Documentación de Oracle Cloud Infrastructure

Inicio de sesión único con OCI y Okta

En este tutorial, configurará la conexión única entre OCI y Okta, donde Okta actúa como proveedor de identidad (IdP) y OCI IAM como proveedor de servicios (SP).

En este tutorial de 15 minutos se muestra cómo configurar Okta como IdP, con OCI IAM como SP. Al configurar la federación entre Okta y OCI IAM, permite el acceso de los usuarios a los servicios y las aplicaciones de OCI IAM mediante credenciales de usuario que Okta autentica.

  1. En primer lugar, recopile la información necesaria de OCI IAM.
  2. Configure Okta como IdP para OCI IAM.
  3. Configure OCI IAM para que Okta actúe como IdP.
  4. Cree políticas de IdP en OCI IAM.
  5. Pruebe que la autenticación federada funciona entre OCI IAM y Okta.
Antes de empezar

Para realizar cualquiera de estos tutoriales, debe tener lo siguiente:

Puede recopilar la información adicional que necesita en los pasos de cada tutorial:

  • Obtenga los metadatos de OCI IdP y el certificado de firma para el dominio de identidad.
  • Obtener el certificado de firma del dominio de identidad.
1. Obtención de los metadatos del proveedor de identidad de OCI y la URL del dominio

Necesita los metadatos de SAML IdP del dominio de identidad de OCI IAM para importarlos a la aplicación Okta que cree. OCI IAM proporciona una URL directa para descargar los metadatos del dominio de identidad que está utilizando. Okta utiliza la URL de dominio de OCI para conectarse a OCI IAM.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com.

  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Este es el dominio de identidad que se utiliza para configurar la conexión única, por ejemplo Default.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y haga clic en Seguridad de identidad. En Identidad, haga clic en Dominios.
  6. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  7. Haga clic en Exportar metadatos de SAML.

    Descargar metadatos de SAML

  8. Seleccione la opción Archivo de metadatos y haga clic en Descargar XML.

    Descargue el archivo XML

  9. Cambie el nombre del archivo XML descargado a OCIMetadata.xml.
  10. Vuelva a la visión general del dominio de identidad haciendo clic en el nombre del dominio de identidad en la ruta de navegación. Haga clic en Copiar junto a la URL de dominio en la información de dominio y guarde la URL. Esta es la URL de dominio de OCI IAM que utilizará más adelante.

    La información de dominio muestra dónde está la información de URL de dominio.

2. Crear una aplicación en Okta

Crea una aplicación en Okta y anota los valores que necesitarás más adelante.

  1. En el explorador, conéctese a Okta utilizando la dirección URL:
    https://<OktaOrg>-admin.okta.com

    donde <OktaOrg> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, haga clic en Seguridad y seleccione Aplicaciones y, a continuación, haga clic en Examinar catálogode aplicaciones.
  3. Busque Oracle Cloud y seleccione Oracle Cloud Infrastructure IAM en las opciones disponibles.
  4. Haga clic en Agregar integración.
  5. En Configuración general, introduzca un nombre para la aplicación, por ejemplo, OCI IAM, y haga clic en Listo.
  6. En la página de detalles de la aplicación nueva, haga clic en el separador Conexión y, en Certificados de firma de SAML, haga clic en Ver instrucciones de configuración de SAML.
  7. En la página Ver instrucciones de configuración de SAML, anote lo siguiente:
    • Identificador de Entidad
    • URL de SingleLogoutService
    • URL de SingleSignOnService
  8. Descargue y guarde el certificado, con la extensión de archivo .pem.
3. Creación de Okta como IdP en OCI IAM

Cree un IdP para Okta en la consola de OCI.

  1. En la consola de OCI del dominio en el que está trabajando, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  2. Haga clic en Agregar IdP y, a continuación, en Agregar IDP de SAML.
  3. Introduzca un nombre para el SAML IdP, por ejemplo Okta. Haga clic en Siguiente.
  4. En la página de metadatos de Exchange, asegúrese de que se ha seleccionado Introducir metadatos IdP.
  5. Introduzca lo siguiente en el paso 8 del 2. Crear una aplicación en Okta:
    • En URI de emisor de proveedor de identidad: introduzca el ID.
    • En URL de servicio SSO: introduzca la URL SingleSignOnService.
    • Para Enlace de servicio SSO: seleccione POST.
    • Para Cargar certificado de firma de proveedor de identidad: utilice el archivo .pem de la certificación de Okta.

      Página de metadatos de intercambio de creación de proveedor de identidad de SAML

    Más abajo en la página, asegúrese de que Activar desconexión global está seleccionado e introduzca lo siguiente.

    • En URL de solicitud de cierre de sesión de IDP: introduzca la URL SingleLogoutService.
    • Para IDP Logout Response URL: URL eEnter tbhe SingleLogoutService.
    • Asegúrese de que el enlace de desconexión esté establecido en POST.

      configuración adicional

  6. Haga clic en Siguiente.
  7. En la página Asignar atributos:
    • En Formato NameId solicitado, seleccione Email address.
    • En Atributo de usuario de proveedor de identidad: seleccione el ID de nombre de afirmación de SAML.
    • En Atributo de usuario de dominio de identidad: seleccione Dirección de correo electrónico principal.
  8. Haga clic en Siguiente.
  9. Revise y haga clic en Crear IDP.
  10. En la página Siguiente, haga clic en Activar y, a continuación, en Agregar a política IdP.
  11. Haga clic en Política de proveedor de identidad por defecto para abrirla y, a continuación, haga clic en el menú Acciones (Menú Acciones) de la regla y haga clic en Editar regla IdP.
  12. Haga clic en Asignar proveedores de identidad y, a continuación, en Okta para agregarlo a la lista.
  13. Haga clic en Guardar cambios.
  14. Descargue el certificado de SP:
    • En la consola de OCI del dominio en el que está trabajando, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
    • Haga clic en Okta.
    • En la página IdP de Okta, haga clic en Metadatos del proveedor de servicios.
    • Haga clic en Descargar junto al certificado de firma del proveedor de servicios para descargar el certificado de firma del SP y guardarlo.
4. Configurar Okta
  1. En la consola de Okta, haga clic en Application y, a continuación, en la nueva aplicación OCI IAM.
  2. Vaya al separador Conexión y haga clic en Editar.
  3. Seleccione Activar desconexión única.
  4. Busque el certificado que ha descargado de la consola de OCI IAM en el paso anterior y haga clic en Cargar.
  5. Desplácese hacia abajo hasta Configuración de inicio de sesión avanzado.
  6. Introduzca lo siguiente:
  7. Haga clic en Guardar.
  8. Vaya al separador Asignaciones y asigne los usuarios que desea que tengan acceso a esta aplicación.
  9. Haga clic en Siguiente.
5. Probar inicio de sesión único

  1. Introduzca la URL de Consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Seleccione el dominio para el que ha configurado Okta IdP.
  5. En la página de conexión, haga clic en el icono de Okta.
  6. Introduzca sus credenciales de Okta. Se ha conectado a la consola de OCI.
Siguiente paso

¡Enhorabuena! Ha configurado correctamente una conexión única entre Okta y OCI IAM de dos formas diferentes.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: