Documentation sur Oracle Cloud Infrastructure

Gestion du cycle de vie des identités entre OCI et Okta

Dans ce tutoriel, vous allez configurer la gestion du cycle de vie des utilisateurs entre Okta et OCI IAM, où Okta agit en tant que magasin d'identités faisant autorité.

Ce tutoriel de 30 minutes vous explique comment provisionner des utilisateurs et des groupes d'Okta vers le service IAM pour OCI.

  1. Créez une application confidentielle dans le service IAM pour OCI.
  2. Obtenez l'URL du domaine d'identité et générez un jeton de clé secrète.
  3. Créez une application dans Okta.
  4. Mettez à jour les paramètres d'Okta.
  5. Testez le fonctionnement du provisionnement entre OCI IAM et Okta.
  6. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Arrêtez aux utilisateurs d'obtenir des courriels d'avis lorsque leur compte est créé ou mis à jour.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ces tutoriels, vous devez disposer des éléments suivants :

Vous collectez les informations supplémentaires dont vous avez besoin à partir des étapes du tutoriel :

  • URL du domaine IAM OCI.
  • L'ID client IAM OCI et la clé secrète client.
1. Créer une application confidentielle dans OCI

Créez une application confidentielle dans le service IAM pour OCI et activez-la.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  4. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  5. Sélectionnez le domaine d'identité dans lequel configurer le provisionnement Okta et sélectionnez Applications.
  6. Sélectionnez Ajouter une application, puis Application confidentielle, puis Lancer le flux de travail.

    Application confidentielle

  7. Entrez un nom pour l'application confidentielle, par exemple OktaClient. Sélectionnez Suivant.
  8. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
  9. Sous Autorisation, sélectionnez Données d'identification du client.

    Configurer l'application en tant que client

  10. Faites défiler l'affichage jusqu'en bas et sélectionnez Ajouter des rôles d'application.
  11. Sous Rôles d'application, sélectionnez Ajouter des rôles, et dans la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs et sélectionnez Ajouter.

    Ajouter des rôles d'application

  12. Sélectionnez Suivant, puis Terminer.
  13. Dans la page des détails de l'application, sélectionnez Activer et confirmez que vous souhaitez activer la nouvelle application.
2. Rechercher le GUID IAM OCI et générer un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion pour l'application Okta que vous créerez plus tard.

  1. Retournez à l'aperçu du domaine d'identité en sélectionnant le nom du domaine d'identité dans les chemins de navigation. Sélectionnez Copier à côté de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

    Le GUID IAM OCI fait partie de l'URL du domaine :

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Par exemple : idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Dans l'application confidentielle du service IAM pour OCI, sélectionnez OAuth configuration sous Ressources.
  3. Faites défiler l'affichage vers le bas et, sous Informations générales, notez l'ID client et la clé secrète client.
  4. Faites défiler l'affichage vers le bas et recherchez l'ID client et la clé secrète client sous Informations générales.
  5. Copiez l'ID client et stockez-le
  6. Sélectionnez Afficher la clé secrète et copiez la clé secrète et stockez-la.

    ID client et clé secrète client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton de clé secrète sous Windows et MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Dans MacOS, utilisez
    echo -n <clientID>:<clientsecret> | base64
    Le jeton de clé secrète est retourné. Par exemple 
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton de clé secrète.

3. Créer une application dans Okta

Créez une application dans Okta.

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe de votre organisation avec Okta.

  2. Dans le menu à gauche, sélectionnez Applications.

    Si vous avez déjà une application que vous avez créée lors de l'authentification unique avec OCI et Okta, vous pouvez l'utiliser. Sélectionnez pour l'ouvrir et la modifier, puis allez à 5. Modifier les paramètres Okta.

  3. Sélectionnez Parcourir le catalogue d'applications et recherchez Oracle Cloud. Sélectionnez IAM pour Oracle Cloud Infrastructure dans les options disponibles.
  4. Sélectionnez Ajouter une intégration.
  5. Sous Paramètres généraux, entrez un nom pour l'application, par exemple OCI IAM, et sélectionnez Terminé.
5. Modifier les paramètres Okta

Connectez l'application Okta à l'application confidentielle IAM OCI à l'aide de l'URL de domaine et du jeton de clé secrète d'une étape précédente.

  1. Dans la page de l'application nouvellement créée, sélectionnez l'onglet Connexion.
  2. Dans Paramètres, sélectionnez Modifier.
  3. Faites défiler l'affichage vers le bas jusqu'aux paramètres d'authentification avancée.
  4. Entrez l'URL du domaine dans le GUID IAM pour Oracle Cloud Infrastructure.
  5. Sélectionnez Enregistrer.
  6. En haut de la page, sélectionnez l'onglet Provisioning.
  7. Sélectionnez Configurer l'intégration d'API.
  8. Sélectionnez Activer l'intégration d'API.

    Activer l'intégration d'API

  9. Entrez la valeur du jeton de clé secrète que vous avez copiée précédemment dans le jeton d'API.

  10. Sélectionnez Tester les données d'identification d'API.

    Si vous obtenez un message d'erreur, vérifiez les valeurs que vous avez entrées et réessayez.

    Lorsque vous obtenez un message Oracle Cloud Infrastructure IAM was verified successfully!, Okta s'est connecté avec succès au point d'extrémité SCIM IAM pour OCI.

  11. Sélectionnez Enregistrer.

La page Provisionnement à l'application s'ouvre, où vous pouvez créer des utilisateurs, mettre à jour les attributs d'utilisateur et mapper les attributs entre OCI IAM et Okta.

6. Tester le provisionnement des utilisateurs et des groupes

Pour tester le provisionnement d'utilisateur et de groupe pour Okta :

  1. Dans l'application nouvellement créée, sélectionnez l'onglet Affectations.
  2. Sélectionnez Affecter et Affecter aux personnes.
  3. Recherchez l'utilisateur à provisionner d'Okta vers le service IAM pour OCI.

    Sélectionnez Affecter à côté de l'utilisateur.

  4. Sélectionnez Enregistrer, puis Retourner.
  5. Provisionnez maintenant les groupes Okta dans le service IAM pour OCI. Dans l'onglet Affectations, sélectionnez Affecter et Affecter à des groupes.
  6. Recherchez les groupes à provisionner dans le service IAM pour OCI. À côté du nom du groupe, sélectionnez Affecter.
  7. Sélectionnez Terminé.
  8. Connectez-vous maintenant à OCI :

    1. Ouvrez un navigateur pris en charge et entrez l'URL de la console OCI :

      https://cloud.oracle.com.

    2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
    3. Sélectionnez le domaine d'identité dans lequel Okta a été configuré.
  9. Sélectionnez Utilisateurs.
  10. L'utilisateur qui a été affecté à l'application IAM OCI dans Okta est maintenant présent dans OCI IAM.
  11. Sélectionnez Groupes.
  12. Le groupe qui a été affecté à l'application IAM OCI dans Okta est maintenant présent dans OCI IAM.
7. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels d'avis envoyés à l'utilisateur lorsque son compte est créé ou mis à jour.
a. Définition du statut fédéré des utilisateurs

Les utilisateurs fédérés n'ont pas de données d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, réglez l'attribut fédéré à Vrai pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe de votre organisation avec Okta.

  2. Dans le menu à gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage vers le bas jusqu'à la section Attribute Mappings.
  5. Sélectionnez Aller à l'éditeur de profil.
  6. Sous Attributs, sélectionnez Ajouter des attributs.
  7. Dans la page Add Attribute (Ajouter un attribut) :
    • Pour Type de données, sélectionnez Boolean.
    • Pour Nom d'affichage, entrez isFederatedUser.
    • Pour Nom de la variable, entrez isFederatedUser.
      Note

      Le nom externe est automatiquement alimenté par la valeur du nom de la variable.
    • Pour Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, vérifiez User personal.

    Page Ajouter un attribut

  8. Retournez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  9. Sélectionnez Provisionnement.
  10. Faites défiler vers le bas jusqu'à Mappage d'attributs et sélectionnez Afficher les attributs non mappés.
  11. Localisez l'attribut isFederatedUser et sélectionnez le bouton Modifier à côté de celui-ci.
  12. Dans la page d'attribut :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la zone ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    attributs, page

  13. Sélectionnez Enregistrer.

    Valeurs d'attribut affichant la fédération

Maintenant, lorsque les utilisateurs sont provisionnés d'Okta à OCI, leur statut fédéré est réglé à Vrai. Vous pouvez le voir dans la page de profil de l'utilisateur dans OCI.

  • Dans la console OCI, naviguez jusqu'au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré est affiché comme Yes.

    Informations sur l'utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les avis pour la création ou la mise à jour de compte

L'indicateur Ignorer l'avis contrôle si un avis par courriel est envoyé après la création ou la mise à jour d'un compte d'utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient avisés que le compte a été créé pour eux, réglez l'indicateur d'avis de contournement à Vrai.

Pour définir l'indicateur d'avis de contournement :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe de votre organisation avec Okta.

  2. Dans le menu à gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage vers le bas jusqu'à la section Attribute Mappings.
  5. Sous Attributs, sélectionnez Ajouter des attributs.
  6. Dans la page Add Attribute (Ajouter un attribut) :
    • Pour Type de données, sélectionnez Boolean.
    • Pour Nom d'affichage, entrez bypassNotification.
    • Pour Nom de la variable, entrez bypassNotification.
      Note

      Le nom externe est automatiquement alimenté par la valeur du nom de la variable.
    • Pour Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, vérifiez User personal.

    ajout d'attributs, page

  7. Retournez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  8. Sélectionnez Provisionnement.
  9. Faites défiler vers le bas jusqu'à Mappage d'attributs et sélectionnez Afficher les attributs non mappés.
  10. Localisez l'attribut bypassNotification et sélectionnez le bouton Modifier à côté de celui-ci.
  11. Dans la page d'attribut :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la zone ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    attributs, page

  12. Sélectionnez Enregistrer.

    Valeurs d'attribut affichant l'avis de contournement

Étape suivante

Félicitations! Vous avez configuré la gestion du cycle de vie des utilisateurs entre Okta et OCI.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :