Documentation Oracle Cloud Infrastructure

Provisionnement JIT d'Okta vers OCI IAM

Dans ce tutoriel, vous configurez le provisionnement juste à temps entre la console OCI et Okta, en utilisant Okta comme fournisseur d'identités (IdP).

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible au moment où elles font une demande d'accès au système cible. Cela peut être plus facile à configurer que de créer tous les utilisateurs à l'avance.

Ce tutoriel présente les étapes suivantes :

  1. Configurer les attributs SAML envoyés par Okta.
  2. Configurez les attributs JIT dans OCI IAM.
  3. Testez le provisionnement JIT entre OCI IAM et Okta.
Remarque

Ce tutoriel est propre à IAM avec des domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

En outre, vous devez avoir terminé le tutoriel SSO avec OCI et Okta et collecté l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par Okta

Dans OCI IAM, mettez à jour le fichier IdP Okta pour JIT.

  1. Ouvrez un navigateur pris en charge, puis saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte Cloud, également appelé nom de location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez configuré Okta en tant que IdP.
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez le fichier Okta IdP.
  10. Sélectionnez Configure JIT.

    Page de configuration du fournisseur d'identités Okta dans IAM

  11. Dans la page Configure Just-in-time (JIT), procédez comme suit :
    • Sélectionnez Provisionnement juste à temps (JIT).
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer le provisionnement juste à temps

  12. Sous Mettre en correspondance les attributs d'utilisateur :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom d'attribut utilisateur IdP comme suit :
      • familyName: familyName
      • primaryEmailAddress: email
    4. Sélectionnez Ajouter une ligne et entrez : firstName.

      Pour l'attribut utilisateur de domaine d'identité, choisissez First name.

      Remarque

      Si vous avez configuré des attributs utilisateur supplémentaires à envoyer dans le cadre de l'assertion utilisateur à partir d'Okta, vous pouvez les mettre en correspondance avec des attributs utilisateur de domaine d'identité en ajoutant des lignes supplémentaires.
  13. Sélectionnez Affecter la mise en correspondance de groupes.
  14. Entrez le nom d'attribut d'appartenance de groupe. Dans ce tutoriel, utilisez groups.
    Remarque

    Notez le nom de l'attribut d'appartenance au groupe, car vous l'utiliserez dans la section suivante.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Sous IdP, le nom de groupe est mis en correspondance avec le nom de groupe de domaines d'identité, procédez comme suit :
    • Dans IdP Nom du groupe, indiquez le nom du groupe dans Okta.
    • Dans Nom de groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM avec lequel mettre en correspondance le groupe Okta.

      Affecter des mappages de groupe

      Remarque

      Vous pouvez mettre en correspondance des groupes supplémentaires en sélectionnant Ajouter une ligne.

      Ce diagramme présente les attributs configurés dans Okta sur la gauche et les attributs mis en correspondance dans OCI IAM sur la droite.

      Mise en correspondance des attributs de groupe entre Okta et OCI IAM

  17. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances à un groupe : Fusionner avec des appartenances à un groupe existant
    2. Lorsqu'un groupe est introuvable : Ignorer le groupe manquant

    définition des règles d'affectation

    Remarque

    Sélectionnez des options en fonction des exigences de votre organisation.
  18. Sélectionnez Enregistrer les modifications.
2. Configurer les attributs JIT pour OCI IAM

Dans Okta, mettez à jour la configuration de l'application OCI IAM pour envoyer les attributs utilisateur et le nom de groupe dans l'assertion SAML.

  1. Dans Okta, dans l'application d'entreprise que vous avez créée pour OCI IAM, sélectionnez l'onglet Connexion.
  2. Sélectionnez Modifier en regard de Paramètres.
  3. Sous Saml 2.0, sélectionnez > en regard de Attributs (facultatif).
  4. Indiquez les informations suivantes :
    Nom Format de nom Valeur
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

    Attributs Okta

  5. Sous Instructions d'attribut de groupe, entrez ces valeurs.
    Remarque

    Okta fournit un mécanisme de filtrage des groupes qui peuvent être envoyés dans l'assertion SAML. Le filtre comporte des options telles que Starts with, Equals, Contains et Matches regex. Dans ce tutoriel, nous utilisons le filtre Contains, ce qui signifie qu'Okta envoie uniquement les groupes qui sont associés à l'utilisateur et qui contiennent la chaîne spécifiée. Dans cet exemple, nous avons indiqué Admin comme chaîne, de sorte que tous les groupes qui contiennent la chaîne Admin et qui sont associés à l'utilisateur sont envoyés dans l'assertion SAML.
    Nom Format de nom Filtrer Valeur
    groups Unspecified Contains Admin

    Attributs de groupe Okta

  6. Sélectionnez Save (Enregistrer).
3. Tester le provisionnement JIT entre Okta et OCI
Dans cette section, vous pouvez vérifier que le provisionnement JIT fonctionne entre Okta et OCI IAM.
  1. Dans la console Okta, créez un utilisateur avec un ID de courriel absent d'OCI IAM.
  2. Affectez l'utilisateur aux groupes requis, par exemple, Administrators and Admins.
  3. Déconnectez-vous d'Okta.
  4. Affectez l'utilisateur à l'application OCI IAM dans Okta.

    Utilisateur habite Okta

  5. Dans le navigateur, ouvrez la console OCI.
  6. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  7. Dans les options de connexion, sélectionnez Okta.
  8. Sur la page de connexion Okta, indiquez l'ID utilisateur que vous venez de créer.
  9. Une fois l'authentification réussie à partir d'Okta :
    • Le compte utilisateur est créé dans OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  10. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres utilisateur. Vérifiez les propriétés utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés utilisateur dans OCI IAM

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre Okta et IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :