1. Utilizar la configuración de Okta del gobierno de OCI para la federación y el aprovisionamiento
  2. Acerca de la configuración de SAML y SCIM

Acerca de la configuración de SAML y SCIM

Puede configurar un inicio de sesión federado entre un dominio de identidad y un proveedor de identidad externo para conectarse y acceder a los recursos de OCI mediante los inicios de sesión y las contraseñas existentes gestionados por el proveedor de identidad.

Configurar SAML en Okta

Configure Okta como IdP, con OCI Identity and Access Management como proveedor de servicios, lo que permite al usuario acceder a servicios y aplicaciones en OCI Identity and Access Management mediante credenciales de usuario autenticadas por Okta.

  1. En Okta, haga clic en Administrador.
  2. En el panel de la izquierda, haga clic en Aplicaciones y, a continuación, en Aplicaciones.
  3. En Aplicaciones, haga clic en Examinar catálogo de aplicaciones.
  4. En el campo de búsqueda, introduzca saml y, a continuación, seleccione Proveedor de servicios SAML.
  5. Haga clic en Agregar integración.
  6. En el campo Etiqueta de aplicación, introduzca Okta SAML Provider.
  7. Haga clic en Siguiente.
  8. En el campo Estado de retransmisión por defecto, introduzca https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
    1. En OCI, haga clic en el menú principal, a continuación, en Identidad y seguridad, Identidad y, por último, en Dominios.
    2. Observe el nombre de arrendamiento y el nombre de dominio.
    3. Sustituya yourtenancyname y yourdomainname según corresponda.

Configuración de SAML en OCI

Configure una configuración de SAML IdP en OCI, mediante las opciones de SAML configuradas en Okta.

Durante esta configuración, cambiará entre OCI y Okta con frecuencia.
  1. En la consola de OCI, haga clic en el menú principal, a continuación, en Identidad y seguridad, en la página Agregar proveedor de identidad SAML y, a continuación, seleccione Introducir metadatos de proveedor de identidad manualmente.
  2. En Okta, en la página Agregar proveedor de servicios SAML, en Detalles de metadatos, haga clic en Más detalles y, a continuación, junto a Conectar a URL, haga clic en Copiar.
  3. En OCI, en el campo URI de emisor de proveedor de identidad, introduzca el texto copiado.
  4. En Okta, en Métodos de conexión, haga clic en Ver instrucciones de configuración y, a continuación, en Conectar a su proveedor de servicios, copie el texto del URI de emisor de proveedor de identidad.
  5. En OCI, en cada campo URL de servicio de SSO, campo URL de solicitud de desconexión de proveedor de identidad y URL de respuesta de desconexión de proveedor de identidad, introduzca la URL de conexión que ha retenido de Okta.
  6. En Enlace de desconexión, seleccione POST.
  7. Enable Send signing certificate with SAML message.
  8. Haga clic en Siguiente.
  9. En la lista desplegable Formato NameID solicitado, seleccione Dirección de correo electrónico.
  10. Haga clic en Crear IdP.
  11. En la página Exportar, junto a URL de servicio de consumidor de afirmación, haga clic en Copiar.
  12. En Okta, en el campo URL de servicio de consumidor de afirmación, introduzca el texto copiado.
  13. En OCI, en la página Exportar, junto a Identificador de proveedor, haga clic en Copiar.
  14. En Okta, en el campo ID de entidad de proveedor de servicios, introduzca el texto copiado.
  15. Haga clic enListo.
  16. En la página Proveedor de SAML de Okta, haga clic en Asignar y, a continuación, en Asignar a personas.
  17. Haga clic en Asignar junto al nombre de cada persona asignada, proporcione un nombre de usuario y, a continuación, haga clic en Guardar y volver.
  18. Haga clic enListo.
  19. En OCI, haga clic en Siguiente.
  20. (Opcional) Haga clic en Probar conexión.
  21. Haga clic en Siguiente.
  22. Haga clic en Activar.
  23. Haga clic en Finalizar.
  24. En Seguridad, haga clic en IdP policy.
  25. Haga clic en Política de proveedor de identidad por defecto.
  26. En la fila Regla de IDP por defecto, haga clic en los tres puntos y, a continuación, haga clic en Editar regla IdP.
  27. En Asignar proveedor de identidad, haga clic y seleccione Okta-SAML-Setup.
  28. Haga clic en Guardar cambios.
  29. Vuelva a la página Políticas IdP y, a continuación, haga clic en Políticas de conexión.
  30. Haga clic en Política de conexión por defecto.
  31. En la fila Regla de conexión por defecto, haga clic en los tres puntos y, a continuación, haga clic en Editar regla de conexión y, a continuación, haga clic en Continuar.
  32. En Asignar proveedor de identidad, haga clic y seleccione Okta-SAML-Setup.
  33. Haga clic en Guardar cambios.
  34. Conéctese a su arrendamiento de Oracle Cloud mediante la opción Okta-SAML-Setup.
  35. Inicie sesión en Okta.
  36. En la pantalla de verificación, seleccione Obtener una notificación push.

Aprovisionar SCIM

Utilice el proceso de aprovisionamiento de SCIM para configurar SSO para gestionar las identidades de usuario en la nube. OCI Identity and Access Management soporta la gestión del ciclo de vida del usuario entre Okta y OCI Identity and Access Management.

  1. En Okta, haga clic en Administrador.
  2. En el panel de la izquierda, haga clic en Aplicaciones y, a continuación, en Aplicaciones.
  3. Haga clic en Crear integración de aplicación.
  4. Seleccione SAML 2.0 y, a continuación, haga clic en Siguiente.
  5. En el campo Nombre de aplicación, introduzca OCI OKTA SCIM Integration y, a continuación, haga clic en Siguiente.
  6. En OCI, haga clic en el menú, en Identidad y seguridad y, a continuación, en Dominios.
  7. En la página Dominios, haga clic en Valor por defecto.
  8. En el panel izquierdo, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  9. En la fila Okta-SAML-Setup, haga clic en los tres puntos y, a continuación, en Editar IdP.
  10. En Detalles de exportación, en la fila URL de servicio de consumo de afirmación, haga clic en Copiar.
  11. En Okta, en el campo URL de conexión sinle, introduzca el texto copiado.
  12. En OCI, en Detalles de exportación, en la fila ID de proveedor, haga clic en Copiar.
  13. En Okta, en el campo URI de público (ID de entidad de SP), introduzca el texto copiado.
  14. En el campo RelayState por defecto, introduzca https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
  15. Haga clic en Siguiente.
  16. Además de ¿Es usted cliente o socio?, seleccione Soy proveedor de software... y, a continuación, haga clic en Terminar.
  17. Hacer clic en el separador General.
  18. En Configuración de aplicación, haga clic en Editar.
  19. Además de Aprovisionamiento, seleccione SCIM y, a continuación, haga clic en Guardar.
  20. Haga clic en el separador Provisionamiento.
  21. En Conexión de SCIM, haga clic en Editar.
  22. Introduzca la URL del dominio:
    1. En OCI, vaya a Dominios y, a continuación, haga clic en Valor por defecto.
    2. En la URL de dominio, haga clic en Mostrar y, a continuación, copie la URL.
    3. En Okta, en el campo URL base del conector de SCIM, introduzca la URL copiada.
    4. Sustituya la formación :433 por /admin/v1.
  23. En el campo Identificador único de los usuarios, introduzca su nombre de usuario.
  24. Además de Acciones de aprovisionamiento soportadas, seleccione:
    • Importar nuevos usuarios y actualizaciones de perfil
    • Insertar nuevos usuarios
    • Insertar actualizaciones de perfil
    • Grupos push
  25. En la lista desplegable Modo de autenticación, seleccione Cabecera HTTP.
  26. Introduzca el token de autorización:
    1. En OCI, vaya a Dominios y, a continuación, haga clic en Valor por defecto.
    2. Haga clic en Aplicaciones integradas y, a continuación, en Agregar aplicación.
    3. Seleccione Aplicación confidencial y, a continuación, haga clic en Iniciar flujo de trabajo.
    4. En el campo Nombre, introduzca Okta-SCIM-OCI.
    5. En Autenticación y autorización, active Aplicar permisos como autorización y, a continuación, haga clic en Siguiente.
    6. En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
    7. En Autorización, active Credenciales de cliente.
    8. En la parte inferior, active Agregar roles de aplicaciones y, a continuación, haga clic en Agregar roles.
    9. Active Administrador de usuarios, haga clic en Agregar, Siguiente y, a continuación, en Terminar.
    10. Haga clic en Activar y, a continuación, en Activar aplicación.
    11. En Información general, copie el ID de cliente.
    12. Abra un codificador Base64, introduzca el ID de cliente y agregue dos puntos al final.
    13. En Información general, en Secreto de cliente, haga clic en Mostrar secreto y, a continuación, haga clic en Copiar.
    14. En el codificador Base64, agregue el secreto de cliente al final.
    15. Ejecute el codificador y, a continuación, copie el texto codificado.
    16. En Okta, en Cabecera HTTP, en el campo Autenticación, introduzca el texto codificado.
    17. (Opcional) Haga clic en Probar Configuración de Conector.
    18. Haga clic en Guardar.
  27. En Aprovisionamiento a aplicación, haga clic en Editar.
  28. Activar:
    • Crear Usuarios
    • Actualizar atributos de usuario
    • Desactivar usuario
  29. Haga clic en Guardar.
  30. Haga clic en el separador Asignaciones, amplíe la lista desplegable Asignar y, a continuación, haga clic en Asignar a personas, configure la asignación y, a continuación, haga clic en Listo.
    El nuevo usuario debe aparecer en la lista Usuarios del dominio por defecto en OCI.

Configuración de OCI SAML IdP

Utilice las opciones de configuración de Okta para actualizar la configuración de SAML IdP.

  1. En la consola de OCI, en IdP proveedores de identidad de SAML, seleccione el SAML IdP creado anteriormente (por ejemplo, Okta).
  2. Haga clic en el menú de acción (tres puntos) y, a continuación, haga clic en Editar IdP.
  3. Copie y pegue el emisor para actualizar el URI de emisor de proveedor de identidad.
  4. Copie y pegue la URL de conexión para actualizar la URL de solicitud de desconexión del proveedor de identidad y la URL de respuesta de desconexión del proveedor de identidad y la URL del servicio SSO.
  5. En Certificado de firma, cargue el certificado de firma descargado anteriormente.
  6. Haga clic en Guardar.
  7. Haga clic en el menú de acción (tres puntos) y, a continuación, haga clic en Activar.
Esto debe configurar el aprovisionamiento de SCIM. A partir de aquí, debe ser posible el aprovisionamiento y la federación de usuarios a través de Okta.