Documentation Oracle Cloud Infrastructure

Gestion du cycle de vie des identités entre OCI et Okta

Dans ce tutoriel, vous allez configurer la gestion du cycle de vie des utilisateurs entre Okta et OCI IAM, où Okta agit en tant que banque d'identités faisant autorité.

Ce tutoriel de 30 minutes explique comment provisionner des utilisateurs et des groupes d'Okta vers OCI IAM.

  1. Créez une application confidentielle dans OCI IAM.
  2. Obtenez l'URL du domaine d'identité et générez un jeton de clé secrète.
  3. Créez une application dans Okta.
  4. Mettez à jour les paramètres d'Okta.
  5. Testez le fonctionnement du provisionnement entre OCI IAM et Okta.
  6. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs pour qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Arrêtez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
Remarque

Ce tutoriel est propre à IAM avec des domaines d'identité.
Avant de commencer

Pour effectuer cet ensemble de tutoriels, vous devez disposer des éléments suivants :

Vous collectez les informations supplémentaires dont vous avez besoin à partir des étapes du tutoriel :

  • URL de domaine OCI IAM.
  • ID de client OCI IAM et clé secrète de client.
1. Création d'une application confidentielle dans OCI

Créez une application confidentielle dans OCI IAM et activez-la.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte Cloud, également appelé nom de location, et cliquez sur Suivant.
  3. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  4. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  5. Sélectionnez le domaine d'identité dans lequel configurer le provisionnement Okta et sélectionnez Applications.
  6. Sélectionnez Ajouter une application, choisissez Application confidentielle, puis Lancer un workflow.

    Application confidentielle

  7. Entrez le nom de l'application confidentielle, par exemple OktaClient. Sélectionnez Suivant.
  8. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
  9. Sous Autorisation, sélectionnez Informations d'identification client.

    Configurer l'application en tant que client

  10. Faites défiler la page jusqu'en bas et sélectionnez Ajouter des rôles d'application.
  11. Sous Rôles d'application, sélectionnez Ajouter des rôles, puis sur la page Ajouter des rôles d'application, sélectionnez Administrateur utilisateur et Ajouter.

    Ajouter des rôles d'application

  12. Sélectionnez Suivant, puis Terminer.
  13. Sur la page de détails de l'application, sélectionnez Activer et confirmez que vous souhaitez activer la nouvelle application.
2. Recherche du GUID OCI IAM et génération d'un jeton secret

Vous avez besoin de deux informations à utiliser pour les paramètres de connexion à l'application Okta que vous créez ultérieurement.

  1. Revenez à la présentation de domaine d'identité en sélectionnant le nom de domaine d'identité dans le chemin de navigation. Sélectionnez Copier en regard de l'URL de nom dans les informations de domaine et enregistrez l'URL dans une application où vous pouvez le modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

    Le GUID OCI IAM fait partie de l'URL de domaine :

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Par exemple : idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Dans l'application confidentielle dans OCI IAM, sélectionnez Configuration OAuth sous Ressources.
  3. Faites défiler l'affichage vers le bas et, sous Informations générales, notez l'ID client et la clé secrète du client.
  4. Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
  5. Copiez l'ID client et stockez-le.
  6. Sélectionnez Afficher la clé secrète, copiez-la et stockez-la.

    ID et clé secrète du client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret> , ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton secret sous Windows et MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powershell pour générer le codage base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Sous MacOS, utilisez :
    echo -n <clientID>:<clientsecret> | base64
    Le jeton secret est renvoyé. Par exemple :
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton secret.

3. Créer une application dans Okta

Créez une application dans Okta.

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe de votre organisation avec Okta.

  2. Dans le menu de gauche, sélectionnez Applications.

    Si vous disposez déjà d'une application que vous avez créée lorsque vous avez passé par SSO avec OCI et Okta, vous pouvez l'utiliser. Sélectionnez pour l'ouvrir et le modifier, puis accédez à 5. Modifiez les paramètres Okta.

  3. Sélectionnez Parcourir le catalogue d'applications et recherchez Oracle Cloud. Sélectionnez Oracle Cloud Infrastructure IAM parmi les options disponibles.
  4. Sélectionnez Ajouter une intégration.
  5. Sous Paramètres généraux, entrez le nom de l'application, par exemple OCI IAM, et sélectionnez Terminé.
5. Modifier les paramètres Okta

Connectez l'application Okta à l'application confidentielle OCI IAM à l'aide de l'URL de domaine et du jeton secret d'une étape antérieure.

  1. Dans la page de l'application que vous venez de créer, sélectionnez l'onglet Connexion.
  2. Dans Paramètres, sélectionnez Modifier.
  3. Faites défiler la page jusqu'à Paramètres de connexion avancés.
  4. Entrez l'URL de domaine dans le GUID IAM Oracle Cloud Infrastructure.
  5. Sélectionnez Save (Enregistrer).
  6. En haut de la page, sélectionnez l'onglet Provisioning.
  7. Sélectionnez Configurer l'intégration d'API.
  8. Sélectionnez Activer l'intégration d'API.

    Activer l'intégration d'API

  9. Entrez la valeur de jeton de clé secrète que vous avez copiée précédemment dans Jeton d'API.

  10. Sélectionnez Tester les informations d'identification d'API.

    Si vous obtenez un message d'erreur, vérifiez les valeurs que vous avez saisies et réessayez.

    Lorsque vous obtenez le message Oracle Cloud Infrastructure IAM was verified successfully!, Okta s'est connecté à l'adresse SCIM OCI IAM.

  11. Sélectionnez Save (Enregistrer).

La page Provisionnement d'application s'ouvre. Elle permet de créer des utilisateurs, de mettre à jour des attributs utilisateur et de mettre en correspondance des attributs entre OCI IAM et Okta.

6. Tester le provisionnement des utilisateurs et des groupes

Pour tester le provisionnement des utilisateurs et des groupes pour Okta, procédez comme suit :

  1. Dans la nouvelle application, sélectionnez l'onglet Affectations.
  2. Sélectionnez Affecter et Affecter à des personnes.
  3. Recherchez l'utilisateur à provisionner d'Okta vers OCI IAM.

    Sélectionnez Affecter en regard de l'utilisateur.

  4. Sélectionnez Enregistrer, puis Revenir en arrière.
  5. Provisionnez désormais des groupes Okta dans OCI IAM. Dans l'onglet Affectations, sélectionnez Affecter et Affecter à des groupes.
  6. Recherchez les groupes à provisionner vers OCI IAM. En regard du nom du groupe, sélectionnez Affecter.
  7. Cliquez sur Terminé.
  8. Connectez-vous maintenant à OCI :

    1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console OCI :

      https://cloud.oracle.com .

    2. Saisissez votre nom de compte Cloud, également appelé nom de location, et cliquez sur Suivant.
    3. Sélectionnez le domaine d'identité dans lequel Okta a été configuré.
  9. Sélectionnez Utilisateurs.
  10. L'utilisateur affecté à l'application OCI IAM dans Okta est désormais présent dans OCI IAM.
  11. Sélectionnez Groupes.
  12. Le groupe affecté à l'application OCI IAM dans Okta est désormais présent dans OCI IAM.
7. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs pour qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
a. Définir le statut fédéré des utilisateurs

Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur, procédez comme suit :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe de votre organisation avec Okta.

  2. Dans le menu de gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler la page jusqu'à la section Attribute Mappings.
  5. Sélectionnez Accéder à l'éditeur de profil.
  6. Sous Attributs, sélectionnez Ajouter des attributs.
  7. Dans la page Ajouter un attribut :
    • Pour Type de données, choisissez Boolean.
    • Dans Nom d'affichage, entrez isFederatedUser.
    • Dans Nom de variable, entrez isFederatedUser.
      Remarque

      Le nom externe est automatiquement renseigné par la valeur du nom de variable.
    • Dans Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, consultez User personal.

    Ajouter attribut (page)

  8. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  9. Sélectionnez Provisionnement.
  10. Faites défiler la page jusqu'à Mapping d'attributs et sélectionnez Afficher les attributs non mis en correspondance.
  11. Localisez l'attribut isFederatedUser et sélectionnez le bouton de modification en regard.
  12. Dans la page d'attribut :
    • Pour Valeur d'attribut, choisissez Expression.
    • Dans le champ ci-dessous, saisissez true.
    • Pour Appliquer le, choisissez Créer et mettre à jour.

    Attribut (page)

  13. Sélectionnez Save (Enregistrer).

    Valeurs d'attribut indiquant Federation

Désormais, lorsque les utilisateurs sont provisionnés d'Okta vers OCI, leur statut fédéré est défini sur True. Vous pouvez le voir sur la page de profil de l'utilisateur dans OCI.

  • Dans la console OCI, accédez au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations utilisateur.
  • Federated est affiché sous la forme Yes.

    Informations utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les notifications pour la création ou les mises à jour de compte

L'indicateur Ignorer la notification détermine si une notification par e-mail est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de contournement de la notification sur Vrai.

Pour définir l'indicateur de contournement de la notification :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe de votre organisation avec Okta.

  2. Dans le menu de gauche, sélectionnez Applications.
  3. Sélectionnez l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler la page jusqu'à la section Attribute Mappings.
  5. Sous Attributs, sélectionnez Ajouter des attributs.
  6. Dans la page Ajouter un attribut :
    • Pour Type de données, choisissez Boolean.
    • Dans Nom d'affichage, entrez bypassNotification.
    • Dans Nom de variable, entrez bypassNotification.
      Remarque

      Le nom externe est automatiquement renseigné par la valeur du nom de variable.
    • Dans Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, consultez User personal.

    Ajouter attribut (page)

  7. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  8. Sélectionnez Provisionnement.
  9. Faites défiler la page jusqu'à Mapping d'attributs et sélectionnez Afficher les attributs non mis en correspondance.
  10. Localisez l'attribut bypassNotification et sélectionnez le bouton de modification en regard.
  11. Dans la page d'attribut :
    • Pour Valeur d'attribut, choisissez Expression.
    • Dans le champ ci-dessous, saisissez true.
    • Pour Appliquer le, choisissez Créer et mettre à jour.

    Attribut (page)

  12. Sélectionnez Enregistrer.

    Valeurs d'attribut affichant la notification de contournement

Etapes suivantes

Félicitations ! Vous avez configuré la gestion du cycle de vie des utilisateurs entre Okta et OCI.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :