Documentation sur Oracle Cloud Infrastructure

Provisionnement juste à temps entre Okta et GIA pour OCI

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre la console OCI et Okta, à l'aide d'Okta en tant que fournisseur d'identités (IdP).

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible au moment où elles font une demande d'accès au système cible. Cela peut être plus facile à configurer que d'avoir tous les utilisateurs créés à l'avance.

Ce tutoriel traite des étapes suivantes :

  1. Configurer les attributs SAML envoyés par Okta.
  2. Configurer les attributs JIT dans OCI IAM.
  3. Tester le provisionnement JIT entre l'OCI IAM et Okta.
Note

Ce tutoriel est propre au service IAM avec domaines d'identité.
Avant de commencer

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

En outre, vous devez avoir terminé le tutoriel Authentification unique avec OCI et Okta et avoir collecté l'ID objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par Okta

Dans OCI IAM, mettez à jour Okta IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez configuré Okta en tant que IdP.
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez Okta IdP.
  10. Sélectionnez Configure JIT.

    Page de configuration du fournisseur d'identités Okta dans IAM

  11. Dans la page Configure Just-in-time (JIT) provisioning :
    • Sélectionnez Provisionnement JIT.
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Mapper les attributs d'utilisateur :
    1. Laissez la première rangée de NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom d'attribut d'utilisateur IdP comme suit :
      • familyName: familyName
      • primaryEmailAddress: email
    4. Sélectionnez Ajouter une rangée et entrez : firstName.

      Pour l'attribut d'utilisateur du domaine d'identité, sélectionnez First name.

      Note

      Si vous avez configuré des attributs d'utilisateur supplémentaires à envoyer dans le cadre de l'assertion d'utilisateur à partir d'Okta, vous pouvez les mapper aux attributs d'utilisateur du domaine d'identité en ajoutant des rangées supplémentaires.
  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance à un groupe. Dans ce tutoriel, utilisez groups.
    Note

    Notez le nom de l'attribut d'appartenance au groupe, car vous l'utiliserez dans la section suivante.
  15. Sélectionnez Définir des mappages explicites à des appartenances à des groupes.
  16. Sous IdP le nom du groupe est mappé au nom du groupe de domaines d'identité, procédez de la façon suivante :
    • Dans Nom du groupe IdP, indiquez le nom du groupe dans Okta.
    • Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM auquel mapper le groupe Okta.

      Affecter des mappages de groupes

      Note

      Vous pouvez mapper des groupes supplémentaires en sélectionnant Ajouter une rangée.

      Ce diagramme présente les attributs configurés dans Okta à gauche et les attributs mappés dans OCI IAM à droite.

      Mappage des attributs de groupe entre Okta et OCI IAM

  17. Sous Assignment rules (Règles d'affectation), sélectionnez les éléments suivants :
    1. Lors de l'affectation des appartenances au groupe : Fusionner avec les appartenances au groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignorer le groupe manquant

    définition des règles d'assignation

    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Sélectionnez Enregistrer les modifications.
2. Configurer les attributs JIT pour OCI IAM

Dans Okta, mettez à jour la configuration de l'application OCI IAM pour envoyer les attributs d'utilisateur et le nom du groupe dans l'assertion SAML.

  1. Dans Okta, dans l'application d'entreprise que vous avez créée pour OCI IAM, sélectionnez l'onglet Connexion.
  2. Sélectionnez Modifier à côté de Paramètres.
  3. Sous Saml 2.0, sélectionnez > à côté de Attributs (Facultatif).
  4. Indiquez les valeurs suivantes :
    Nom Format de nom Valeur
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Vous pouvez ajouter des attributs supplémentaires en fonction des besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

    Attributs Okta

  5. Sous Relevés d'attributs de groupe, entrez ces valeurs.
    Note

    Okta fournit un mécanisme pour filtrer les groupes qui peuvent être envoyés dans l'assertion SAML. Le filtre comporte des options telles que Starts with, Equals, Contains et Matches regex. Dans ce tutoriel, nous utilisons le filtre Contains, ce qui signifie qu'Okta envoie uniquement les groupes qui sont associés à l'utilisateur et qui contiennent la chaîne spécifiée. Dans cet exemple, nous avons spécifié Admin comme chaîne, de sorte que tous les groupes qui contiennent la chaîne Admin et sont associés à l'utilisateur sont envoyés dans l'assertion SAML.
    Nom Format de nom Filtre Valeur
    groups Unspecified Contains Admin

    Attributs de groupe Okta

  6. Sélectionnez enregistrer.
3. Tester le provisionnement JIT entre Okta et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Okta et OCI IAM.
  1. Dans la console Okta, créez un utilisateur avec un ID courriel qui n'est pas présent dans OCI IAM.
  2. Affectez l'utilisateur aux groupes requis, par exemple Administrators and Admins.
  3. Déconnectez-vous d'Okta.
  4. Affectez l'utilisateur à l'application OCI IAM dans Okta.

    Utilisateur dans Okta

  5. Dans le navigateur, ouvrez la console OCI.
  6. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  7. Dans les options de connexion, sélectionnez Okta.
  8. Dans la page de connexion à Okta, indiquez l'ID utilisateur nouvellement créé.
  9. Une fois l'authentification réussie à partir d'Okta :
    • Le compte d'utilisateur est créé dans l'OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  10. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres de l'utilisateur. Vérifiez les propriétés d'utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés d'utilisateur dans OCI IAM

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre Okta et IAM.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :