Provisionnement JIT d'Okta vers OCI IAM
Dans ce tutoriel, vous configurez le provisionnement Juste à temps (JIT) entre la console OCI et Okta, en utilisant Okta en tant que fournisseur d'identités (IdP).
Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible au moment où elles effectuent une demande d'accès au système cible. Cela peut être plus facile à configurer que de créer tous les utilisateurs à l'avance.
Ce tutoriel traite des étapes suivantes :
- Configurez les attributs SAML envoyés par Okta.
- Configurez des attributs JIT dans OCI IAM.
- Testez le provisionnement JIT entre OCI IAM et Okta.
Ce tutoriel est propre à IAM avec domaines d'identité.
Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :
-
Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
- Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
- Un compte Okta avec l'un des rôles Okta suivants :
- Administrateur global
- Administrateur d'application cloud
- Administrateur d'application
En outre, vous devez avoir terminé le tutoriel SSO avec OCI et Okta et collecté l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.
Dans OCI IAM, mettez à jour Okta IdP pour JIT.
-
Ouvrez un navigateur pris en charge et saisissez l'URL de la console :
- Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
- Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
- Connectez-vous avec votre nom utilisateur et votre mot de passe.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
- Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous avez configuré Okta en tant que IdP.
- Cliquez sur Sécurité dans le menu de gauche, puis sur Fournisseurs d'identités.
- Cliquez sur Okta IdP.
- Cliquez sur Configure JIT.
- Dans la page Configure Just-in-time provisioning :
- Sélectionnez Provisionnement ponctuel.
- Sélectionnez Créer un utilisateur de domaine d'identité.
- Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.
- Sous Map User attributes :
- Laissez la première ligne de
NameID
inchangée. - Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez
Attribute
. - Indiquez le nom de l'attribut utilisateur IdP comme suit :
- familyName:
familyName
- primaryEmailAddress:
email
- familyName:
- Cliquez sur Ajouter une ligne et saisissez :
firstName
.Pour l'attribut utilisateur de domaine d'identité, choisissez
First name
.Remarque
Si vous avez configuré des attributs utilisateur supplémentaires à envoyer dans le cadre de l'assertion utilisateur à partir d'Okta, vous pouvez les mettre en correspondance avec des attributs utilisateur de domaine d'identité en ajoutant des lignes supplémentaires.
- Laissez la première ligne de
- Sélectionnez Affecter un mappage de groupe.
- Entrez le nom d'attribut d'adhésion de groupe. Dans ce tutoriel, utilisez
groups
.Remarque
Notez le nom de l'attribut d'appartenance à un groupe, car vous l'utiliserez dans la section suivante. - Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
- Sous IdP, le nom de groupe est mis en correspondance avec le nom de groupe de domaine d'identité, procédez comme suit :
- Dans IdP Nom de groupe, indiquez le nom du groupe dans Okta.
- Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM avec lequel mettre en correspondance le groupe Okta.Remarque
Vous pouvez mettre en correspondance des groupes supplémentaires en cliquant sur Ajouter une ligne.Ce diagramme présente les attributs configurés dans Okta à gauche et ceux mis en correspondance dans OCI IAM à droite.
- Sous Règles d'affectation, sélectionnez les éléments suivants :
- Lors de l'affectation d'appartenances de groupe : Fusionner avec des appartenances de groupe existantes
- Lorsqu'un groupe est introuvable : Ignore the missing group
Remarque
Sélectionnez des options en fonction des besoins de votre organisation. - Cliquez sur Enregistrer les modifications.
Dans Okta, mettez à jour la configuration de l'application OCI IAM pour envoyer les attributs utilisateur et le nom de groupe dans l'assertion SAML.
- Dans Okta, dans l'application d'entreprise que vous avez créée pour OCI IAM, sélectionnez l'onglet Connexion.
- Cliquez sur Modifier en regard de Paramètres.
- Sous Saml 2.0, cliquez sur > en regard de Attributs (facultatif).
- Indiquez les informations suivantes :
Nom Format des noms Valeur firstName
Unspecified
user.firstName
familyName
Unspecified
user.lastName
email
Unspecified
user.email
Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.
- Sous Instructions d'attribut de groupe, entrez ces valeurs.Remarque
Okta fournit un mécanisme de filtrage des groupes qui peuvent être envoyés dans l'assertion SAML. Le filtre comporte des options, notammentStarts with
,Equals
,Contains
etMatches regex
. Dans ce tutoriel, nous utilisons le filtreContains
, ce qui signifie qu'Okta envoie uniquement les groupes associés à l'utilisateur et qui contiennent la chaîne spécifiée. Dans cet exemple, nous avons indiquéAdmin
comme chaîne. Par conséquent, tous les groupes qui contiennent la chaîneAdmin
et sont associés à l'utilisateur sont envoyés dans l'assertion SAML.Nom Format des noms Filtre Valeur groups
Unspecified
Contains
Admin
- Cliquez sur Enregistrer.
- Dans la console Okta, créez un utilisateur avec un ID de courriel absent d'OCI IAM.
- Affectez l'utilisateur aux groupes requis, par exemple
Administrators and Admins
. - Déconnectez-vous d'Okta.
- Affectez l'utilisateur à l'application OCI IAM dans Okta.
- Dans le navigateur, ouvrez la console OCI.
- Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
- Dans les options de connexion, cliquez sur Okta.
- Sur la page de connexion Okta, indiquez l'ID utilisateur nouvellement créé.
- En cas de réussite de l'authentification à partir d'Okta :
- Le compte utilisateur est créé dans OCI IAM.
- L'utilisateur est connecté à la console OCI.
- Sélectionnez le menu Profil (), situé dans la partie supérieure droite de la barre de navigation en haut de la page, puis cliquez sur Mon profil. Vérifiez les propriétés utilisateur telles que l'ID de courriel, le prénom, le nom et les groupes associés.
Félicitations ! Vous avez configuré le provisionnement JIT entre Okta et IAM.
Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :