Documentación de Oracle Cloud Infrastructure

Conexión única con OCI y Okta

En este tutorial, configurará la conexión única entre OCI y Okta, donde Okta actúa como proveedor de identidad (IdP) y OCI IAM es proveedor de servicios (SP).

En este tutorial de 15 minutos se muestra cómo configurar Okta como IdP, con OCI IAM como SP. Al configurar una federación entre Okta y OCI IAM, permite el acceso de todos los usuarios a los servicios y aplicaciones de OCI IAM mediante credenciales de usuario que Okta autentica.

  1. En primer lugar, recopile la información necesaria de OCI IAM.
  2. Configure Okta como IdP para OCI IAM.
  3. Configure OCI IAM para que Okta actúe como IdP.
  4. Cree políticas IdP en OCI IAM.
  5. Pruebe que la autenticación federada funciona entre OCI IAM y Okta.
Antes de empezar

Para realizar cualquiera de estos tutoriales, debe tener lo siguiente:

Recopila la información adicional que necesita de los pasos de cada tutorial:

  • Obtenga los metadatos IdP de OCI y el certificado de firma para el dominio de identidad.
  • Obtener el certificado de firma del dominio de identidad.
1. Obtener los metadatos del proveedor de identidad de OCI y la URL del dominio

Necesita los metadatos de SAML IdP del dominio de identidad de OCI IAM para importarlos a la aplicación Okta que cree. OCI IAM proporciona una URL directa para descargar los metadatos del dominio que está utilizando. Okta utiliza la URL de dominio de OCI para conectarse a OCI IAM.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com .

  2. Introduzca su Nombre de cuenta de Cloud, también denominado su nombre de arrendamiento, y seleccione Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Este es el dominio de identidad que se utiliza para configurar la conexión única, por ejemplo Default.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  6. Seleccione el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. Luego, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  7. Seleccione Exportar metadatos de SAML.

    Descargar metadatos de SAML

  8. Seleccione la opción Archivo de metadatos y seleccione Descargar XML.

    Descargue el archivo XML

  9. Cambie el nombre del archivo XML descargado a OCIMetadata.xml.
  10. Vuelva a la visión general de los dominios de identidad seleccionando el nombre del dominio en la pista de navegación de la ruta de navegación. Seleccione Copiar junto a la URL de Dominio en información de dominio y guarde la URL. Ésta es la URL de dominio de OCI IAM que utilizará más adelante.

    La información de dominio muestra dónde está la información de URL de dominio.

2. Creación de una app en Okta

Cree una aplicación en Okta y tome nota de los valores que necesitará más adelante.

  1. En el explorador, conéctese a Okta mediante la URL:
    https://<OktaOrg>-admin.okta.com

    donde <OktaOrg> es el prefijo de su organización con Okta.

  2. En el menú de la izquierda, seleccione Seguridad, elija Aplicaciones y, a continuación, seleccione Examinar catálogo de aplicaciones.
  3. Busque Oracle Cloud y seleccione Oracle Cloud Infrastructure IAM entre las opciones disponibles.
  4. Seleccione Agregar integración.
  5. En Configuración general, introduzca un nombre para la aplicación, por ejemplo OCI IAM, y seleccione Listo.
  6. En la página de detalles de la aplicación nueva, seleccione el separador Inicio de sesión y, en Certificados de firma SAML, seleccione Ver instrucciones de configuración de SAML.
  7. En la página Ver instrucciones de configuración de SAML, anote lo siguiente:
    • ID de entidad
    • URL SingleLogoutService
    • URL SingleSignOnService
  8. Descargue y guarde el certificado, con la extensión de archivo .pem.
3. Crear Okta como IdP en OCI IAM

Cree un IdP para Okta en la consola de OCI.

  1. En la consola de OCI del dominio en el que está trabajando, seleccione Seguridad y, a continuación, Proveedores de identidades.
  2. Seleccione Agregar IdP y, a continuación, Agregar IdP de SAML.
  3. Introduzca un nombre para el IdP de SAML, por ejemplo Okta. Seleccione Next (Siguiente).
  4. En la página de metadatos de Exchange, asegúrese de que se ha seleccionado Introducir metadatos IdP.
  5. Introduzca lo siguiente del paso 8 en 2. Cree una aplicación en Okta:
    • Para URI de emisor de proveedor de identidad: introduzca el ID de introducción.
    • En URL de servicio SSO: introduzca la URL SingleSignOnService.
    • Para Enlace de servicio SSO: seleccione POST.
    • Para Cargar certificado de firma de proveedor de identidad: utilice el archivo .pem de la certificación de Okta.

      Página de metadatos de intercambio para crear proveedor de identidad SAML

    Más abajo en la página, asegúrese de que la opción Activar cierre de sesión global esté seleccionada e introduzca lo siguiente.

    • Para URL de solicitud de desconexión de IDP: introduzca la URL SingleLogoutService.
    • Para URL de respuesta de desconexión de IDP: URL eEnter tbhe SingleLogoutService.
    • Asegúrese de que el enlace de desconexión esté establecido en POST.

      configuración adicional

  6. Seleccione Next (Siguiente).
  7. En la página Asignar atributos:
    • En Formato NameId solicitado, seleccione Email address.
    • Para Atributo de usuario de proveedor de identidad: seleccione el ID de nombre de afirmación de SAML.
    • Para Atributo de usuario de dominio de identidad: seleccione la dirección de correo electrónico principal.
  8. Seleccione Next (Siguiente).
  9. Revise y seleccione Crear IDP.
  10. En la página Qué es lo siguiente, seleccione Activar y, a continuación, seleccione Agregar a política IdP.
  11. Seleccione Política de proveedor de identidad por defecto para abrirla y, a continuación, seleccione el menú Acciones (tres puntos) para la regla y seleccione Editar regla IdP.
  12. Seleccione en Asignar proveedores de identidad y, a continuación, seleccione Okta para agregarlo a la lista.
  13. Seleccione Guardar cambios.
  14. Descargue el certificado SP:
    • En la consola de OCI del dominio en el que está trabajando, seleccione Seguridad y, a continuación, Proveedores de identidades.
    • Seleccione Okta.
    • En la página IdP de Okta, seleccione Metadatos de proveedor de servicios.
    • Seleccione Download (Descargar) junto al certificado de firma del proveedor de servicios para descargar el certificado de firma del SP y guardarlo.
4. Configurar Okta
  1. En la consola de Okta, seleccione Application y, a continuación, seleccione la nueva aplicación OCI IAM.
  2. Vaya al separador Inicio de sesión y seleccione Editar.
  3. Seleccione Activar Desconexión Única.
  4. Examine el certificado que ha descargado de la consola de OCI IAM en el paso anterior y seleccione Cargar.
  5. Desplácese hacia abajo hasta Configuración de inicio de sesión avanzado.
  6. Introduzca lo siguiente:
  7. Seleccione Guardar.
  8. Vaya al separador Asignaciones y asigne los usuarios a los que desea tener acceso a esta aplicación.
  9. Seleccione Next (Siguiente).
5. Probar inicio de sesión único

  1. Introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de Cloud, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Seleccione el dominio para el que ha configurado Okta IdP.
  5. En la página de conexión, seleccione el icono de Okta.
  6. Introduzca sus credenciales de Okta. Se ha conectado a la consola de OCI.
Siguiente paso

¡Enhorabuena! Ha configurado correctamente una conexión única entre Okta y OCI IAM de dos formas diferentes.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: