Remarques :

Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par des valeurs propres à votre environnement cloud.

Configuration d'OCI Search avec l'authentification SAML OpenSearch à l'aide d'Okta

Introduction

Dans les environnements d'entreprise modernes, l'accès avec connexion unique (SSO) simplifie la gestion des accès utilisateur et améliore la sécurité. Oracle Cloud Infrastructure OCI Search with OpenSearch prend en charge l'authentification SAML 2.0, ce qui permet une intégration transparente avec des fournisseurs d'identités tels qu'Okta.

Ce tutoriel vous explique comment configurer Okta en tant que fournisseur SSO pour OCI Search avec le tableau de bord OpenSearch à l'aide de l'authentification SAML 2.0.

Objectifs

A la fin de ce tutoriel, vous pourrez :

Configurer une application Okta SAML 2.0 pour OCI Search avec OpenSearch
Activer l'authentification SAML dans OCI Search avec le cluster OpenSearch
Activer la mise en correspondance de rôles basée sur un groupe Okta pour l'accès au tableau de bord OpenSearch
Tester et vérifier la connexion SSO via Okta

Prérequis

Avant de commencer, vérifiez les éléments suivants :

Une recherche OCI opérationnelle avec un cluster OpenSearch
Accès administrateur Okta
Un groupe Okta nommé opensearch-admins
Utilisateur Okta affecté au groupe opensearch-admins

A savoir : Gardez votre <DS_URL> à portée de main : vous le réutiliserez en plusieurs étapes.

Tâche 1 : extraction de votre recherche OCI avec l'URL du tableau de bord OpenSearch

Connectez-vous à la console OCI.
Accédez à la page de détails du cluster OCI Search with OpenSearch.
Copiez l'URL du tableau de bord. Reportez-vous à <DS_URL> tout au long de ce tutoriel.

Tâche 2 : configurer l'application SAML Okta

Etape 1 : créer une application SAML 2.0

Connectez-vous à Okta Admin Console.
Cliquez sur Créer une intégration d'application.
Sélectionnez le type d'application SAML 2.0.
Indiquez un nom d'application descriptif.

Etape 2 : Configurer les paramètres SAML

Entrez les valeurs suivantes :

URL d'accès avec connexion unique : <DS_URL>/_opendistro/_security/saml/acs
URI d'audience (ID d'entité SP) : <DS_URL>
Etat de relais par défaut : laissez ce champ vide.
Format d'ID de nom : EmailAddress
Nom utilisateur de l'application : courriel
Mettre à jour le nom utilisateur de l'application : créer et mettre à jour (valeur par défaut)

Etape 3 : Configurer les attributs

Attributs utilisateur

Nom : NameID
Format du nom : Non spécifié
Valeur : user.email

Attributs de groupe

Nom : groupe
Format du nom : Non spécifié
Filtre : Commence par → opensearch

Etape 4 : Affecter des utilisateurs et obtenir des métadonnées

Affectez l'application au groupe opensearch-admins.
Accédez à l'onglet Connexion.
Cliquez sur Afficher les instructions de configuration SAML.
Gardez cette page ouverte pour l'étape suivante.

Etape 5 : configuration d'OCI Search avec OpenSearch SAML

Assurez-vous que le cluster OpenSearch est défini sur le mode de sécurité ENFORCING.
Dans la console OCI, ouvrez votre cluster OpenSearch et cliquez sur Actions supplémentaires.
Sélectionnez Ajouter l'authentification SAML.
Configurez les paramètres suivants :
- Désactiver l'authentification SAML : définir sur OFF
- Contenu des métadonnées : copie XML à partir des instructions de configuration Okta
- ID d'entité : copie à partir de l'émetteur de fournisseur d'identités dans Okta
- URL du tableau de bord : <DS_URL>
- Rôle de back-end administrateur : opensearch-admins
- Clé de rôles : group

Tâche 3 : tester l'intégration

Ouvrez OCI Search avec l'URL du tableau de bord OpenSearch (<DS_URL>).
Vous allez être redirigé vers Okta pour vous connecter.
Connectez-vous à l'aide d'un utilisateur du groupe opensearch-admins.
Une fois l'authentification réussie, vous obtiendrez un accès administrateur à OCI Search avec le tableau de bord OpenSearch.

Dépannage et conseils

Remarque : si vous rencontrez l'erreur "Aucun rôle disponible pour cet utilisateur", vérifiez que :

Le groupe opensearch-admins est affecté à l'application Okta

L'utilisateur appartient à ce groupe

Le nom de groupe correspond exactement à la configuration OpenSearch dans OCI Search

La clé Roles est définie sur group

A savoir : Après l'activation de SAML, OCI Search avec OpenSearch Dashboard peut redémarrer. Attendez quelques minutes et réessayez. Si les problèmes persistent, effacez le cache du navigateur ou utilisez une fenêtre incognito.

Remarque : basculez le mode de sécurité OCI Search with OpenSearch sur ENFORCING une fois que la configuration SAML a réinitialisé la configuration existante. Activez toujours ce mode avant d'intégrer Okta.

Etapes suivantes

Après avoir configuré l'authentification SAML entre Okta et OCI Search avec OpenSearch, tenez compte des éléments suivants :

Définir des contrôles d'accès supplémentaires basés sur les rôles pour plusieurs groupes d'utilisateurs
Activer la journalisation d'audit pour surveiller l'activité des utilisateurs
Intégrer la gestion du cycle de vie Okta pour un provisionnement automatisé
Valider périodiquement la fonctionnalité SSO après les modifications de configuration

Liens connexes

Remerciements

Auteurs - Pavan Upadhyay (ingénieur principal du cloud), Saket Bihari (ingénieur principal du cloud)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur la chaîne YouTube Oracle Learning. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.

Informations relatives au titre et au copyright

Configure OCI Search with OpenSearch SAML Authentication Using Okta

G55783-01

Oracle et/ou ses affiliés.