Note:

Automatización de la pertenencia a grupos de dominios de Oracle Cloud Infrastructure Identity and Access Management con grupos push de Okta

Introducción

En el mundo real, puede haber escenarios en los que los clientes puedan tener Okta como proveedor de identidad corporativa (IdP), pero los usuarios también necesitan acceso a los servicios alojados en Oracle Cloud Infrastructure (OCI). En estos escenarios, recomendamos configurar la federación para automatizar los usuarios y agrupar el aprovisionamiento automático de Okta a los dominios de identidad para una mejor gestión del ciclo de vida de los usuarios.

Para obtener más información sobre la configuración de federación y aprovisionamiento, consulte SSO con OCI y Okta y Identity Lifecycle Management Between OCI and Okta.

Para gestionar las afiliaciones a grupos en Okta y Oracle Cloud Infrastructure (OCI), Push Group desempeña un papel crucial. Veamos varios escenarios que implican el aprovisionamiento y la gestión de afiliaciones a grupos mediante Okta Push Group.

Beneficios clave

Objetivos

Requisitos

Tarea 1: Sincronizar afiliación de grupo a dominios de OCI IAM

Cuando un grupo no existe en los dominios de OCI IAM, puede crear grupos de transferencia por nombre.

  1. Seleccione el grupo de Okta con miembros en él.

  2. Seleccione Crear grupo para OCI.

Este proceso garantiza que el grupo aparezca en el dominio de OCI IAM, pero no tenga miembros.

pushgroupbyname

A continuación, puede asignar usuarios del grupo de Okta a la aplicación en Asignaciones.

Observará que los usuarios asignados en Okta se aprovisionan en el dominio de OCI IAM y que se actualiza la pertenencia al grupo.

Nota: Independientemente del número de usuarios del grupo de Okta en el lado de Okta, los usuarios asignados a la aplicación se mostrarán como miembros del grupo transferido en el dominio de OCI IAM. Además, Okta recomienda asignar el grupo a la aplicación al transferirlo a través de grupos push.

O bien:

En el caso de que ya exista un grupo en el dominio de OCI IAM, el proceso para garantizar una sincronización de grupo eficaz implica los siguientes pasos.

  1. Identifique el grupo de Okta que contiene los miembros necesarios.

  2. Enlaza el grupo y selecciona el grupo preexistente en los dominios de OCI IAM.

Nota: Cuando se encuentra un grupo con el mismo nombre en los dominios de OCI IAM, el sistema moverá sin problemas los miembros a este grupo existente. Por el contrario, si los nombres de grupo no coinciden, se cambiará automáticamente el nombre del grupo seleccionado para que se alinee con el nombre del grupo de Okta, manteniendo así la coherencia entre las dos plataformas.

Al seguir estas directrices, las organizaciones pueden optimizar la gestión de las afiliaciones a grupos, garantizando que los miembros se asignen de forma precisa y respetando las convenciones de nomenclatura en el dominio de OCI IAM y la plataforma Okta.

Tarea 2: Disociación de grupos del aprovisionamiento push

Cuando un grupo se desvincula de la inserción en el extremo de Okta, tiene dos formas de desvincular el grupo de manera efectiva.

  1. Suprimir el grupo en la aplicación de destino (recomendado): al suprimir el grupo en la aplicación de destino, se desenlaza de forma efectiva. Esta acción suprimirá el grupo en el dominio de OCI IAM al tiempo que garantiza que los usuarios permanezcan en el dominio de OCI IAM y permanezcan en estado activo. Si se vuelve a crear el enlace de grupo push para el mismo grupo, el grupo, junto con su miembro, se volverá a crear en el dominio de OCI IAM.

  2. Dejar el grupo en la aplicación de destino: si opta por dejar el grupo en la aplicación de destino, también se desenlazará el grupo, pero el grupo se mantendrá en el dominio de OCI IAM junto con sus miembros.

    unlinkpushgroups

Al volver a crear el enlace de grupo, verá una coincidencia encontrada con el grupo en el dominio de OCI IAM. Este proceso restablecerá el vínculo entre los grupos.

Puntos importantes a tener en cuenta

Cuando se suprime explícitamente un grupo enlazado de los dominios de OCI IAM, se deben realizar determinados pasos.

  1. Incluso después de la supresión, el enlace puede seguir apareciendo en Okta, pero el proceso de transferencia detectará un error que indica Falta el grupo enlazado en OCI IAM. Cambie el grupo enlazado para reanudar la transferencia de afiliaciones a grupos.

  2. La nueva creación del grupo con el mismo nombre en el dominio de OCI IAM no volverá a enlazar automáticamente el grupo de Okta. La solución recomendada es suprimir el enlace en Okta y, a continuación, volver a crear el enlace.

Además, hay una función útil para los grupos push denominada Grupos push por regla. Así es como funciona.

  1. Puede crear una regla con condiciones sobre cuándo transferir grupos de Okta al dominio de OCI IAM.

  2. Las condiciones se pueden basar en el nombre del grupo o la descripción del grupo, con varios operadores disponibles para ambos campos, como Empieza por, Finaliza por y Contiene.

    pushbyrule

Pasos Siguientes

Transferir los grupos con su afiliación del dominio de Okta a OCI IAM le ayuda a mantener el acceso a sus aplicaciones finales fácilmente asignando esos grupos a las aplicaciones. Además, puede actualizar la afiliación para permitir o denegar el acceso a las aplicaciones finales simplemente actualizando la afiliación en Okta.

Confirmaciones

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visita education.oracle.com/learning-explorer para convertirte en un Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.