Acerca de la configuración de SAML y SCIM
Puede configurar un inicio de sesión federado entre un dominio de identidad y un proveedor de identidad externo para conectarse y acceder a los recursos de OCI mediante los inicios de sesión y las contraseñas existentes gestionados por el proveedor de identidad.
Configurar SAML en Okta
Configure Okta como IdP, con OCI Identity and Access Management como proveedor de servicios, lo que permite al usuario acceder a servicios y aplicaciones en OCI Identity and Access Management mediante credenciales de usuario autenticadas por Okta.
- En Okta, haga clic en Administrador.
- En el panel de la izquierda, haga clic en Aplicaciones y, a continuación, en Aplicaciones.
- En Aplicaciones, haga clic en Examinar catálogo de aplicaciones.
- En el campo de búsqueda, introduzca
saml
y, a continuación, seleccione Proveedor de servicios SAML. - Haga clic en Agregar integración.
- En el campo Etiqueta de aplicación, introduzca
Okta SAML Provider
. - Haga clic en Siguiente.
- En el campo Estado de retransmisión por defecto, introduzca
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
.- En OCI, haga clic en el menú principal, a continuación, en Identidad y seguridad, Identidad y, por último, en Dominios.
- Observe el nombre de arrendamiento y el nombre de dominio.
- Sustituya
yourtenancyname
yyourdomainname
según corresponda.
Configuración de SAML en OCI
Configure una configuración de SAML IdP en OCI, mediante las opciones de SAML configuradas en Okta.
- En la consola de OCI, haga clic en el menú principal, a continuación, en Identidad y seguridad, en la página Agregar proveedor de identidad SAML y, a continuación, seleccione Introducir metadatos de proveedor de identidad manualmente.
- En Okta, en la página Agregar proveedor de servicios SAML, en Detalles de metadatos, haga clic en Más detalles y, a continuación, junto a Conectar a URL, haga clic en Copiar.
- En OCI, en el campo URI de emisor de proveedor de identidad, introduzca el texto copiado.
- En Okta, en Métodos de conexión, haga clic en Ver instrucciones de configuración y, a continuación, en Conectar a su proveedor de servicios, copie el texto del URI de emisor de proveedor de identidad.
- En OCI, en cada campo URL de servicio de SSO, campo URL de solicitud de desconexión de proveedor de identidad y URL de respuesta de desconexión de proveedor de identidad, introduzca la URL de conexión que ha retenido de Okta.
- En Enlace de desconexión, seleccione POST.
- Enable Send signing certificate with SAML message.
- Haga clic en Siguiente.
- En la lista desplegable Formato NameID solicitado, seleccione Dirección de correo electrónico.
- Haga clic en Crear IdP.
- En la página Exportar, junto a URL de servicio de consumidor de afirmación, haga clic en Copiar.
- En Okta, en el campo URL de servicio de consumidor de afirmación, introduzca el texto copiado.
- En OCI, en la página Exportar, junto a Identificador de proveedor, haga clic en Copiar.
- En Okta, en el campo ID de entidad de proveedor de servicios, introduzca el texto copiado.
- Haga clic enListo.
- En la página Proveedor de SAML de Okta, haga clic en Asignar y, a continuación, en Asignar a personas.
- Haga clic en Asignar junto al nombre de cada persona asignada, proporcione un nombre de usuario y, a continuación, haga clic en Guardar y volver.
- Haga clic enListo.
- En OCI, haga clic en Siguiente.
- (Opcional) Haga clic en Probar conexión.
- Haga clic en Siguiente.
- Haga clic en Activar.
- Haga clic en Finalizar.
- En Seguridad, haga clic en IdP policy.
- Haga clic en Política de proveedor de identidad por defecto.
- En la fila Regla de IDP por defecto, haga clic en los tres puntos y, a continuación, haga clic en Editar regla IdP.
- En Asignar proveedor de identidad, haga clic y seleccione Okta-SAML-Setup.
- Haga clic en Guardar cambios.
- Vuelva a la página Políticas IdP y, a continuación, haga clic en Políticas de conexión.
- Haga clic en Política de conexión por defecto.
- En la fila Regla de conexión por defecto, haga clic en los tres puntos y, a continuación, haga clic en Editar regla de conexión y, a continuación, haga clic en Continuar.
- En Asignar proveedor de identidad, haga clic y seleccione Okta-SAML-Setup.
- Haga clic en Guardar cambios.
- Conéctese a su arrendamiento de Oracle Cloud mediante la opción Okta-SAML-Setup.
- Inicie sesión en Okta.
- En la pantalla de verificación, seleccione Obtener una notificación push.
Aprovisionar SCIM
Utilice el proceso de aprovisionamiento de SCIM para configurar SSO para gestionar las identidades de usuario en la nube. OCI Identity and Access Management soporta la gestión del ciclo de vida del usuario entre Okta y OCI Identity and Access Management.
Configuración de OCI SAML IdP
Utilice las opciones de configuración de Okta para actualizar la configuración de SAML IdP.
- En la consola de OCI, en IdP proveedores de identidad de SAML, seleccione el SAML IdP creado anteriormente (por ejemplo, Okta).
- Haga clic en el menú de acción (tres puntos) y, a continuación, haga clic en Editar IdP.
- Copie y pegue el emisor para actualizar el URI de emisor de proveedor de identidad.
- Copie y pegue la URL de conexión para actualizar la URL de solicitud de desconexión del proveedor de identidad y la URL de respuesta de desconexión del proveedor de identidad y la URL del servicio SSO.
- En Certificado de firma, cargue el certificado de firma descargado anteriormente.
- Haga clic en Guardar.
- Haga clic en el menú de acción (tres puntos) y, a continuación, haga clic en Activar.
Resolver error de grupo push de SCIM
Tendrá que desactivar y suprimir la configuración de SCIM anterior como parte de esta corrección.
- En Okta, haga clic en Aplicaciones > Aplicaciones > Examinar catálogo de aplicaciones.
- Busque y seleccione Oracle Identity Cloud Service.
- Haga clic en Agregar integración.
- En el campo Subdominio, introduzca cualquier elemento (por ejemplo, idcs-a1b2c3d4).
- Haga clic enListo.
- Haga clic en el separador Aprovisionamiento y, a continuación, en Configurar integración de API.
- Haga clic en Activar integración de API.
- En el campo URL base, introduzca la URL de dominio guardada:
- En OCI, vaya a Identidad > Dominios.
- Haga clic en Valor por defecto.
- Amplíe el campo URL de dominio y haga clic en Copiar.
- En Okta, péguelo en el campo URL base y, a continuación, agregue: /admin/v1
- Suprimir la aplicación existente.
- En OCI, vaya a Identidad > Dominios > Dominio por defecto > Aplicaciones integradas.
- Haga clic en el menú (tres puntos) de la aplicación > Desactivar > Desactivar aplicación.
- Haga clic de nuevo en el menú > Suprimir > Suprimir aplicación.
- Crear una nueva aplicación.
- Haga clic en Agregar aplicación > Aplicación confidencial > Iniciar flujo de trabajo.
- En el campo Nombre, introduzca Okta_IDCS y, a continuación, haga clic en Siguiente.
- Haga clic en Configuración de cliente.
- Active las credenciales de cliente.
- Active Agregar roles de aplicación.
- Haga clic en Agregar Roles.
- Active Administrador de usuarios y, a continuación, haga clic en Agregar.
- Haga clic en Siguiente y, a continuación, en Terminar.
- En la página de la aplicación, haga clic en Activar > Activar aplicación.
- Genere un token.
- En la página de la aplicación, en Información general, copie el ID de cliente.
- Pegue el ID de cliente en el campo de entrada de un generador de tokens base64.
- En la página de la aplicación, en Información general, haga clic en Mostrar secreto y, a continuación, en Copiar.
- Agregue el secreto al ID de cliente y, a continuación, codifique y copie el token de API.
- En Okta, en el campo Token de API, pegue el token de API.
- Haga clic en Probar credenciales de API y, a continuación, (si se realiza correctamente) haga clic en Guardar.
- Complete el aprovisionamiento.
- En Okta, en el separador Aprovisionamiento, junto a Aprovisionamiento a aplicación, haga clic en Editar.
- Active Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios y, a continuación, haga clic en Guardar.
- Cree un grupo de prueba.
- En Okta, haga clic en el separador Grupos push.
- Haga clic en Grupos push > Buscar grupos por nombre.
- En el campo Por nombre, introduzca test_group y, a continuación, haga clic en Guardar.
- Asigne el grupo de exámenes.
- En Okta, haga clic en el separador Asignaciones.
- Haga clic en Asignar > Asignar a personas.
- En Test_user_SCIM_Prov, haga clic en Asignar.
- Haga clic en Listo > Guardar y volver > Listo.
- Haga clic en el separador Grupos push.
- En Estado de push, defina la lista desplegable en Transferir ahora.
- En OCI, deben aparecer el refrescamiento y el grupo de prueba.