Documentation sur Oracle Cloud Infrastructure

Provisionnement juste à temps entre Okta et GIA pour OCI

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre la console OCI et Okta, en utilisant Okta comme fournisseur d'identités (IdP).

Vous pouvez configurer le provisionnement JIT de sorte que des identités puissent être créées dans le système cible au moment de la demande d'accès au système cible. Cela peut être plus facile à configurer que d'avoir tous les utilisateurs créés à l'avance.

Ce tutoriel présente les étapes suivantes :

  1. Configurer les attributs SAML envoyés par Okta.
  2. Configurez les attributs JIT dans le service IAM pour OCI.
  3. Testez le provisionnement JIT entre OCI IAM et Okta.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

En outre, vous devez avoir terminé le tutoriel Authentification unique avec OCI et Okta et avoir collecté l'ID objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par Okta

Dans le service IAM pour OCI, mettez à jour Okta IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez configuré Okta en tant que IdP.
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez Okta IdP.
  10. Sélectionnez Configure JIT.

    Page de configuration du fournisseur d'identités Okta dans IAM

  11. Dans la page Configure Just-in-time (JIT) Provisioning :
    • Sélectionnez Provisionnement JAT (Just-In-Time).
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Map User attributes :
    1. Laissez la première rangée pour NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut d'utilisateur IdP comme suit :
      • familyName: familyName
      • primaryEmailAddress: email
    4. Sélectionnez Ajouter une rangée et entrez : firstName.

      Pour l'attribut d'utilisateur du domaine d'identité, sélectionnez First name.

      Note

      Si vous avez configuré des attributs d'utilisateur supplémentaires à envoyer dans le cadre de l'assertion d'utilisateur à partir d'Okta, vous pouvez les mapper aux attributs d'utilisateur du domaine d'identité en ajoutant des rangées supplémentaires.
  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance à un groupe. Dans ce tutoriel, utilisez groups.
    Note

    Notez le nom de l'attribut d'appartenance au groupe, car vous l'utiliserez dans la section suivante.
  15. Sélectionnez Définir des mappages d'appartenance à des groupes explicites.
  16. Sous IdP, le nom du groupe correspond au nom du groupe de domaines d'identité, procédez de la façon suivante :
    • Dans IdP Nom du groupe, indiquez le nom du groupe dans Okta.
    • Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans le service IAM OCI auquel mapper le groupe Okta.

      Affecter des mappages de groupes

      Note

      Vous pouvez mapper des groupes supplémentaires en sélectionnant Ajouter une rangée.

      Ce diagramme présente les attributs configurés dans Okta à gauche et les attributs mappés dans OCI IAM à droite.

      Mappage des attributs de groupe entre Okta et OCI IAM

  17. Dans les règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation des appartenances au groupe : Fusionner avec les appartenances au groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignorer le groupe manquant

    définition des règles d'assignation

    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Sélectionnez enregistrer les modifications.
2. Configurer les attributs JIT pour OCI IAM

Dans Okta, mettez à jour la configuration de l'application IAM OCI pour envoyer les attributs d'utilisateur et le nom du groupe dans l'assertion SAML.

  1. Dans Okta, dans l'application d'entreprise que vous avez créée pour le service IAM pour OCI, sélectionnez l'onglet Connexion.
  2. Sélectionnez Modifier à côté de Paramètres.
  3. Sous Saml 2.0, sélectionnez > à côté de Attributs (facultatif).
  4. Entrez les valeurs suivantes :
    Nom Format de nom Valeur
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

    Attributs Okta

  5. Sous Regrouper les énoncés d'attribut, entrez cette valeur.
    Note

    Okta fournit un mécanisme de filtrage des groupes qui peuvent être envoyés dans l'assertion SAML. Le filtre comporte des options, notamment Starts with, Equals, Contains et Matches regex. Dans ce tutoriel, nous utilisons le filtre Contains, ce qui signifie qu'Okta envoie uniquement les groupes qui sont associés à l'utilisateur et qui contiennent la chaîne spécifiée. Dans cet exemple, nous avons spécifié Admin comme chaîne, de sorte que tous les groupes qui contiennent la chaîne Admin et qui sont associés à l'utilisateur sont envoyés dans l'assertion SAML.
    Nom Format de nom Filtre Valeur
    groups Unspecified Contains Admin

    Attributs de groupe Okta

  6. Sélectionnez Enregistrer.
3. Tester le provisionnement JIT entre Okta et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Okta et OCI IAM.
  1. Dans la console Okta, créez un nouvel utilisateur avec un ID courriel qui n'est pas présent dans le service IAM pour OCI.
  2. Affectez l'utilisateur aux groupes requis, par exemple Administrators and Admins.
  3. Déconnectez-vous d'Okta.
  4. Affectez l'utilisateur à l'application IAM OCI dans Okta.

    Utilisateur dans Okta

  5. Dans le navigateur, ouvrez la console OCI.
  6. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  7. Dans les options de connexion, sélectionnez Okta.
  8. Dans la page de connexion Okta, indiquez l'ID utilisateur nouvellement créé.
  9. Lors de l'authentification réussie à partir d'Okta :
    • Le compte d'utilisateur est créé dans le service IAM pour OCI.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  10. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres de l'utilisateur ou Mon profil, selon l'option que vous voyez. Vérifiez les propriétés d'utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés d'utilisateur dans OCI IAM

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre Okta et IAM.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :