Documentation Oracle Cloud Infrastructure

Gestion du cycle de vie des identités entre OCI et Okta

Dans ce tutoriel, vous configurez la gestion du cycle de vie des utilisateurs entre Okta et OCI IAM, où Okta agit en tant que banque d'identités faisant autorité.

Ce tutoriel de 30 minutes explique comment provisionner des utilisateurs et des groupes d'Okta vers OCI IAM.

  1. Créez une application confidentielle dans OCI IAM.
  2. Obtenez l'URL du domaine d'identité et générez un jeton de clé secrète.
  3. Créez une application dans Okta.
  4. Mettez à jour les paramètres d'Okta.
  5. Testez le fonctionnement du provisionnement entre OCI IAM et Okta.
  6. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Empêchez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer cet ensemble de tutoriels, vous devez disposer des éléments suivants :

Vous rassemblez les informations supplémentaires requises dans les étapes du tutoriel :

  • URL de domaine OCI IAM.
  • ID client et clé secrète client OCI IAM.
1. Création d'une application confidentielle dans OCI

Créez une application confidentielle dans OCI IAM et activez-la.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  4. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  5. Sélectionnez le domaine d'identité dans lequel configurer le provisionnement Okta et cliquez sur Applications.
  6. Cliquez sur Add Application, choisissez Confidential Application , puis cliquez sur Launch workflow.

    Application confidentielle

  7. Entrez le nom de l'application confidentielle, par exemple OktaClient. Cliquez sur Suivant.
  8. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
  9. Sous Autorisation, sélectionnez Informations d'identification client.

    Configurer l'application en tant que client

  10. Faites défiler la page vers le bas et cliquez sur Ajouter des rôles d'application.
  11. Sous Rôles d'application, cliquez sur Ajouter des rôles. Sur la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs et cliquez sur Ajouter.

    Ajouter des rôles d'application

  12. Cliquez sur Suivant, puis sur Fin.
  13. Sur la page de détails de l'application, cliquez sur Activer et confirmez l'activation de la nouvelle application.
2. Recherche du GUID OCI IAM et génération d'un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion de l'application Okta que vous créerez ultérieurement.

  1. Revenez à la présentation du domaine d'identité en cliquant sur son nom dans le chemin de navigation. Cliquez sur Copier en regard de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

    Le GUID OCI IAM fait partie de l'URL de domaine :

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Par exemple : idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Dans l'application confidentielle dans OCI IAM, cliquez sur Configuration OAuth sous Ressources.
  3. Faites défiler vers le bas et, sous Informations générales, notez l'ID client et la clé secrète client.
  4. Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
  5. Copiez l'ID client et stockez-le.
  6. Cliquez sur Afficher la clé secrète, copiez-la et stockez-la.

    ID et clé secrète du client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton secret sous Windows et MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Dans MacOS, utilisez :
    echo -n <clientID>:<clientsecret> | base64
    Le jeton secret est renvoyé. Par exemple :
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton secret.

3. Créer une application dans Okta

Créez une application dans Okta.

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta pour votre organisation.

  2. Dans le menu de gauche, cliquez sur Applications.

    Si vous disposez déjà d'une application que vous avez créée lors de l'exécution de SSO avec OCI et Okta, vous pouvez l'utiliser. Cliquez sur cette option pour l'ouvrir et la modifier, puis accédez à 5. Modifier les paramètres Okta.

  3. Cliquez sur Parcourir le catalogue d'applications et recherchez Oracle Cloud. Sélectionnez Oracle Cloud Infrastructure IAM dans les options disponibles.
  4. Cliquez sur Ajouter une intégration.
  5. Sous Paramètres généraux, entrez le nom de l'application, par exemple OCI IAM, puis cliquez sur Terminé.
5. Modifier les paramètres Okta

Connectez l'application Okta à l'application confidentielle OCI IAM à l'aide de l'URL de domaine et du jeton de clé secrète d'une étape précédente.

  1. Dans la page de l'application que vous venez de créer, cliquez sur l'onglet Sign On (Connexion).
  2. Dans Paramètres, cliquez sur Modifier.
  3. Accédez à Advanced Sign-on Settings (Paramètres de connexion avancés).
  4. Entrez l'URL de domaine dans le GUID Oracle Cloud Infrastructure IAM.
  5. Cliquez sur Enregistrer.
  6. En haut de la page, cliquez sur l'onglet Provisionnement.
  7. Cliquez sur Configurer l'intégration d'API.
  8. Sélectionnez Activer l'intégration d'API.

    Activer l'intégration d'API

  9. Entrez la valeur de jeton de clé secrète que vous avez copiée précédemment dans Jeton d'API.

  10. Cliquez sur Tester les informations d'identification d'API.

    Si un message d'erreur s'affiche, vérifiez les valeurs que vous avez saisies et réessayez.

    Lorsque vous obtenez le message Oracle Cloud Infrastructure IAM was verified successfully!, Okta s'est connecté à l'adresse SCIM OCI IAM.

  11. Cliquez sur Enregistrer.

La page Provisionnement d'application s'ouvre, dans laquelle vous pouvez créer des utilisateurs, mettre à jour des attributs utilisateur et mettre en correspondance des attributs entre OCI IAM et Okta.

6. Tester le provisionnement des utilisateurs et des groupes

Pour tester le provisionnement des utilisateurs et des groupes pour Okta, procédez comme suit :

  1. Dans la nouvelle application, cliquez sur l'onglet Affectations.
  2. Cliquez sur Affecter et sélectionnez Affecter à des personnes.
  3. Recherchez l'utilisateur à provisionner d'Okta vers OCI IAM.

    Cliquez sur Affecter en regard de l'utilisateur.

  4. Cliquez sur Enregistrer, puis sur Retour.
  5. Provisionnez à présent des groupes Okta dans OCI IAM. Dans l'onglet Affectations, cliquez sur Affecter et sélectionnez Affecter à des groupes.
  6. Recherchez les groupes à provisionner vers OCI IAM. En regard du nom du groupe, cliquez sur Affecter.
  7. Cliquez sur Terminé.
  8. Connectez-vous à présent à OCI :

    1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console OCI :

      https://cloud.oracle.com.

    2. Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
    3. Sélectionnez le domaine d'identité dans lequel Okta a été configuré.
  9. Cliquez sur Utilisateurs.
  10. L'utilisateur affecté à l'application OCI IAM dans Okta est désormais présent dans OCI IAM.
  11. Cliquez sur Groupes.
  12. Le groupe affecté à l'application OCI IAM dans Okta est désormais présent dans OCI IAM.
7. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
a. Définir le statut fédéré des utilisateurs

Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta pour votre organisation.

  2. Dans le menu de gauche, cliquez sur Applications.
  3. Cliquez sur l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage jusqu'à la section Attribute Mappings.
  5. Cliquez sur Accéder à l'éditeur de profils.
  6. Sous Attributs, cliquez sur Ajouter des attributs.
  7. Sur la page Ajouter un attribut :
    • Pour Type de données, choisissez Boolean.
    • Dans Nom d'affichage, entrez isFederatedUser.
    • Dans la zone Nom de la variable, entrez isFederatedUser.
      Remarque

      Le nom externe est automatiquement renseigné par la valeur du nom de variable.
    • Dans Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, cochez User personal.

    Page Ajouter un attribut

  8. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  9. Cliquez sur Provisionnement.
  10. Faites défiler la page vers le bas jusqu'à Mise en correspondance des attributs et cliquez sur Afficher les attributs non mis en correspondance.
  11. Localisez l'attribut isFederatedUser et cliquez sur le bouton de modification en regard de celui-ci.
  12. Dans la page des attributs :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la zone ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    Page Attribut

  13. Cliquez sur Enregistrer.

    Valeurs d'attribut affichant la fédération

Désormais, lorsque les utilisateurs sont provisionnés d'Okta vers OCI, leur statut fédéré est défini sur True. Vous pouvez le voir sur la page de profil de l'utilisateur dans OCI.

  • Dans la console OCI, accédez au domaine d'identité que vous utilisez, cliquez sur Utilisateurs et cliquez sur l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré s'affiche sous la forme Yes.

    Informations utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les notifications de création ou de mise à jour de compte

L'indicateur de notification de contournement contrôle si une notification par courriel est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de notification de contournement sur True.

Pour définir l'indicateur de notification de contournement :

  1. Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :

    https://<Okta-org>-admin.okta.com

    <okta-org> est le préfixe Okta pour votre organisation.

  2. Dans le menu de gauche, cliquez sur Applications.
  3. Cliquez sur l'application que vous avez créée précédemment, OCI IAM.
  4. Faites défiler l'affichage jusqu'à la section Attribute Mappings.
  5. Sous Attributs, cliquez sur Ajouter des attributs.
  6. Sur la page Ajouter un attribut :
    • Pour Type de données, choisissez Boolean.
    • Dans Nom d'affichage, entrez bypassNotification.
    • Dans la zone Nom de la variable, entrez bypassNotification.
      Remarque

      Le nom externe est automatiquement renseigné par la valeur du nom de variable.
    • Dans Espace de noms externe, entrez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Sous Portée, cochez User personal.

    Ajouter attribut (page)

  7. Revenez à la page Application d'Okta et sélectionnez l'application OCI IAM.
  8. Cliquez sur Provisionnement.
  9. Faites défiler la page vers le bas jusqu'à Mise en correspondance des attributs et cliquez sur Afficher les attributs non mis en correspondance.
  10. Localisez l'attribut bypassNotification et cliquez sur le bouton de modification en regard de celui-ci.
  11. Dans la page des attributs :
    • Pour Valeur d'attribut, sélectionnez Expression.
    • Dans la zone ci-dessous, entrez true.
    • Pour Appliquer le, sélectionnez Créer et mettre à jour.

    Page Attribut

  12. Cliquez sur Enregistrer.

    Valeurs d'attribut avec notification de contournement

Etapes suivantes

Félicitations ! Vous avez configuré avec succès la gestion du cycle de vie des utilisateurs entre Okta et OCI.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :