À propos de la configuration SAML et SCIM
Vous pouvez configurer une connexion fédérée entre un domaine d'identité et un fournisseur d'identités externe pour vous connecter et accéder aux ressources OCI à l'aide des connexions et des mots de passe gérés par le fournisseur d'identités.
Configurer SAML dans Okta
Configurez Okta en tant que IdP, avec Gestion des identités et des accès OCI en tant que fournisseur de services, ce qui permet aux utilisateurs d'accéder aux services et aux applications dans Gestion des identités et des accès OCI à l'aide de données d'identification d'utilisateur authentifiées par Okta.
- Dans Okta, cliquez sur Admin.
- Dans le volet gauche, cliquez sur Applications, puis sur Applications.
- Sous Applications, cliquez sur Parcourir le catalogue d'applications.
- Dans le champ de recherche, entrez
saml
, puis sélectionnez Fournisseur de services SAML. - Cliquez sur Ajouter une intégration.
- Dans le champ Étiquette d'application, entrez
Okta SAML Provider
. - Cliquez sur Suivant.
- Dans le champ État du relais par défaut, entrez
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
.- Dans OCI, cliquez sur le menu principal, puis sur Identité et sécurité, puis sur Identité, puis sur Domaines.
- Notez le nom de la location et le nom de domaine.
- Remplacez
yourtenancyname
etyourdomainname
, le cas échéant.
Configurer SAML dans OCI
Configurez une configuration SAML IdP dans OCI, à l'aide des options SAML configurées dans Okta.
- Dans la console OCI, cliquez sur le menu principal, puis sur Identité et sécurité, puis sur la page Ajouter un fournisseur d'identités SAML, puis sélectionnez Entrer les métadonnées du fournisseur d'identités manuellement.
- Dans Okta, dans la page Ajouter un fournisseur de services SAML, sous Détails des métadonnées, cliquez sur Plus de détails, puis, à côté de Se connecter à l'URL, cliquez sur Copier.
- Dans OCI, dans le champ URI de l'émetteur du fournisseur d'identités, entrez le texte copié.
- Dans Okta, sous Méthodes d'authentification, cliquez sur Voir les instructions de configuration, puis sous Se connecter à votre fournisseur de services, copiez le texte de l'URI de l'émetteur du fournisseur d'identités.
- Dans OCI, dans chaque champ URL du service d'authentification unique, Champ d'URL de demande de déconnexion du fournisseur d'identités et URL de réponse de déconnexion du fournisseur d'identités, entrez l'URL de connexion que vous avez conservée à partir d'Okta.
- Sous Liaison de déconnexion, sélectionnez POST.
- Activer envoyer le certificat de signature avec le message SAML.
- Cliquez sur Suivant.
- Dans la liste déroulante Format NameID demandé, sélectionnez Adresse de courriel.
- Cliquez sur Créer un fournisseur d'identités.
- Dans la page Exporter, à côté de URL du service consommateur d'assertion, cliquez sur Copier.
- Dans Okta, dans le champ URL du service de consommateur d'assertion, entrez le texte copié.
- Dans OCI, dans la page Exporter, à côté de ID fournisseur, cliquez sur Copier.
- Dans Okta, dans le champ ID entité du fournisseur de services, entrez le texte copié.
- Cliquez sur Terminé.
- Dans la page Fournisseur SAML Okta, cliquez sur Affecter, puis sur Affecter aux personnes.
- Cliquez sur Affecter à côté du nom de chaque exécutant, indiquez un nom d'utilisateur, puis cliquez sur Enregistrer et revenir en arrière.
- Cliquez sur Terminé.
- Dans OCI, cliquez sur Suivant.
- (Facultatif) Cliquez sur Tester la connexion.
- Cliquez sur Suivant.
- Cliquez sur Activer.
- Cliquez sur Terminer.
- Sous Sécurité, cliquez sur Politiques IdP.
- Cliquez sur Politique de fournisseur d'identités par défaut.
- Dans la rangée Règle de fournisseur d'identités par défaut, cliquez sur les trois points, puis cliquez sur Modifier la règle IdP.
- Sous Affecter un fournisseur d'identités, cliquez et sélectionnez Okta-SAML-Setup.
- Cliquez sur Enregistrer les modifications.
- Retournez à la page Politiques IdP, puis cliquez sur Politiques d'authentification.
- Cliquez sur Politique d'authentification par défaut.
- Dans la rangée Règle d'authentification par défaut, cliquez sur les trois points, puis sur Modifier la règle d'authentification, puis sur Continuer.
- Sous Affecter un fournisseur d'identités, cliquez et sélectionnez Okta-SAML-Setup.
- Cliquez sur Enregistrer les modifications.
- Connectez-vous à votre location Oracle Cloud à l'aide de l'option Okta-SAML-Setup.
- Connectez-vous à Okta.
- Dans l'écran de vérification, sélectionnez Obtenir un avis poussé.
Provisionner SCIM
Utilisez le processus de provisionnement SCIM pour configurer l'authentification unique afin de gérer les identités des utilisateurs dans le nuage. Le service de gestion des identités et des accès pour OCI prend en charge la gestion du cycle de vie des utilisateurs entre Okta et le service de gestion des identités et des accès pour OCI.
Configurer OCI SAML IdP
Utilisez les options de configuration Okta pour mettre à jour la configuration SAML IdP.
- Dans la console OCI, sous IdP Fournisseurs d'identités SAML, sélectionnez le SAML IdP créé précédemment (par exemple, Okta).
- Cliquez sur le menu d'actions (trois points), puis sur Modifier IdP.
- Copiez et collez l'émetteur pour mettre à jour l'URI de l'émetteur du fournisseur d'identités.
- Copiez et collez l'URL de connexion pour mettre à jour l'URL de la demande de déconnexion du fournisseur d'identités, l'URL de la réponse de déconnexion du fournisseur d'identités et l'URL du service d'authentification unique.
- Sous Certificat de signature, chargez le certificat de signature précédemment téléchargé.
- Cliquez sur Enregistrer.
- Cliquez sur le menu d'actions (trois points), puis sur Activer.
Résoudre l'erreur du groupe de messages poussés SCIM
Vous devrez désactiver et supprimer la configuration SCIM précédente dans le cadre de ce correctif.
- Dans Okta, cliquez sur Applications > Applications > Parcourir le catalogue d'applications.
- Recherchez et sélectionnez Oracle Identity Cloud Service.
- Cliquez sur Ajouter une intégration.
- Dans le champ Sous-domaine, entrez n'importe quoi (par exemple, idcs-a1b2c3d4).
- Cliquez sur Terminé.
- Cliquez sur l'onglet Provisionnement, puis sur Configurer l'intégration d'API.
- Cliquez sur Activer l'intégration d'API.
- Dans le champ URL de base, entrez l'URL du domaine enregistré :
- Dans OCI, allez à Identité > Domaines.
- Cliquez sur Par défaut.
- Développez le champ URL de domaine, puis cliquez sur Copier.
- Dans Okta, collez-la dans le champ URL de base, puis ajoutez : /admin/v1
- Supprimez l'application existante.
- Dans OCI, allez à Identité > Domaines > Domaine par défaut > Applications intégrées.
- Cliquez sur le menu (trois points) de l'application > Désactiver > Désactiver l'application.
- Cliquez de nouveau sur le menu > Supprimer > Supprimer l'application.
- Créer une application.
- Cliquez sur Ajouter une application > Application confidentielle > Lancer le flux de travail.
- Dans le champ Name (Nom), entrez Okta_IDCS, puis cliquez sur Next (Suivant).
- Cliquez sur Configuration du client.
- Activez Données d'identification du client.
- Activez Ajouter des rôles d'application.
- Cliquez sur Ajouter des rôles.
- Activez Administrateur des utilisateurs, puis cliquez sur Ajouter.
- Cliquez sur Suivant, puis sur Terminer.
- Dans la page de l'application, cliquez sur Activer > Activer l'application.
- Générer un jeton.
- Dans la page de l'application, sous Informations générales, copiez l'ID client.
- Collez l'ID client dans le champ d'entrée d'un générateur de jeton base64.
- Dans la page de l'application, sous Informations générales, cliquez sur Afficher la clé secrète, puis sur Copier.
- Ajoutez la clé secrète à l'ID client, puis encodez et copiez le jeton d'API.
- Dans Okta, dans le champ Jeton d'API, collez le jeton d'API.
- Cliquez sur Tester les données d'identification d'API, puis (en cas de réussite) cliquez sur Enregistrer.
- Terminez le provisionnement.
- Dans Okta, dans l'onglet Provisionnement, à côté de Provisionnement vers l'application, cliquez sur Modifier.
- Activez Créer des utilisateurs, Mettre à jour les attributs d'utilisateur et Désactiver les utilisateurs, puis cliquez sur Enregistrer.
- Créez un groupe de tests.
- Dans Okta, cliquez sur l'onglet Groupes de messages poussés.
- Cliquez sur Groupes poussés > Rechercher des groupes par nom.
- Dans le champ Par nom, entrez test_group, puis cliquez sur Enregistrer.
- Affectez le groupe d'examens.
- Dans Okta, cliquez sur l'onglet Affectations.
- Cliquez sur Affecter > Affecter à des personnes.
- À côté de Test_user_SCIM_Prov, cliquez sur Affecter.
- Cliquez sur Terminé > Enregistrer et revenir en arrière > Terminé.
- Cliquez sur l'onglet Groupes de messages poussés.
- Sous Statut de poussée, réglez la liste déroulante à Pousser maintenant.
- Dans OCI, actualisez et le groupe de tests doit apparaître.