Documentation Oracle Cloud Infrastructure

Provisionnement JIT d'Okta vers OCI IAM

Dans ce tutoriel, vous configurez le provisionnement Juste à temps (JIT) entre la console OCI et Okta, en utilisant Okta en tant que fournisseur d'identités (IdP).

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible au moment où elles effectuent une demande d'accès au système cible. Cela peut être plus facile à configurer que de créer tous les utilisateurs à l'avance.

Ce tutoriel traite des étapes suivantes :

  1. Configurez les attributs SAML envoyés par Okta.
  2. Configurez des attributs JIT dans OCI IAM.
  3. Testez le provisionnement JIT entre OCI IAM et Okta.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Un compte Okta avec l'un des rôles Okta suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application

En outre, vous devez avoir terminé le tutoriel SSO avec OCI et Okta et collecté l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par Okta

Dans OCI IAM, mettez à jour Okta IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
  6. Sous Identité, cliquez sur Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez configuré Okta en tant que IdP.
  8. Cliquez sur Sécurité dans le menu de gauche, puis sur Fournisseurs d'identités.
  9. Cliquez sur Okta IdP.
  10. Cliquez sur Configure JIT.

    Page de configuration pour le fournisseur d'identités Okta dans IAM

  11. Dans la page Configure Just-in-time provisioning :
    • Sélectionnez Provisionnement ponctuel.
    • Sélectionnez Créer un utilisateur de domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer le provisionnement juste à temps

  12. Sous Map User attributes :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut utilisateur IdP comme suit :
      • familyName: familyName
      • primaryEmailAddress: email
    4. Cliquez sur Ajouter une ligne et saisissez : firstName.

      Pour l'attribut utilisateur de domaine d'identité, choisissez First name.

      Remarque

      Si vous avez configuré des attributs utilisateur supplémentaires à envoyer dans le cadre de l'assertion utilisateur à partir d'Okta, vous pouvez les mettre en correspondance avec des attributs utilisateur de domaine d'identité en ajoutant des lignes supplémentaires.
  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom d'attribut d'adhésion de groupe. Dans ce tutoriel, utilisez groups.
    Remarque

    Notez le nom de l'attribut d'appartenance à un groupe, car vous l'utiliserez dans la section suivante.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Sous IdP, le nom de groupe est mis en correspondance avec le nom de groupe de domaine d'identité, procédez comme suit :
    • Dans IdP Nom de groupe, indiquez le nom du groupe dans Okta.
    • Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM avec lequel mettre en correspondance le groupe Okta.

      Affecter des mappages de groupes

      Remarque

      Vous pouvez mettre en correspondance des groupes supplémentaires en cliquant sur Ajouter une ligne.

      Ce diagramme présente les attributs configurés dans Okta à gauche et ceux mis en correspondance dans OCI IAM à droite.

      Mise en correspondance des attributs de groupe entre Okta et OCI IAM

  17. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances de groupe : Fusionner avec des appartenances de groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignore the missing group

    définition des règles d'affectation

    Remarque

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Cliquez sur Enregistrer les modifications.
2. Configurer des attributs JIT pour OCI IAM

Dans Okta, mettez à jour la configuration de l'application OCI IAM pour envoyer les attributs utilisateur et le nom de groupe dans l'assertion SAML.

  1. Dans Okta, dans l'application d'entreprise que vous avez créée pour OCI IAM, sélectionnez l'onglet Connexion.
  2. Cliquez sur Modifier en regard de Paramètres.
  3. Sous Saml 2.0, cliquez sur > en regard de Attributs (facultatif).
  4. Indiquez les informations suivantes :
    Nom Format des noms Valeur
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

    Attributs Okta

  5. Sous Instructions d'attribut de groupe, entrez ces valeurs.
    Remarque

    Okta fournit un mécanisme de filtrage des groupes qui peuvent être envoyés dans l'assertion SAML. Le filtre comporte des options, notamment Starts with, Equals, Contains et Matches regex. Dans ce tutoriel, nous utilisons le filtre Contains, ce qui signifie qu'Okta envoie uniquement les groupes associés à l'utilisateur et qui contiennent la chaîne spécifiée. Dans cet exemple, nous avons indiqué Admin comme chaîne. Par conséquent, tous les groupes qui contiennent la chaîne Admin et sont associés à l'utilisateur sont envoyés dans l'assertion SAML.
    Nom Format des noms Filtre Valeur
    groups Unspecified Contains Admin

    Attributs de groupe Okta

  6. Cliquez sur Enregistrer.
3. Test du provisionnement JIT entre Okta et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Okta et OCI IAM.
  1. Dans la console Okta, créez un utilisateur avec un ID de courriel absent d'OCI IAM.
  2. Affectez l'utilisateur aux groupes requis, par exemple Administrators and Admins.
  3. Déconnectez-vous d'Okta.
  4. Affectez l'utilisateur à l'application OCI IAM dans Okta.

    Utilisateur dans Okta

  5. Dans le navigateur, ouvrez la console OCI.
  6. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  7. Dans les options de connexion, cliquez sur Okta.
  8. Sur la page de connexion Okta, indiquez l'ID utilisateur nouvellement créé.
  9. En cas de réussite de l'authentification à partir d'Okta :
    • Le compte utilisateur est créé dans OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  10. Sélectionnez le menu Profil (Icône de menu Profil), situé dans la partie supérieure droite de la barre de navigation en haut de la page, puis cliquez sur Mon profil. Vérifiez les propriétés utilisateur telles que l'ID de courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés utilisateur dans OCI IAM

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre Okta et IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :