Documentation sur Oracle Cloud Infrastructure

Gestion du cycle de vie des identités entre OCI et Okta

Dans ce tutoriel, vous apprendrez à configurer la gestion du cycle de vie des utilisateurs entre Okta et OCI IAM, où Okta agit comme magasin d'identités faisant autorité.

Ce tutoriel de 30 minutes explique comment provisionner des utilisateurs et des groupes d'Okta vers OCI IAM.

  1. Créer une application confidentielle dans l'OCI IAM.
  2. Obtenez l'URL du domaine d'identité et générez un jeton de clé secrète.
  3. Créez une application dans Okta.
  4. Mettre à jour les paramètres d'Okta.
  5. Tester que le provisionnement fonctionne entre OCI IAM et Okta.
  6. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Empêcher les utilisateurs d'obtenir des courriels d'avis lorsque leur compte est créé ou mis à jour.
Note

Ce tutoriel est propre au service IAM avec domaines d'identité.
Avant de commencer

Pour suivre ces tutoriels, vous devez disposer des éléments suivants :

Vous collectez les informations supplémentaires dont vous avez besoin à partir des étapes du tutoriel :

  • URL du domaine OCI IAM.
  • L'ID client OCI IAM et la clé secrète client.
1. Créer une application confidentielle dans OCI

Créer une application confidentielle dans OCI IAM et l'activer.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  4. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  5. Sélectionnez le domaine d'identité dans lequel vous voulez configurer le provisionnement Okta et sélectionnez Applications.
  6. Select Add Application, and choose Confidential Application and select Launch workflow.

    Application confidentielle

  7. Entrez un nom pour l'application confidentielle, par exemple OktaClient. Sélectionnez Suivant.
  8. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
  9. Sous Autorisation, sélectionnez Données d'identification du client.

    Configurer l'application en tant que client

  10. Faites défiler l'affichage vers le bas et sélectionnez Ajouter des rôles d'application.
  11. Sous Rôles d'application, sélectionnez Ajouter des rôles et, dans la page Ajouter des rôles d'application, sélectionnez Administrateur d'utilisateur et sélectionnez Ajouter.

    Ajouter des rôles d'application

  12. Sélectionnez Suivant, puis Terminer.
  13. Dans la page des détails de l'application, sélectionnez Activer et confirmez que vous voulez activer la nouvelle application.
2. Rechercher le GUID OCI IAM et générer un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion pour l'application Okta que vous créez plus tard.

  1. Retournez à l'aperçu du domaine d'identité en sélectionnant le nom du domaine d'identité dans les chemins de navigation. Sélectionnez Copier à côté de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

    Le GUID OCI IAM fait partie de l'URL du domaine :

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Par exemple : idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Dans l'application confidentielle dans OCI IAM, sélectionnez Configuration OAuth sous Ressources.
  3. Faites défiler l'affichage vers le bas et, sous Informations générales, notez l'ID client et la clé secrète client.
  4. Faites défiler l'affichage vers le bas et recherchez l'ID client et la clé secrète client sous Informations générales.
  5. Copiez l'ID client et stockez-le
  6. Sélectionner Afficher la clé secrète et copier la clé secrète et la stocker.

    ID client et clé secrète client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret> , ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton de clé secrète sous Windows et MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Dans MacOS, utilisez
    echo -n <clientID>:<clientsecret> | base64
    Le jeton de clé secrète est retourné. Par exemple 
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton de clé secrète.

3. Créer une application dans Okta

Créez une application dans Okta.

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta de votre organisation.

  2. Dans le menu de gauche, sélectionnez Applications.

    Si vous avez déjà une application que vous avez créée lors de l'authentification unique avec OCI et Okta, vous pouvez l'utiliser. Sélectionnez pour l'ouvrir et la modifier, puis allez à 5. Modifier les paramètres Okta.

  3. Sélectionnez Parcourir le catalogue d'applications et recherchez Oracle Cloud. Sélectionnez Oracle Cloud Infrastructure IAM dans les options disponibles.
  4. Sélectionnez Ajouter une intégration.
  5. Sous Paramètres généraux, entrez un nom pour l'application, par exemple OCI IAM, et sélectionnez Terminé.
5. Modifier les paramètres Okta

Connectez l'application Okta à l'application confidentielle OCI IAM à l'aide de l'URL du domaine et du jeton de clé secrète d'une étape antérieure.

  1. Dans la page de l'application nouvellement créée, sélectionnez l'onglet Connexion.
  2. Dans Paramètres, sélectionnez Modifier.
  3. Faites défiler l'affichage vers le bas jusqu'à Advanced Sign-on Settings.
  4. Entrez l'URL du domaine dans le GUID IAM pour Oracle Cloud Infrastructure.
  5. Sélectionnez enregistrer.
  6. En haut de la page, sélectionnez l'onglet Provisioning.
  7. Sélectionnez Configurer l'intégration d'API.
  8. Sélectionnez Activer l'intégration d'API.

    Activer l'intégration d'API

  9. Entrez la valeur du jeton de clé secrète que vous avez copiée précédemment dans le jeton d'API.

  10. Sélectionnez Tester les données d'identification d'API.

    Si vous obtenez un message d'erreur, vérifiez les valeurs que vous avez entrées et réessayez.

    Lorsque vous obtenez un message Oracle Cloud Infrastructure IAM was verified successfully!, Okta s'est connecté au point d'extrémité SCIM IAM pour OCI.

  11. Sélectionnez enregistrer.

La page Provisionnement vers l'application s'ouvre, où vous pouvez créer des utilisateurs, mettre à jour des attributs d'utilisateur et mapper des attributs entre OCI IAM et Okta.

6. Tester le provisionnement des utilisateurs et des groupes

Pour tester le provisionnement des utilisateurs et des groupes pour Okta :

  1. Dans la nouvelle application, sélectionnez l'onglet Assignments (Affectations).
  2. Sélectionnez Affecter et sélectionnez Affecter à des personnes.
  3. Recherchez l'utilisateur à provisionner d'Okta vers OCI IAM.

    Sélectionnez Affecter à côté de l'utilisateur.

  4. Sélectionnez Enregistrer, puis Revenir en arrière.
  5. Provisionnez maintenant des groupes Okta dans OCI IAM. Dans l'onglet Affectations, sélectionnez Affecter et sélectionnez Affecter aux groupes.
  6. Recherchez les groupes à provisionner pour l'OCI IAM. À côté du nom du groupe, sélectionnez Affecter.
  7. Sélectionnez Terminé.
  8. Connectez-vous maintenant à OCI :

    1. Ouvrez un navigateur pris en charge et entrez l'URL de la console OCI :

      https://cloud.oracle.com .

    2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
    3. Sélectionnez le domaine d'identité dans lequel Okta a été configuré.
  9. Sélectionner des utilisateurs.
  10. L'utilisateur qui a été affecté à l'application OCI IAM dans Okta est maintenant présent dans OCI IAM.
  11. Sélectionner les groupes.
  12. Le groupe qui a été affecté à l'application OCI IAM dans Okta est maintenant présent dans OCI IAM.
7. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs pour qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels d'avis envoyés à l'utilisateur lorsque son compte est créé ou mis à jour.
a. Définition du statut fédéré des utilisateurs

Les utilisateurs fédérés n'ont pas de données d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, réglez l'attribut fédéré à Vrai pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta de votre organisation.

  2. Dans le menu de gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage jusqu'à la section Attribute Mappings.
  5. Sélectionnez Aller à l'éditeur de profil.
  6. Sous Attributs, sélectionnez Ajouter des attributs.
  7. Dans la page Add Attribute :
    • Pour Type de données, sélectionnez Boolean.
    • Pour Nom d'affichage, entrez isFederatedUser.
    • Pour Nom de la variable, entrez isFederatedUser.
      Note

      Le nom externe est automatiquement alimenté par la valeur du nom de la variable.
    • Pour Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, vérifiez User personal.

    Page Ajouter un attribut

  8. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  9. Sélectionnez Provisionnement.
  10. Faites défiler vers le bas jusqu'au mappage d'attributs et sélectionnez Afficher les attributs non mappés.
  11. Localisez l'attribut isFederatedUser et sélectionnez le bouton Modifier à côté de celui-ci.
  12. Dans la page d'attribut :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la case ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    attributs, page

  13. Sélectionnez enregistrer.

    Valeurs d'attribut affichant la fédération

Maintenant, lorsque les utilisateurs sont provisionnés d'Okta à OCI, leur statut fédéré est réglé à Vrai. Vous pouvez le voir dans la page de profil de l'utilisateur dans OCI.

  • Dans la console OCI, naviguez jusqu'au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré est affiché comme Yes.

    Informations sur l'utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les avis pour la création ou les mises à jour de compte

L'indicateur Ignorer l'avis contrôle si un avis par courriel est envoyé après la création ou la mise à jour d'un compte d'utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient avisés que le compte a été créé pour eux, réglez l'indicateur Ignorer l'avis à Vrai.

Pour définir l'indicateur d'avis de contournement :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta de votre organisation.

  2. Dans le menu de gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage jusqu'à la section Attribute Mappings.
  5. Sous Attributs, sélectionnez Ajouter des attributs.
  6. Dans la page Add Attribute :
    • Pour Type de données, sélectionnez Boolean.
    • Pour Nom d'affichage, entrez bypassNotification.
    • Pour Nom de la variable, entrez bypassNotification.
      Note

      Le nom externe est automatiquement alimenté par la valeur du nom de la variable.
    • Pour Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, vérifiez User personal.

    ajout d'attributs, page

  7. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  8. Sélectionnez Provisionnement.
  9. Faites défiler vers le bas jusqu'au mappage d'attributs et sélectionnez Afficher les attributs non mappés.
  10. Localisez l'attribut bypassNotification et sélectionnez le bouton Modifier à côté de celui-ci.
  11. Dans la page d'attribut :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la case ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    attributs, page

  12. Sélectionnez enregistrer.

    Valeurs d'attribut affichant l'avis de contournement

Étape suivante

Félicitations! Vous avez configuré la gestion du cycle de vie des utilisateurs entre Okta et OCI.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :