À propos de la configuration SAML et SCIM

Vous pouvez configurer une connexion fédérée entre un domaine d'identité et un fournisseur d'identités externe pour vous connecter et accéder aux ressources OCI à l'aide des connexions et des mots de passe gérés par le fournisseur d'identités.

Configurer SAML dans Okta

Configurez Okta en tant que IdP, avec Gestion des identités et des accès OCI en tant que fournisseur de services, ce qui permet aux utilisateurs d'accéder aux services et aux applications dans Gestion des identités et des accès OCI à l'aide de données d'identification d'utilisateur authentifiées par Okta.

  1. Dans Okta, cliquez sur Admin.
  2. Dans le volet gauche, cliquez sur Applications, puis sur Applications.
  3. Sous Applications, cliquez sur Parcourir le catalogue d'applications.
  4. Dans le champ de recherche, entrez saml, puis sélectionnez Fournisseur de services SAML.
  5. Cliquez sur Ajouter une intégration.
  6. Dans le champ Étiquette d'application, entrez Okta SAML Provider.
  7. Cliquez sur Suivant.
  8. Dans le champ État du relais par défaut, entrez https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
    1. Dans OCI, cliquez sur le menu principal, puis sur Identité et sécurité, puis sur Identité, puis sur Domaines.
    2. Notez le nom de la location et le nom de domaine.
    3. Remplacez yourtenancyname et yourdomainname, le cas échéant.

Configurer SAML dans OCI

Configurez une configuration SAML IdP dans OCI, à l'aide des options SAML configurées dans Okta.

Vous basculerez fréquemment entre OCI et Okta lors de cette configuration.
  1. Dans la console OCI, cliquez sur le menu principal, puis sur Identité et sécurité, puis sur la page Ajouter un fournisseur d'identités SAML, puis sélectionnez Entrer les métadonnées du fournisseur d'identités manuellement.
  2. Dans Okta, dans la page Ajouter un fournisseur de services SAML, sous Détails des métadonnées, cliquez sur Plus de détails, puis, à côté de Se connecter à l'URL, cliquez sur Copier.
  3. Dans OCI, dans le champ URI de l'émetteur du fournisseur d'identités, entrez le texte copié.
  4. Dans Okta, sous Méthodes d'authentification, cliquez sur Voir les instructions de configuration, puis sous Se connecter à votre fournisseur de services, copiez le texte de l'URI de l'émetteur du fournisseur d'identités.
  5. Dans OCI, dans chaque champ URL du service d'authentification unique, Champ d'URL de demande de déconnexion du fournisseur d'identités et URL de réponse de déconnexion du fournisseur d'identités, entrez l'URL de connexion que vous avez conservée à partir d'Okta.
  6. Sous Liaison de déconnexion, sélectionnez POST.
  7. Activer envoyer le certificat de signature avec le message SAML.
  8. Cliquez sur Suivant.
  9. Dans la liste déroulante Format NameID demandé, sélectionnez Adresse de courriel.
  10. Cliquez sur Créer un fournisseur d'identités.
  11. Dans la page Exporter, à côté de URL du service consommateur d'assertion, cliquez sur Copier.
  12. Dans Okta, dans le champ URL du service de consommateur d'assertion, entrez le texte copié.
  13. Dans OCI, dans la page Exporter, à côté de ID fournisseur, cliquez sur Copier.
  14. Dans Okta, dans le champ ID entité du fournisseur de services, entrez le texte copié.
  15. Cliquez sur Terminé.
  16. Dans la page Fournisseur SAML Okta, cliquez sur Affecter, puis sur Affecter aux personnes.
  17. Cliquez sur Affecter à côté du nom de chaque exécutant, indiquez un nom d'utilisateur, puis cliquez sur Enregistrer et revenir en arrière.
  18. Cliquez sur Terminé.
  19. Dans OCI, cliquez sur Suivant.
  20. (Facultatif) Cliquez sur Tester la connexion.
  21. Cliquez sur Suivant.
  22. Cliquez sur Activer.
  23. Cliquez sur Terminer.
  24. Sous Sécurité, cliquez sur Politiques IdP.
  25. Cliquez sur Politique de fournisseur d'identités par défaut.
  26. Dans la rangée Règle de fournisseur d'identités par défaut, cliquez sur les trois points, puis cliquez sur Modifier la règle IdP.
  27. Sous Affecter un fournisseur d'identités, cliquez et sélectionnez Okta-SAML-Setup.
  28. Cliquez sur Enregistrer les modifications.
  29. Retournez à la page Politiques IdP, puis cliquez sur Politiques d'authentification.
  30. Cliquez sur Politique d'authentification par défaut.
  31. Dans la rangée Règle d'authentification par défaut, cliquez sur les trois points, puis sur Modifier la règle d'authentification, puis sur Continuer.
  32. Sous Affecter un fournisseur d'identités, cliquez et sélectionnez Okta-SAML-Setup.
  33. Cliquez sur Enregistrer les modifications.
  34. Connectez-vous à votre location Oracle Cloud à l'aide de l'option Okta-SAML-Setup.
  35. Connectez-vous à Okta.
  36. Dans l'écran de vérification, sélectionnez Obtenir un avis poussé.

Provisionner SCIM

Utilisez le processus de provisionnement SCIM pour configurer l'authentification unique afin de gérer les identités des utilisateurs dans le nuage. Le service de gestion des identités et des accès pour OCI prend en charge la gestion du cycle de vie des utilisateurs entre Okta et le service de gestion des identités et des accès pour OCI.

  1. Dans Okta, cliquez sur Admin.
  2. Dans le volet gauche, cliquez sur Applications, puis sur Applications.
  3. Cliquez sur Créer une intégration d'application.
  4. Sélectionnez SAML 2.0, puis cliquez sur Suivant.
  5. Dans le champ Nom de l'application, entrez OCI OKTA SCIM Integration, puis cliquez sur Suivant.
  6. Dans OCI, cliquez sur le menu, puis sur Identité et sécurité, puis sur Domaines.
  7. Dans la page Domaines, cliquez sur Par défaut.
  8. Dans le volet de gauche, cliquez sur Sécurité, puis sur Fournisseurs d'identités.
  9. Dans la rangée Okta-SAML-Setup, cliquez sur les trois points, puis sur Modifier IdP.
  10. Sous Détails de l'exportation, dans la rangée URL du service de consommation d'assertion, cliquez sur Copier.
  11. Dans Okta, dans le champ URL d'authentification unique, entrez le texte copié.
  12. Dans OCI, sous Détails de l'exportation, dans la rangée ID fournisseur, cliquez sur Copier.
  13. Dans Okta, dans le champ URI du public (ID entité SP), entrez le texte copié.
  14. Dans le champ RelayState par défaut, entrez https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
  15. Cliquez sur Suivant.
  16. À côté de Êtes-vous un client ou un partenaire?, sélectionnez Je suis un fournisseur de logiciels..., puis cliquez sur Terminer.
  17. Cliquez sur l'onglet Général.
  18. À côté de Paramètres de l'application, cliquez sur Modifier.
  19. À côté de Provisionnement, sélectionnez SCIM, puis cliquez sur Enregistrer.
  20. Cliquez sur l'onglet Provisionnement.
  21. À côté de Connexion SCIM, cliquez sur Modifier.
  22. Entrez l'URL du domaine :
    1. Dans OCI, naviguez jusqu'à Domaines, puis cliquez sur Par défaut.
    2. À côté de URL de domaine, cliquez sur Afficher, puis copiez l'URL.
    3. Dans Okta, dans le champ URL de base du connecteur SCIM, entrez l'URL copiée.
    4. Remplacez la formation :433 par /admin/v1.
  23. Dans le champ Identificateur unique pour les utilisateurs, entrez votre nom d'utilisateur.
  24. À côté des actions de provisionnement prises en charge, sélectionnez :
    • Importer les nouveaux utilisateurs et les mises à jour de profil
    • Pousser de nouveaux utilisateurs
    • Pousser les mises à jour de profil
    • Groupes poussés
  25. Dans la liste déroulante Mode d'authentification, sélectionnez En-tête HTTP.
  26. Entrez le jeton d'autorisation :
    1. Dans OCI, naviguez jusqu'à Domaines, puis cliquez sur Par défaut.
    2. Cliquez sur Applications intégrées, puis sur Ajouter une application.
    3. Sélectionnez Application confidentielle, puis cliquez sur Lancer le flux de travail.
    4. Dans le champ Nom, entrez Okta-SCIM-OCI.
    5. Sous Authentification et autorisation, activez Appliquer les autorisations en tant qu'autorisation, puis cliquez sur Suivant.
    6. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
    7. Sous Autorisation, activez les données d'identification du client.
    8. À proximité du bas, activez Ajouter des rôles d'application, puis cliquez sur Ajouter des rôles.
    9. Activez Administrateur d'utilisateurs, puis cliquez sur Ajouter, puis sur Suivant, puis sur Terminer.
    10. Cliquez sur activer, puis activer l'application.
    11. Sous Informations générales, copiez l'ID client.
    12. Ouvrez un encodeur Base64, puis entrez l'ID client, puis ajoutez un deux-points à la fin.
    13. Sous Informations générales, sous Clé secrète client, cliquez sur Afficher la clé secrète, puis sur Copier.
    14. Dans l'encodeur Base64, ajoutez la clé secrète client à la fin.
    15. Exécutez l'encodeur, puis copiez le texte encodé.
    16. Dans Okta, sous En-tête HTTP, dans le champ Authentification, entrez le texte encodé.
    17. (Facultatif) Cliquez sur Tester la configuration du connecteur.
    18. Cliquez sur Enregistrer.
  27. À côté de Provisionnement vers l'application, cliquez sur Modifier.
  28. Activer :
    • Créer des utilisateurs
    • Mettre à jour les attributs d'utilisateur
    • Désactiver l'utilisateur
  29. Cliquez sur Enregistrer.
  30. Cliquez sur l'onglet Affectations, puis développez la liste déroulante Affecter, puis cliquez sur Affecter aux personnes, configurez l'affectation, puis cliquez sur Terminé.
    Le nouvel utilisateur doit apparaître dans la liste Utilisateurs du domaine par défaut dans OCI.

Configurer OCI SAML IdP

Utilisez les options de configuration Okta pour mettre à jour la configuration SAML IdP.

  1. Dans la console OCI, sous IdP Fournisseurs d'identités SAML, sélectionnez le SAML IdP créé précédemment (par exemple, Okta).
  2. Cliquez sur le menu d'actions (trois points), puis sur Modifier IdP.
  3. Copiez et collez l'émetteur pour mettre à jour l'URI de l'émetteur du fournisseur d'identités.
  4. Copiez et collez l'URL de connexion pour mettre à jour l'URL de la demande de déconnexion du fournisseur d'identités, l'URL de la réponse de déconnexion du fournisseur d'identités et l'URL du service d'authentification unique.
  5. Sous Certificat de signature, chargez le certificat de signature précédemment téléchargé.
  6. Cliquez sur Enregistrer.
  7. Cliquez sur le menu d'actions (trois points), puis sur Activer.
Cela devrait configurer votre provisionnement SCIM. À partir de là, le provisionnement et la fédération des utilisateurs via Okta devraient être possibles.

Résoudre l'erreur du groupe de messages poussés SCIM

Résolvez l'erreur de groupe de poussée SCIM, si vous la rencontrez.

Vous devrez désactiver et supprimer la configuration SCIM précédente dans le cadre de ce correctif.

  1. Dans Okta, cliquez sur Applications > Applications > Parcourir le catalogue d'applications.
  2. Recherchez et sélectionnez Oracle Identity Cloud Service.
  3. Cliquez sur Ajouter une intégration.
  4. Dans le champ Sous-domaine, entrez n'importe quoi (par exemple, idcs-a1b2c3d4).
  5. Cliquez sur Terminé.
  6. Cliquez sur l'onglet Provisionnement, puis sur Configurer l'intégration d'API.
  7. Cliquez sur Activer l'intégration d'API.
  8. Dans le champ URL de base, entrez l'URL du domaine enregistré :
    1. Dans OCI, allez à Identité > Domaines.
    2. Cliquez sur Par défaut.
    3. Développez le champ URL de domaine, puis cliquez sur Copier.
    4. Dans Okta, collez-la dans le champ URL de base, puis ajoutez : /admin/v1
  9. Supprimez l'application existante.
    1. Dans OCI, allez à Identité > Domaines > Domaine par défaut > Applications intégrées.
    2. Cliquez sur le menu (trois points) de l'application > Désactiver > Désactiver l'application.
    3. Cliquez de nouveau sur le menu > Supprimer > Supprimer l'application.
  10. Créer une application.
    1. Cliquez sur Ajouter une application > Application confidentielle > Lancer le flux de travail.
    2. Dans le champ Name (Nom), entrez Okta_IDCS, puis cliquez sur Next (Suivant).
    3. Cliquez sur Configuration du client.
    4. Activez Données d'identification du client.
    5. Activez Ajouter des rôles d'application.
    6. Cliquez sur Ajouter des rôles.
    7. Activez Administrateur des utilisateurs, puis cliquez sur Ajouter.
    8. Cliquez sur Suivant, puis sur Terminer.
    9. Dans la page de l'application, cliquez sur Activer > Activer l'application.
  11. Générer un jeton.
    1. Dans la page de l'application, sous Informations générales, copiez l'ID client.
    2. Collez l'ID client dans le champ d'entrée d'un générateur de jeton base64.
    3. Dans la page de l'application, sous Informations générales, cliquez sur Afficher la clé secrète, puis sur Copier.
    4. Ajoutez la clé secrète à l'ID client, puis encodez et copiez le jeton d'API.
    5. Dans Okta, dans le champ Jeton d'API, collez le jeton d'API.
    6. Cliquez sur Tester les données d'identification d'API, puis (en cas de réussite) cliquez sur Enregistrer.
  12. Terminez le provisionnement.
    1. Dans Okta, dans l'onglet Provisionnement, à côté de Provisionnement vers l'application, cliquez sur Modifier.
    2. Activez Créer des utilisateurs, Mettre à jour les attributs d'utilisateur et Désactiver les utilisateurs, puis cliquez sur Enregistrer.
  13. Créez un groupe de tests.
    1. Dans Okta, cliquez sur l'onglet Groupes de messages poussés.
    2. Cliquez sur Groupes poussés > Rechercher des groupes par nom.
    3. Dans le champ Par nom, entrez test_group, puis cliquez sur Enregistrer.
  14. Affectez le groupe d'examens.
    1. Dans Okta, cliquez sur l'onglet Affectations.
    2. Cliquez sur Affecter > Affecter à des personnes.
    3. À côté de Test_user_SCIM_Prov, cliquez sur Affecter.
    4. Cliquez sur Terminé > Enregistrer et revenir en arrière > Terminé.
    5. Cliquez sur l'onglet Groupes de messages poussés.
    6. Sous Statut de poussée, réglez la liste déroulante à Pousser maintenant.
    7. Dans OCI, actualisez et le groupe de tests doit apparaître.