Acerca de la configuración de SAML y SCIM

Puede configurar un inicio de sesión federado entre un dominio de identidad y un proveedor de identidad externo para conectarse y acceder a los recursos de OCI mediante los inicios de sesión y las contraseñas existentes gestionados por el proveedor de identidad.

Configurar SAML en Okta

Configure Okta como IdP, con OCI Identity and Access Management como proveedor de servicios, lo que permite al usuario acceder a servicios y aplicaciones en OCI Identity and Access Management mediante credenciales de usuario autenticadas por Okta.

  1. En Okta, haga clic en Administrador.
  2. En el panel de la izquierda, haga clic en Aplicaciones y, a continuación, en Aplicaciones.
  3. En Aplicaciones, haga clic en Examinar catálogo de aplicaciones.
  4. En el campo de búsqueda, introduzca saml y, a continuación, seleccione Proveedor de servicios SAML.
  5. Haga clic en Agregar integración.
  6. En el campo Etiqueta de aplicación, introduzca Okta SAML Provider.
  7. Haga clic en Siguiente.
  8. En el campo Estado de retransmisión por defecto, introduzca https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
    1. En OCI, haga clic en el menú principal, a continuación, en Identidad y seguridad, Identidad y, por último, en Dominios.
    2. Observe el nombre de arrendamiento y el nombre de dominio.
    3. Sustituya yourtenancyname y yourdomainname según corresponda.

Configuración de SAML en OCI

Configure una configuración de SAML IdP en OCI, mediante las opciones de SAML configuradas en Okta.

Durante esta configuración, cambiará entre OCI y Okta con frecuencia.
  1. En la consola de OCI, haga clic en el menú principal, a continuación, en Identidad y seguridad, en la página Agregar proveedor de identidad SAML y, a continuación, seleccione Introducir metadatos de proveedor de identidad manualmente.
  2. En Okta, en la página Agregar proveedor de servicios SAML, en Detalles de metadatos, haga clic en Más detalles y, a continuación, junto a Conectar a URL, haga clic en Copiar.
  3. En OCI, en el campo URI de emisor de proveedor de identidad, introduzca el texto copiado.
  4. En Okta, en Métodos de conexión, haga clic en Ver instrucciones de configuración y, a continuación, en Conectar a su proveedor de servicios, copie el texto del URI de emisor de proveedor de identidad.
  5. En OCI, en cada campo URL de servicio de SSO, campo URL de solicitud de desconexión de proveedor de identidad y URL de respuesta de desconexión de proveedor de identidad, introduzca la URL de conexión que ha retenido de Okta.
  6. En Enlace de desconexión, seleccione POST.
  7. Enable Send signing certificate with SAML message.
  8. Haga clic en Siguiente.
  9. En la lista desplegable Formato NameID solicitado, seleccione Dirección de correo electrónico.
  10. Haga clic en Crear IdP.
  11. En la página Exportar, junto a URL de servicio de consumidor de afirmación, haga clic en Copiar.
  12. En Okta, en el campo URL de servicio de consumidor de afirmación, introduzca el texto copiado.
  13. En OCI, en la página Exportar, junto a Identificador de proveedor, haga clic en Copiar.
  14. En Okta, en el campo ID de entidad de proveedor de servicios, introduzca el texto copiado.
  15. Haga clic enListo.
  16. En la página Proveedor de SAML de Okta, haga clic en Asignar y, a continuación, en Asignar a personas.
  17. Haga clic en Asignar junto al nombre de cada persona asignada, proporcione un nombre de usuario y, a continuación, haga clic en Guardar y volver.
  18. Haga clic enListo.
  19. En OCI, haga clic en Siguiente.
  20. (Opcional) Haga clic en Probar conexión.
  21. Haga clic en Siguiente.
  22. Haga clic en Activar.
  23. Haga clic en Finalizar.
  24. En Seguridad, haga clic en IdP policy.
  25. Haga clic en Política de proveedor de identidad por defecto.
  26. En la fila Regla de IDP por defecto, haga clic en los tres puntos y, a continuación, haga clic en Editar regla IdP.
  27. En Asignar proveedor de identidad, haga clic y seleccione Okta-SAML-Setup.
  28. Haga clic en Guardar cambios.
  29. Vuelva a la página Políticas IdP y, a continuación, haga clic en Políticas de conexión.
  30. Haga clic en Política de conexión por defecto.
  31. En la fila Regla de conexión por defecto, haga clic en los tres puntos y, a continuación, haga clic en Editar regla de conexión y, a continuación, haga clic en Continuar.
  32. En Asignar proveedor de identidad, haga clic y seleccione Okta-SAML-Setup.
  33. Haga clic en Guardar cambios.
  34. Conéctese a su arrendamiento de Oracle Cloud mediante la opción Okta-SAML-Setup.
  35. Inicie sesión en Okta.
  36. En la pantalla de verificación, seleccione Obtener una notificación push.

Aprovisionar SCIM

Utilice el proceso de aprovisionamiento de SCIM para configurar SSO para gestionar las identidades de usuario en la nube. OCI Identity and Access Management soporta la gestión del ciclo de vida del usuario entre Okta y OCI Identity and Access Management.

  1. En Okta, haga clic en Administrador.
  2. En el panel de la izquierda, haga clic en Aplicaciones y, a continuación, en Aplicaciones.
  3. Haga clic en Crear integración de aplicación.
  4. Seleccione SAML 2.0 y, a continuación, haga clic en Siguiente.
  5. En el campo Nombre de aplicación, introduzca OCI OKTA SCIM Integration y, a continuación, haga clic en Siguiente.
  6. En OCI, haga clic en el menú, en Identidad y seguridad y, a continuación, en Dominios.
  7. En la página Dominios, haga clic en Valor por defecto.
  8. En el panel izquierdo, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  9. En la fila Okta-SAML-Setup, haga clic en los tres puntos y, a continuación, en Editar IdP.
  10. En Detalles de exportación, en la fila URL de servicio de consumo de afirmación, haga clic en Copiar.
  11. En Okta, en el campo URL de conexión sinle, introduzca el texto copiado.
  12. En OCI, en Detalles de exportación, en la fila ID de proveedor, haga clic en Copiar.
  13. En Okta, en el campo URI de público (ID de entidad de SP), introduzca el texto copiado.
  14. En el campo RelayState por defecto, introduzca https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
  15. Haga clic en Siguiente.
  16. Además de ¿Es usted cliente o socio?, seleccione Soy proveedor de software... y, a continuación, haga clic en Terminar.
  17. Hacer clic en el separador General.
  18. En Configuración de aplicación, haga clic en Editar.
  19. Además de Aprovisionamiento, seleccione SCIM y, a continuación, haga clic en Guardar.
  20. Haga clic en el separador Provisionamiento.
  21. En Conexión de SCIM, haga clic en Editar.
  22. Introduzca la URL del dominio:
    1. En OCI, vaya a Dominios y, a continuación, haga clic en Valor por defecto.
    2. En la URL de dominio, haga clic en Mostrar y, a continuación, copie la URL.
    3. En Okta, en el campo URL base del conector de SCIM, introduzca la URL copiada.
    4. Sustituya la formación :433 por /admin/v1.
  23. En el campo Identificador único de los usuarios, introduzca su nombre de usuario.
  24. Además de Acciones de aprovisionamiento soportadas, seleccione:
    • Importar nuevos usuarios y actualizaciones de perfil
    • Insertar nuevos usuarios
    • Insertar actualizaciones de perfil
    • Grupos push
  25. En la lista desplegable Modo de autenticación, seleccione Cabecera HTTP.
  26. Introduzca el token de autorización:
    1. En OCI, vaya a Dominios y, a continuación, haga clic en Valor por defecto.
    2. Haga clic en Aplicaciones integradas y, a continuación, en Agregar aplicación.
    3. Seleccione Aplicación confidencial y, a continuación, haga clic en Iniciar flujo de trabajo.
    4. En el campo Nombre, introduzca Okta-SCIM-OCI.
    5. En Autenticación y autorización, active Aplicar permisos como autorización y, a continuación, haga clic en Siguiente.
    6. En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
    7. En Autorización, active Credenciales de cliente.
    8. En la parte inferior, active Agregar roles de aplicaciones y, a continuación, haga clic en Agregar roles.
    9. Active Administrador de usuarios, haga clic en Agregar, Siguiente y, a continuación, en Terminar.
    10. Haga clic en Activar y, a continuación, en Activar aplicación.
    11. En Información general, copie el ID de cliente.
    12. Abra un codificador Base64, introduzca el ID de cliente y agregue dos puntos al final.
    13. En Información general, en Secreto de cliente, haga clic en Mostrar secreto y, a continuación, haga clic en Copiar.
    14. En el codificador Base64, agregue el secreto de cliente al final.
    15. Ejecute el codificador y, a continuación, copie el texto codificado.
    16. En Okta, en Cabecera HTTP, en el campo Autenticación, introduzca el texto codificado.
    17. (Opcional) Haga clic en Probar Configuración de Conector.
    18. Haga clic en Guardar.
  27. En Aprovisionamiento a aplicación, haga clic en Editar.
  28. Activar:
    • Crear Usuarios
    • Actualizar atributos de usuario
    • Desactivar usuario
  29. Haga clic en Guardar.
  30. Haga clic en el separador Asignaciones, amplíe la lista desplegable Asignar y, a continuación, haga clic en Asignar a personas, configure la asignación y, a continuación, haga clic en Listo.
    El nuevo usuario debe aparecer en la lista Usuarios del dominio por defecto en OCI.

Configuración de OCI SAML IdP

Utilice las opciones de configuración de Okta para actualizar la configuración de SAML IdP.

  1. En la consola de OCI, en IdP proveedores de identidad de SAML, seleccione el SAML IdP creado anteriormente (por ejemplo, Okta).
  2. Haga clic en el menú de acción (tres puntos) y, a continuación, haga clic en Editar IdP.
  3. Copie y pegue el emisor para actualizar el URI de emisor de proveedor de identidad.
  4. Copie y pegue la URL de conexión para actualizar la URL de solicitud de desconexión del proveedor de identidad y la URL de respuesta de desconexión del proveedor de identidad y la URL del servicio SSO.
  5. En Certificado de firma, cargue el certificado de firma descargado anteriormente.
  6. Haga clic en Guardar.
  7. Haga clic en el menú de acción (tres puntos) y, a continuación, haga clic en Activar.
Esto debe configurar el aprovisionamiento de SCIM. A partir de aquí, debe ser posible el aprovisionamiento y la federación de usuarios a través de Okta.

Resolver error de grupo push de SCIM

Resuelva el error del grupo de inserción de SCIM si lo encuentra.

Tendrá que desactivar y suprimir la configuración de SCIM anterior como parte de esta corrección.

  1. En Okta, haga clic en Aplicaciones > Aplicaciones > Examinar catálogo de aplicaciones.
  2. Busque y seleccione Oracle Identity Cloud Service.
  3. Haga clic en Agregar integración.
  4. En el campo Subdominio, introduzca cualquier elemento (por ejemplo, idcs-a1b2c3d4).
  5. Haga clic enListo.
  6. Haga clic en el separador Aprovisionamiento y, a continuación, en Configurar integración de API.
  7. Haga clic en Activar integración de API.
  8. En el campo URL base, introduzca la URL de dominio guardada:
    1. En OCI, vaya a Identidad > Dominios.
    2. Haga clic en Valor por defecto.
    3. Amplíe el campo URL de dominio y haga clic en Copiar.
    4. En Okta, péguelo en el campo URL base y, a continuación, agregue: /admin/v1
  9. Suprimir la aplicación existente.
    1. En OCI, vaya a Identidad > Dominios > Dominio por defecto > Aplicaciones integradas.
    2. Haga clic en el menú (tres puntos) de la aplicación > Desactivar > Desactivar aplicación.
    3. Haga clic de nuevo en el menú > Suprimir > Suprimir aplicación.
  10. Crear una nueva aplicación.
    1. Haga clic en Agregar aplicación > Aplicación confidencial > Iniciar flujo de trabajo.
    2. En el campo Nombre, introduzca Okta_IDCS y, a continuación, haga clic en Siguiente.
    3. Haga clic en Configuración de cliente.
    4. Active las credenciales de cliente.
    5. Active Agregar roles de aplicación.
    6. Haga clic en Agregar Roles.
    7. Active Administrador de usuarios y, a continuación, haga clic en Agregar.
    8. Haga clic en Siguiente y, a continuación, en Terminar.
    9. En la página de la aplicación, haga clic en Activar > Activar aplicación.
  11. Genere un token.
    1. En la página de la aplicación, en Información general, copie el ID de cliente.
    2. Pegue el ID de cliente en el campo de entrada de un generador de tokens base64.
    3. En la página de la aplicación, en Información general, haga clic en Mostrar secreto y, a continuación, en Copiar.
    4. Agregue el secreto al ID de cliente y, a continuación, codifique y copie el token de API.
    5. En Okta, en el campo Token de API, pegue el token de API.
    6. Haga clic en Probar credenciales de API y, a continuación, (si se realiza correctamente) haga clic en Guardar.
  12. Complete el aprovisionamiento.
    1. En Okta, en el separador Aprovisionamiento, junto a Aprovisionamiento a aplicación, haga clic en Editar.
    2. Active Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios y, a continuación, haga clic en Guardar.
  13. Cree un grupo de prueba.
    1. En Okta, haga clic en el separador Grupos push.
    2. Haga clic en Grupos push > Buscar grupos por nombre.
    3. En el campo Por nombre, introduzca test_group y, a continuación, haga clic en Guardar.
  14. Asigne el grupo de exámenes.
    1. En Okta, haga clic en el separador Asignaciones.
    2. Haga clic en Asignar > Asignar a personas.
    3. En Test_user_SCIM_Prov, haga clic en Asignar.
    4. Haga clic en Listo > Guardar y volver > Listo.
    5. Haga clic en el separador Grupos push.
    6. En Estado de push, defina la lista desplegable en Transferir ahora.
    7. En OCI, deben aparecer el refrescamiento y el grupo de prueba.