SSO avec OCI et Okta
Dans ce tutoriel, vous configurez l'accès avec connexion unique entre OCI et Okta, où Okta agit en tant que fournisseur d'identités (IdP) et OCI IAM en tant que fournisseur de services (SP).
Ce tutoriel de 15 minutes explique comment configurer Okta en tant que IdP, OCI IAM agissant en tant que SP. En configurant la fédération entre Okta et OCI IAM, vous permettez aux utilisateurs d'accéder aux services et aux applications dans OCI IAM à l'aide d'informations d'identification utilisateur authentifiées par Okta.
- Tout d'abord, rassemblez les informations nécessaires à partir d'OCI IAM.
- Configurez Okta en tant que IdP pour OCI IAM.
- Configurez OCI IAM de sorte qu'Okta fonctionne comme IdP.
- Créez des stratégies IdP dans OCI IAM.
- Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et Okta.
Pour effectuer l'un de ces tutoriels, vous devez disposer des éléments suivants :
-
Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
- Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
- Compte Okta disposant de privilèges d'administrateur pour configurer le provisionnement.
Vous rassemblez les informations supplémentaires dont vous avez besoin à partir des étapes de chaque tutoriel :
- Obtenez les métadonnées IdP OCI et le certificat de signature pour le domaine d'identité.
- Obtenez le certificat de signature du domaine d'identité.
Vous avez besoin des métadonnées SAML IdP de votre domaine d'identité OCI IAM pour effectuer l'import dans l'application Okta que vous créez. OCI IAM fournit une URL directe permettant de télécharger les métadonnées du domaine d'identité que vous utilisez. Okta utilise l'URL de domaine OCI pour se connecter à OCI IAM.
-
Ouvrez un navigateur pris en charge et saisissez l'URL de la console :
- Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
- Sélectionnez le domaine d'identité auquel vous connecter. Il s'agit du domaine d'identité utilisé pour configurer SSO, par exemple
Default. - Connectez-vous avec votre nom utilisateur et votre mot de passe.
- Ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines.
- Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, cliquez sur Security, puis sur Identity providers.
- Cliquez sur Exporter les métadonnées SAML.
- Sélectionnez l'option Fichier de métadonnées, puis cliquez sur Télécharger le XML.
- Renommez le fichier XML téléchargé en
OCIMetadata.xml. - Revenez à la présentation du domaine d'identité en cliquant sur son nom dans le chemin de navigation. Cliquez sur Copier en regard de l'URL du domaine dans les informations du domaine et enregistrez l'URL. Il s'agit de l'URL de domaine OCI IAM que vous utiliserez ultérieurement.
Créez une application dans Okta et notez les valeurs dont vous aurez besoin ultérieurement.
- Dans le navigateur, connectez-vous à Okta à l'aide de l'URL :
https://<OktaOrg>-admin.okta.comoù
<OktaOrg>est le préfixe Okta pour votre organisation. - Dans le menu de gauche, cliquez sur Sécurité, sélectionnez Applications, puis cliquez sur Parcourir l'applicationCatalogue.
- Recherchez
Oracle Cloudet sélectionnez Oracle Cloud Infrastructure IAM dans les options disponibles. - Cliquez sur Ajouter une intégration.
- Sous Paramètres généraux, entrez le nom de l'application, par exemple
OCI IAM, puis cliquez sur Terminé. - Sur la page de détails de votre nouvelle application, cliquez sur l'onglet Connexion, puis sous Certificats de signature SAML, cliquez sur Afficher les instructions de configuration SAML.
- Sur la page Afficher les instructions de configuration SAML, notez les points suivants :
- ID d'entité
- URL SingleLogoutService
- URL SingleSignOnService
- Téléchargez et enregistrez le certificat, avec l'extension de fichier
.pem.
Créez une instance IdP pour Okta sur la console OCI.
- Dans la console OCI dans le domaine dans lequel vous travaillez, cliquez sur Sécurité, puis sur Fournisseurs d'identités.
- Cliquez sur Ajouter un fournisseur d'identités, puis sur Ajouter un fournisseur d'identités SAML.
- Entrez le nom du IdP SAML, par exemple
Okta. Cliquez sur Suivant. - Sur la page de métadonnées Exchange, assurez-vous que l'option Entrer les métadonnées IdP est sélectionnée.
- Saisissez l'étape 8 suivante dans 2. Créez une application dans Okta :
- Pour URI d'émetteur de fournisseur d'identités : entrez l'ID d'entrée.
- Pour URL du service SSO : entrez l'URL SingleSignOnService.
- Pour Liaison de service SSO : sélectionnez
POST. - Pour Télécharger le certificat de signature de fournisseur d'identités : utilisez le fichier
.pemde la certification Okta.
Plus bas dans la page, assurez-vous que l'option Activer la déconnexion globale est sélectionnée, puis entrez les informations suivantes.
- Pour URL de demande de déconnexion du PID : entrez l'URL SingleLogoutService.
- Pour URL de réponse de déconnexion d'IDP : eEnter pour l'URL SingleLogoutService.
- Assurez-vous que la liaison de déconnexion est définie sur POST.
- Cliquez sur Suivant.
- Dans la page Map attributes :
- Pour le format NameId demandé, choisissez
Email address. - Pour Attribut utilisateur de fournisseur d'identités : choisissez l'ID de nom d'assertion SAML.
- Pour Attribut utilisateur de domaine d'identité : choisissez Adresse électronique principale.
- Pour le format NameId demandé, choisissez
- Cliquez sur Suivant.
- Vérifiez, puis cliquez sur Créer un fournisseur d'identités.
- Sur la page Prochaine étape, cliquez sur Activer, puis sur Ajouter à la stratégie IdP.
- Cliquez sur Stratégie de fournisseur d'identités par défaut pour l'ouvrir, puis cliquez sur le menu Actions (
) de la règle et cliquez sur Modifier la règle IdP. - Cliquez sur Affecter des fournisseurs d'identités, puis sur Okta pour l'ajouter à la liste.
- Cliquez sur Enregistrer les modifications.
- Téléchargez le certificat du SP :
- Dans la console OCI dans le domaine dans lequel vous travaillez, cliquez sur Sécurité, puis sur Fournisseurs d'identités.
- Cliquez sur Okta.
- Sur la page Okta IdP, cliquez sur Métadonnées du fournisseur de services.
- Cliquez sur Télécharger en regard du certificat de signature du fournisseur de services pour télécharger le certificat de signature du fournisseur de services et l'enregistrer.
- Dans la console Okta, cliquez sur Application, puis sur la nouvelle application
OCI IAM. - Accédez à l'onglet Connexion et cliquez sur Modifier.
- Sélectionnez Activer la déconnexion unique.
- Accédez au certificat que vous avez téléchargé à partir de la console OCI IAM à l'étape précédente, puis cliquez sur Télécharger vers le serveur.
- Faites défiler l'affichage jusqu'à Advance Sign-on Settings (Paramètres de connexion avancés).
- Entrez les informations suivantes :
- GUID Oracle Cloud Infrastructure IAM : entrez l'URL de domaine OCI IAM de l'étape 10 dans 1. Obtenez les métadonnées du fournisseur d'identités OCI et l'URL de domaine.
- Définissez le format de nom utilisateur de l'application sur
Email.
- Cliquez sur Enregistrer.
- Accédez à l'onglet Affectations et affectez les utilisateurs auxquels vous voulez avoir accès à cette application.
- Cliquez sur Suivant.
-
Entrez l'URL de la console :
- Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
- Connectez-vous avec votre nom utilisateur et votre mot de passe.
- Sélectionnez le domaine pour lequel vous avez configuré Okta IdP.
- Sur la page de connexion, cliquez sur l'icône Okta.
- Entrez vos informations d'identification Okta. Vous êtes connecté à la console OCI.
Félicitations ! Vous avez configuré une connexion unique entre Okta et OCI IAM de deux manières différentes.
Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :