Remarques :

Automatiser l'adhésion du groupe de domaines Oracle Cloud Infrastructure Identity and Access Management avec les groupes Push Okta

Introduction

Dans le monde réel, il peut exister des scénarios dans lesquels les clients peuvent disposer d'Okta en tant que fournisseur d'identités d'entreprise (IdP), mais les utilisateurs ont également besoin d'accéder aux services hébergés par Oracle Cloud Infrastructure (OCI). Dans de tels scénarios, nous vous recommandons de configurer Federation pour automatiser le provisionnement automatique des utilisateurs et des groupes à partir d'Okta vers des domaines d'identité afin d'améliorer la gestion du cycle de vie des utilisateurs.

Pour plus d'informations sur la configuration de la fédération et du provisionnement, reportez-vous à SSO avec OCI et Okta et à Gestion du cycle de vie des identités entre OCI et Okta.

Pour gérer les adhésions à des groupes dans Okta et Oracle Cloud Infrastructure (OCI), Push Group joue un rôle crucial. Examinons divers scénarios impliquant le provisionnement et la gestion des appartenances à un groupe à l'aide du groupe Push Okta.

Avantages clés

Objectifs

Prérequis

Tâche 1 : synchronisation de l'appartenance d'un groupe à des domaines OCI IAM

Lorsqu'aucun groupe n'existe sur les domaines OCI IAM, vous pouvez créer des groupes de propagation par nom.

  1. Sélectionnez le groupe Okta avec ses membres.

  2. Sélectionnez Créer un groupe pour OCI.

Ce processus garantit que le groupe apparaît sur le domaine OCI IAM mais qu'il ne contient aucun membre.

pushgroupbyname

Ensuite, vous pouvez affecter des utilisateurs du groupe Okta à l'application sous Affectations.

Vous remarquerez que les utilisateurs que vous avez affectés sur Okta sont provisionnés dans le domaine OCI IAM et que l'appartenance au groupe est mise à jour.

Remarque : quel que soit le nombre d'utilisateurs dans le groupe Okta côté Okta, les utilisateurs affectés à l'application seront affichés sous l'appartenance du groupe propagé sur le domaine OCI IAM. En outre, Okta recommande d'affecter le groupe à l'application lors de sa propagation via des groupes Push.

Ou

Dans le scénario dans lequel un groupe existe déjà dans le domaine OCI IAM, le processus visant à garantir une synchronisation efficace des groupes implique les étapes suivantes.

  1. Identifiez le groupe Okta contenant les membres nécessaires.

  2. Liez le groupe et sélectionnez le groupe préexistant sur les domaines OCI IAM.

Remarque : lorsqu'un groupe portant le même nom est trouvé dans les domaines OCI IAM, le système déplace les membres de manière transparente vers ce groupe existant. Inversement, si les noms de groupe ne correspondent pas, le groupe sélectionné sera automatiquement renommé pour s'aligner sur le nom de groupe Okta, préservant ainsi la cohérence entre les deux plates-formes.

En suivant ces directives, les entreprises peuvent rationaliser la gestion des appartenances aux groupes, en veillant à ce que les membres soient alloués avec précision tout en respectant les conventions de dénomination dans le domaine OCI IAM et la plate-forme Okta.

Tâche 2 : dissocier des groupes du provisionnement en mode Push

Lorsqu'un groupe est dissocié de la propagation sur la fin Okta, vous avez deux façons de dissocier efficacement le groupe.

  1. Supprimer le groupe dans l'application cible (recommandé) : en supprimant le groupe dans l'application cible, vous supprimez effectivement son lien. Cette action supprimera le groupe dans le domaine OCI IAM tout en veillant à ce que les utilisateurs restent dans le domaine OCI IAM et restent dans un état actif. Si le lien de groupe de propagation est créé à nouveau pour le même groupe, le groupe, ainsi que son appartenance, sera recréé sur le domaine OCI IAM.

  2. Laisser le groupe dans l'application cible : si vous choisissez de le laisser dans l'application cible, le groupe sera également dissocié, mais le groupe persistera sur le domaine OCI IAM avec son appartenance.

    dissocier les groupes

Lors de la nouvelle création du lien de groupe, une correspondance est trouvée avec le groupe sur le domaine OCI IAM. Ce processus rétablira le lien entre les groupes.

Points importants à noter

Lorsqu'un groupe lié est explicitement supprimé des domaines OCI IAM, certaines étapes doivent être effectuées.

  1. Même après la suppression, le lien peut toujours apparaître dans Okta, mais le processus de propagation rencontre une erreur indiquant que le groupe lié est manquant dans OCI IAM. Modifiez le groupe lié pour reprendre la propagation des appartenances au groupe.

  2. La recréation du groupe portant le même nom sur le domaine OCI IAM ne reliera pas automatiquement le groupe Okta. La solution recommandée consiste à supprimer le lien sur Okta, puis à le recréer.

En outre, il existe une fonctionnalité utile pour les groupes Push appelée groupes Push par règle. Voici comment cela fonctionne.

  1. Vous pouvez créer une règle avec des conditions indiquant quand propager des groupes d'Okta vers le domaine OCI IAM.

  2. Les conditions peuvent être basées sur le nom ou la description du groupe, avec différents opérateurs disponibles pour les deux champs, tels que commence par, se termine par et contient.

    règle de transmission

Etapes suivantes

Pousser les groupes avec leur appartenance du domaine Okta au domaine OCI IAM vous aide à maintenir facilement l'accès à vos applications finales en affectant ces groupes aux applications. En outre, vous pouvez mettre à jour l'adhésion pour autoriser ou interdire l'accès aux applications finales en mettant simplement à jour l'adhésion sur Okta.

Remerciements

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.