Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Automatiser l'appartenance à un groupe de domaines Oracle Cloud Infrastructure Identity and Access Management avec des groupes de messages poussés Okta

Présentation

Dans le monde réel, il peut y avoir des scénarios où les clients peuvent avoir Okta comme fournisseur d'identités d'entreprise (IdP), mais les utilisateurs ont également besoin d'accéder aux services hébergés par Oracle Cloud Infrastructure (OCI). Dans de tels scénarios, nous recommandons de configurer la fédération pour automatiser le provisionnement automatique des utilisateurs et des groupes d'Okta vers les domaines d'identité afin d'améliorer la gestion du cycle de vie des utilisateurs.

Pour plus d'informations sur la configuration de la fédération et du provisionnement, voir Authentification unique avec OCI et Okta et Gestion du cycle de vie des identités entre OCI et Okta.

Pour gérer l'appartenance à des groupes dans Okta et Oracle Cloud Infrastructure (OCI), le groupe Push joue un rôle crucial. Examinons divers scénarios impliquant le provisionnement et la gestion des appartenances à des groupes à l'aide d'Okta Push Group.

Avantages

• Vous pouvez tirer parti des groupes dans Okta IdP et les pousser vers le domaine Oracle Cloud Infrastructure Identity and Access Management (OCI IAM).
• Vous pouvez également pousser plusieurs groupes en créant les règles et en les synchronisant avec le domaine IAM OCI.

Objectifs

• Automatisez l'appartenance au groupe de domaines Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) avec le groupe de messages poussés Okta.

Préalables

• UDS premium des applications Oracle pour les domaines IAM OCI.
• Compte d'administrateur pour le domaine IAM OCI.
• Okta en tant que IdP ajouté au domaine IAM OCI.
• Compte d'administrateur pour Okta.

Tâche 1 : Synchroniser l'appartenance au groupe vers les domaines IAM OCI

Lorsqu'un groupe n'existe pas dans les domaines IAM OCI, vous pouvez créer des groupes poussés par nom.

1. Sélectionnez le groupe Okta contenant des membres.

2. Sélectionnez Créer un groupe pour OCI.

Ce processus garantit que le groupe apparaît dans le domaine IAM OCI, mais qu'il ne contient pas de membres.

Ensuite, vous pouvez affecter des utilisateurs du groupe Okta à l'application sous Affectations.

Vous remarquerez que les utilisateurs que vous avez affectés sur Okta sont provisionnés dans le domaine IAM OCI et que l'appartenance au groupe est mise à jour.

Note : Quel que soit le nombre d'utilisateurs du groupe Okta côté Okta, les utilisateurs affectés à l'application seront affichés sous l'appartenance du groupe poussé sur le domaine IAM OCI. En outre, Okta recommande d'affecter le groupe à l'application lors de sa transmission par des groupes de poussée.

Ou

Dans le scénario où un groupe existe déjà dans le domaine IAM OCI, le processus pour assurer une synchronisation efficace du groupe comprend les étapes suivantes.

1. Identifiez le groupe Okta contenant les membres nécessaires.

2. Liez le groupe et sélectionnez le groupe préexistant dans les domaines IAM OCI.

Note : Lorsqu'un groupe portant le même nom se trouve dans les domaines IAM OCI, le système déplace de façon transparente les membres vers ce groupe existant. Inversement, si les noms de groupe ne correspondent pas, le groupe sélectionné sera automatiquement renommé pour s'aligner avec le nom de groupe Okta, ce qui maintient la cohérence entre les deux plates-formes.

En suivant ces directives, les organisations peuvent simplifier la gestion des appartenances à des groupes, en veillant à ce que les membres soient affectés avec précision tout en respectant les conventions d'attribution de nom dans le domaine IAM OCI et la plate-forme Okta.

Tâche 2 : Dissocier les groupes du provisionnement poussé

Lorsqu'un groupe est dissocié de la poussée à l'extrémité Okta, vous disposez de deux façons de dissocier efficacement le groupe.

1. Supprimer le groupe dans l'application cible (recommandé) : En supprimant le groupe dans l'application cible, vous le dissociez efficacement. Cette action supprimera le groupe dans le domaine IAM OCI tout en veillant à ce que les utilisateurs restent dans le domaine IAM OCI et restent à l'état actif. Si le lien Groupe poussé est de nouveau créé pour le même groupe, le groupe, ainsi que son appartenance, seront recréés sur le domaine IAM OCI.

2. Laisser le groupe dans l'application cible : Si vous choisissez de laisser le groupe dans l'application cible, le groupe sera également dissocié, mais le groupe restera dans le domaine IAM OCI avec son appartenance.

   

Lors de la création à nouveau du lien de groupe, vous verrez une correspondance trouvée avec le groupe sur le domaine IAM OCI. Ce processus rétablira le lien entre les groupes.

Points importants à noter

Lorsqu'un groupe lié est supprimé explicitement des domaines IAM OCI, certaines étapes doivent être effectuées.

1. Même après la suppression, le lien peut toujours apparaître dans Okta, mais le processus de poussée rencontrera une erreur indiquant que le groupe lié est manquant dans OCI IAM. Modifiez le groupe lié pour qu'il reprenne les appartenances à des groupes poussés.

2. La recréation du groupe portant le même nom sur le domaine IAM OCI ne reliera pas automatiquement le groupe Okta. La solution recommandée consiste à supprimer le lien sur Okta, puis à recréer le lien.

En outre, il existe une fonctionnalité utile pour les groupes de messages poussés appelée Groupes de messages poussés par règle. Voici comment cela fonctionne.

1. Vous pouvez créer une règle avec des conditions indiquant quand pousser des groupes d'Okta vers le domaine IAM OCI.

2. Les conditions peuvent être basées sur le nom ou la description du groupe, avec différents opérateurs disponibles pour les deux champs, tels que Commence par, Se termine par et Contient.

   

Étapes suivantes

Le fait de transmettre les groupes avec leur appartenance du domaine Okta au domaine IAM OCI vous aide à maintenir facilement l'accès à vos applications finales en affectant ces groupes aux applications. De plus, vous pouvez mettre à jour l'adhésion pour autoriser ou interdire l'accès aux applications finales en mettant simplement à jour l'adhésion sur Okta.

Confirmation

• Auteur - Sagar Takkar

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Titre et droits d'auteur

Automate OCI IAM Domain Group Membership with Okta Push Groups

G13463-01

August 2024

Copyright ©2024,

Oracle et/ou ses sociétés affiliées.