Documentation Oracle Cloud Infrastructure

Gestion du cycle de vie des identités entre OCI et Okta

Dans ce tutoriel, vous configurez la gestion du cycle de vie des utilisateurs entre Okta et OCI IAM, où Okta agit en tant que banque d'identités faisant autorité.

Ce tutoriel de 30 minutes vous explique comment provisionner des utilisateurs et des groupes d'Okta vers OCI IAM.

  1. Créez une application confidentielle dans OCI IAM.
  2. Obtenez l'URL du domaine d'identité et générez un jeton de clé secrète.
  3. Créez une application dans Okta.
  4. Mettez à jour les paramètres d'Okta.
  5. Vérifiez que le provisionnement fonctionne entre OCI IAM et Okta.
  6. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Empêchez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer cet ensemble de tutoriels, vous devez disposer des éléments suivants :

Vous rassemblez les informations supplémentaires requises dans les étapes du tutoriel :

  • URL du domaine OCI IAM.
  • ID client et clé secrète client OCI IAM.
1. Création d'une application confidentielle dans OCI

Créez une application confidentielle dans OCI IAM et activez-la.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  4. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  5. Sélectionnez le domaine d'identité dans lequel configurer le provisionnement Okta et sélectionnez Applications.
  6. Sélectionnez Ajouter une application, puis Application confidentielle et Lancer le workflow.

    Application confidentielle

  7. Entrez le nom de l'application confidentielle, par exemple OktaClient. Sélectionnez Suivant.
  8. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
  9. Sous Autorisation, sélectionnez Informations d'identification client.

    Configurer l'application en tant que client

  10. Faites défiler la page vers le bas et sélectionnez Ajouter des rôles d'application.
  11. Sous Rôles d'application, sélectionnez Ajouter des rôles. Sur la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs et Ajouter.

    Ajouter des rôles d'application

  12. Sélectionnez Suivant, puis Terminer.
  13. Sur la page de détails de l'application, sélectionnez Activer et confirmez l'activation de la nouvelle application.
2. Recherche du GUID OCI IAM et génération d'un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion de l'application Okta que vous créerez ultérieurement.

  1. Revenez à la présentation du domaine d'identité en sélectionnant son nom dans le chemin de navigation. Sélectionnez Copier en regard de l'URL du domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

    Le GUID OCI IAM fait partie de l'URL de domaine :

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Par exemple : idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Dans l'application confidentielle dans OCI IAM, sélectionnez OAuth, configuration sous Ressources.
  3. Faites défiler vers le bas et, sous Informations générales, notez l'ID client et la clé secrète client.
  4. Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
  5. Copiez l'ID client et stockez-le.
  6. Sélectionnez Afficher la clé secrète, copiez-la et stockez-la.

    ID et clé secrète du client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton secret sous Windows et MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Dans MacOS, utilisez :
    echo -n <clientID>:<clientsecret> | base64
    Le jeton secret est renvoyé. Par exemple :
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton secret.

3. Créer une application dans Okta

Créez une application dans Okta.

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta pour votre organisation.

  2. Dans le menu de gauche, sélectionnez Applications.

    Si vous disposez déjà d'une application que vous avez créée lors de l'utilisation de SSO avec OCI et Okta, vous pouvez l'utiliser. Sélectionnez cette option pour l'ouvrir et la modifier, puis accédez à 5. Modifiez les paramètres Okta.

  3. Sélectionnez Parcourir le catalogue d'applications et recherchez Oracle Cloud. Sélectionnez Oracle Cloud Infrastructure IAM parmi les options disponibles.
  4. Sélectionnez Ajouter une intégration.
  5. Sous Paramètres généraux, entrez le nom de l'application, par exemple OCI IAM, puis sélectionnez Terminé.
5. Modifier les paramètres Okta

Connectez l'application Okta à l'application confidentielle OCI IAM à l'aide de l'URL de domaine et du jeton de clé secrète d'une étape précédente.

  1. Dans la page de l'application que vous venez de créer, sélectionnez l'onglet Connexion.
  2. Dans Paramètres, sélectionnez Modifier.
  3. Accédez à Advanced Sign-on Settings (Paramètres de connexion avancés).
  4. Entrez l'URL de domaine dans le GUID Oracle Cloud Infrastructure IAM.
  5. Sélectionnez Enregistrer.
  6. En haut de la page, sélectionnez l'onglet Provisioning.
  7. Sélectionnez Configurer l'intégration d'API.
  8. Sélectionnez Activer l'intégration d'API.

    Activer l'intégration d'API

  9. Entrez la valeur de jeton de clé secrète que vous avez copiée précédemment dans Jeton d'API.

  10. Sélectionnez Tester les informations d'identification d'API.

    Si un message d'erreur s'affiche, vérifiez les valeurs que vous avez saisies et réessayez.

    Lorsque vous recevez le message Oracle Cloud Infrastructure IAM was verified successfully!, Okta s'est connecté à l'adresse SCIM OCI IAM.

  11. Sélectionnez Enregistrer.

La page Provisionnement en applications s'ouvre. Elle vous permet de créer des utilisateurs, de mettre à jour des attributs utilisateur et de mettre en correspondance des attributs entre OCI IAM et Okta.

6. Tester le provisionnement des utilisateurs et des groupes

Pour tester le provisionnement des utilisateurs et des groupes pour Okta, procédez comme suit :

  1. Dans la nouvelle application, cliquez sur l'onglet Affectations.
  2. Sélectionnez Affecter et Affecter à des personnes.
  3. Recherchez l'utilisateur à provisionner à partir d'Okta vers OCI IAM.

    Sélectionnez Affecter en regard de l'utilisateur.

  4. Sélectionnez Enregistrer, puis Revenir en arrière.
  5. Provisionnez à présent des groupes Okta dans OCI IAM. Dans l'onglet Affectations, sélectionnez Affecter et Affecter à des groupes.
  6. Recherchez les groupes à provisionner vers OCI IAM. En regard du nom du groupe, sélectionnez Affecter.
  7. Sélectionnez Terminé.
  8. Connectez-vous maintenant à OCI :

    1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console OCI :

      https://cloud.oracle.com.

    2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
    3. Sélectionnez le domaine d'identité dans lequel Okta a été configuré.
  9. Sélectionnez Utilisateurs.
  10. L'utilisateur affecté à l'application OCI IAM dans Okta est désormais présent dans OCI IAM.
  11. Sélectionnez Groupes.
  12. Le groupe affecté à l'application OCI IAM dans Okta est désormais présent dans OCI IAM.
7. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
a. Définir le statut fédéré des utilisateurs

Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta pour votre organisation.

  2. Dans le menu de gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage jusqu'à la section Attribute Mappings.
  5. Sélectionnez Accéder à l'éditeur de profil.
  6. Sous Attributs, sélectionnez Ajouter des attributs.
  7. Sur la page Ajouter un attribut :
    • Pour Type de données, choisissez Boolean.
    • Dans Nom d'affichage, entrez isFederatedUser.
    • Dans la zone Nom de la variable, entrez isFederatedUser.
      Remarque

      Le nom externe est automatiquement renseigné par la valeur du nom de variable.
    • Dans Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, cochez User personal.

    Page Ajouter un attribut

  8. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  9. Sélectionnez Provisionnement.
  10. Faites défiler la page vers le bas pour afficher la mise en correspondance des attributs et sélectionnez Afficher les attributs non mis en correspondance.
  11. Localisez l'attribut isFederatedUser et sélectionnez le bouton Modifier en regard de celui-ci.
  12. Dans la page des attributs :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la zone ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    Attribut (page)

  13. Sélectionnez Enregistrer.

    Valeurs d'attribut indiquant la fédération

Désormais, lorsque les utilisateurs sont provisionnés à partir d'Okta vers OCI, leur statut fédéré est défini sur Vrai. Vous pouvez le voir sur la page de profil de l'utilisateur dans OCI.

  • Dans la console OCI, accédez au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré s'affiche sous la forme Yes.

    Informations utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les notifications de création ou de mise à jour de compte

L'indicateur Ignorer la notification contrôle si une notification par courriel est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de notification de contournement sur Vrai.

Pour définir l'indicateur de notification de contournement :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta pour votre organisation.

  2. Dans le menu de gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage jusqu'à la section Attribute Mappings.
  5. Sous Attributs, sélectionnez Ajouter des attributs.
  6. Sur la page Ajouter un attribut :
    • Pour Type de données, choisissez Boolean.
    • Dans Nom d'affichage, entrez bypassNotification.
    • Dans la zone Nom de la variable, entrez bypassNotification.
      Remarque

      Le nom externe est automatiquement renseigné par la valeur du nom de variable.
    • Dans Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, cochez User personal.

    Ajouter attribut (page)

  7. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  8. Sélectionnez Provisionnement.
  9. Faites défiler la page vers le bas pour afficher la mise en correspondance des attributs et sélectionnez Afficher les attributs non mis en correspondance.
  10. Localisez l'attribut bypassNotification et sélectionnez le bouton Modifier en regard de celui-ci.
  11. Dans la page des attributs :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la zone ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    Attribut (page)

  12. Sélectionnez Enregistrer.

    Valeurs d'attribut indiquant que la notification est ignorée

Etapes suivantes

Félicitations ! Vous avez configuré la gestion du cycle de vie des utilisateurs entre Okta et OCI.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :