seleccione
- Haga clic en Guardar.
¡Enhorabuena! Ha configurado correctamente la gestión del ciclo de vida del usuario entre Okta y OCI.
Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: