Documentación de Oracle Cloud Infrastructure

Conexión única con OCI y Okta

En este tutorial, configurará Single Sign-On entre OCI y Okta, donde Okta actúa como proveedor de identidad (IdP) y OCI IAM es proveedor de servicios (SP).

En este tutorial de 15 minutos se muestra cómo configurar Okta como IdP, con OCI IAM actuando como SP. Al configurar la federación entre Okta y OCI IAM, permite el acceso de los usuarios a los servicios y las aplicaciones de OCI IAM mediante credenciales de usuario que Okta autentica.

  1. En primer lugar, recopile la información necesaria de OCI IAM.
  2. Configure Okta como IdP para OCI IAM.
  3. Configure OCI IAM para que Okta actúe como IdP.
  4. Cree políticas IdP en OCI IAM.
  5. Compruebe que la autenticación federada funciona entre OCI IAM y Okta.
Antes de empezar

Para realizar cualquiera de estos tutoriales, debe tener lo siguiente:

Puede recopilar la información adicional que necesita en los pasos de cada tutorial:

  • Obtenga los metadatos de OCI IdP y el certificado de firma para el dominio de identidad.
  • Obtener el certificado de firma del dominio de identidad.
1. Obtención de los metadatos del proveedor de identidad de OCI y la URL del dominio

Necesita los metadatos de SAML IdP del dominio de identidad de OCI IAM para importarlos a la aplicación Okta que cree. OCI IAM proporciona una URL directa para descargar los metadatos del dominio de identidad que está utilizando. Okta utiliza la URL del dominio de OCI para conectarse a OCI IAM.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com.

  2. Introduzca su Nombre de cuenta en la nube, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Este es el dominio de identidad que se utiliza para configurar la conexión única, por ejemplo Default.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  6. Seleccione el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  7. Seleccione Exportar metadatos de SAML.

    Descargar metadatos de SAML

  8. Seleccione la opción Archivo de metadatos y seleccione Descargar XML.

    Descargue el archivo XML

  9. Cambie el nombre del archivo XML descargado a OCIMetadata.xml.
  10. Vuelva a la visión general del dominio de identidad seleccionando el nombre de dominio de identidad en la ruta de navegación. Seleccione Copiar junto a la URL de dominio en la información de dominio y guarde la URL. Esta es la URL de dominio de OCI IAM que utilizará más adelante.

    La información de dominio muestra dónde está la información de URL de dominio.

2. Crear una aplicación en Okta

Crea una aplicación en Okta y anota los valores que necesitarás más adelante.

  1. En el explorador, conéctese a Okta utilizando la dirección URL:
    https://<OktaOrg>-admin.okta.com

    donde <OktaOrg> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Seguridad y elija Aplicaciones y, a continuación, seleccione Examinar aplicación Catálogo.
  3. Busque Oracle Cloud y seleccione Oracle Cloud Infrastructure IAM en las opciones disponibles.
  4. Seleccione Agregar integración.
  5. En Configuración general, introduzca un nombre para la aplicación, por ejemplo OCI IAM, y seleccione Listo.
  6. En la página de detalles de la aplicación para la nueva aplicación, seleccione el separador Inicio de sesión y, en Certificados de firma de SAML, seleccione Ver instrucciones de configuración de SAML.
  7. En la página Ver instrucciones de configuración de SAML, anote lo siguiente:
    • Identificador de Entidad
    • URL de SingleLogoutService
    • URL de SingleSignOnService
  8. Descargue y guarde el certificado, con la extensión de archivo .pem.
3. Creación de Okta como IdP en OCI IAM

Cree un IdP para Okta en la consola de OCI.

  1. En la consola de OCI del dominio en el que está trabajando, seleccione Seguridad y, a continuación, Proveedores de identidad.
  2. Seleccione Agregar IdP y, a continuación, Agregar SAML IdP.
  3. Introduzca un nombre para el IdP de SAML, por ejemplo Okta. Seleccione Siguiente.
  4. En la página de metadatos de Exchange, asegúrese de que se ha seleccionado Introducir metadatos IdP.
  5. Introduzca lo siguiente en el paso 8 del 2. Crear una aplicación en Okta:
    • En URI de emisor de proveedor de identidad: introduzca el ID.
    • En URL de servicio SSO: introduzca la URL SingleSignOnService.
    • Para Enlace de servicio SSO: seleccione POST.
    • Para Cargar certificado de firma de proveedor de identidad: utilice el archivo .pem de la certificación de Okta.

      Página Intercambiar metadatos de creación de proveedor de identidad de SAML

    Más abajo en la página, asegúrese de que Activar desconexión global está seleccionado e introduzca lo siguiente.

    • En URL de solicitud de cierre de sesión de IDP: introduzca la URL SingleLogoutService.
    • Para IDP Logout Response URL: URL eEnter tbhe SingleLogoutService.
    • Asegúrese de que el enlace de desconexión esté establecido en POST.

      configuración adicional

  6. Seleccione Siguiente.
  7. En la página Asignar atributos:
    • En Formato NameId solicitado, seleccione Email address.
    • En Atributo de usuario de proveedor de identidad: seleccione el ID de nombre de afirmación de SAML.
    • En Atributo de usuario de dominio de identidad: seleccione Dirección de correo electrónico principal.
  8. Seleccione Siguiente.
  9. Revise y seleccione Crear IDP.
  10. En la página Siguiente, seleccione Activar y, a continuación, seleccione Agregar a política IdP.
  11. Seleccione Política de proveedor de identidad por defecto para abrirla y, a continuación, seleccione el menú Acciones (tres puntos) para la regla y seleccione Editar regla IdP.
  12. Seleccione Asignar proveedores de identidad y, a continuación, seleccione Okta para agregarlo a la lista.
  13. Seleccione Guardar cambios.
  14. Descargue el certificado de SP:
    • En la consola de OCI del dominio en el que está trabajando, seleccione Seguridad y, a continuación, Proveedores de identidad.
    • Seleccione Okta.
    • En la página IdP de Okta, seleccione Metadatos de proveedor de servicios.
    • Seleccione Download (Descargar) junto al certificado de firma del proveedor de servicios para descargar el certificado de firma del SP y guardarlo.
4. Configurar Okta
  1. En la consola de Okta, seleccione Application y, a continuación, seleccione la nueva aplicación OCI IAM.
  2. Vaya al separador Conexión y seleccione Editar.
  3. Seleccione Activar desconexión única.
  4. Busque el certificado que ha descargado de la consola de OCI IAM en el paso anterior y seleccione Cargar.
  5. Desplácese hacia abajo hasta Configuración de inicio de sesión avanzado.
  6. Introduzca lo siguiente:
  7. Seleccione Guardar.
  8. Vaya al separador Asignaciones y asigne los usuarios que desea que tengan acceso a esta aplicación.
  9. Seleccione Siguiente.
5. Probar inicio de sesión único

  1. Introduzca la URL de Consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta en la nube, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Seleccione el dominio para el que ha configurado Okta IdP.
  5. En la página de conexión, seleccione el icono de Okta.
  6. Introduzca sus credenciales de Okta. Se conecta a la consola de OCI.
Siguiente paso

¡Enhorabuena! Ha configurado correctamente un SSO entre Okta y OCI IAM de dos formas diferentes.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: