A propos de la configuration de SAML et SCIM

Vous pouvez configurer une connexion fédérée entre un domaine d'identité et un fournisseur d'identités externe pour vous connecter et accéder aux ressources OCI à l'aide d'identifiants et de mots de passe existants gérés par le fournisseur d'identités.

Configurer SAML dans Okta

Configurez Okta en tant qu'utilisateur IdP, OCI Identity and Access Management agissant en tant que fournisseur de services, ce qui permet à l'utilisateur d'accéder aux services et aux applications dans OCI Identity and Access Management à l'aide d'informations d'identification utilisateur authentifiées par Okta.

  1. Dans Okta, cliquez sur Administration.
  2. Dans le panneau de gauche, cliquez sur Applications, puis sur Applications.
  3. Sous Applications, cliquez sur Parcourir le catalogue d'applications.
  4. Dans le champ de recherche, entrez saml, puis sélectionnez Fournisseur de services SAML.
  5. Cliquez sur Ajouter une intégration.
  6. Dans le champ Libellé d'application, entrez Okta SAML Provider.
  7. Cliquez sur Suivant.
  8. Dans le champ Etat de relais par défaut, entrez https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
    1. Dans OCI, cliquez sur le menu principal, puis sur Identité et sécurité, Identité et Domaines.
    2. Notez le nom de la location et le nom du domaine.
    3. Remplacez yourtenancyname et yourdomainname, le cas échéant.

Configuration de SAML dans OCI

Configurez une configuration SAML IdP dans OCI à l'aide des options SAML configurées dans Okta.

Vous basculerez fréquemment entre OCI et Okta au cours de cette configuration.
  1. Dans la console OCI, cliquez sur le menu principal, puis sur Identité et sécurité, sur la page Ajouter un fournisseur d'identités SAML et sélectionnez Entrer les métadonnées du fournisseur d'identités manuellement.
  2. Dans Okta, sur la page Ajouter un fournisseur de services SAML, sous Détails des métadonnées, cliquez sur Plus de détails, puis, en regard de Connexion à l'URL, cliquez sur Copier.
  3. Dans OCI, dans le champ URI de l'émetteur du fournisseur d'identités, entrez le texte copié.
  4. Dans Okta, sous Méthodes de connexion, cliquez sur Afficher les instructions de configuration, puis, sous Connexion à votre fournisseur de services, copiez le texte de l'URI de l'émetteur du fournisseur d'identités.
  5. Dans OCI, dans chacun des champs URL de service SSO, Champ URL de demande de déconnexion du fournisseur d'identités et URL de réponse de déconnexion du fournisseur d'identités, entrez l'URL de connexion que vous avez conservée à partir d'Okta.
  6. Sous Liaison de déconnexion, sélectionnez POST.
  7. Activez Envoyer le certificat de signature avec le message SAML.
  8. Cliquez sur Suivant.
  9. Dans la liste déroulante Format NameID demandé, sélectionnez Adresse électronique.
  10. Cliquez sur Créer IdP.
  11. Sur la page Exporter, en regard de URL du service consommateur d'assertion, cliquez sur Copier.
  12. Dans Okta, dans le champ URL du service consommateur d'assertion, entrez le texte copié.
  13. Dans OCI, sur la page Exporter, en regard de ID de fournisseur, cliquez sur Copier.
  14. Dans Okta, dans le champ ID d'entité du fournisseur de services, entrez le texte copié.
  15. Cliquez sur Terminé.
  16. Sur la page Fournisseur SAML Okta, cliquez sur Affecter, puis sur Affecter à des personnes.
  17. Cliquez sur Affecter en regard du nom de chaque destinataire, indiquez un nom utilisateur, puis cliquez sur Enregistrer et revenir en arrière.
  18. Cliquez sur Terminé.
  19. Dans OCI, cliquez sur Suivant.
  20. (Facultatif) Cliquez sur Tester la connexion.
  21. Cliquez sur Suivant.
  22. Cliquez sur Activer.
  23. Cliquez sur Terminer.
  24. Sous Sécurité, cliquez sur Stratégies IdP.
  25. Cliquez sur Stratégie de fournisseur d'identités par défaut.
  26. Sur la ligne Règle de fournisseur d'identités par défaut, cliquez sur les trois points, puis cliquez sur Modifier la règle IdP.
  27. Sous Affecter un fournisseur d'identités, cliquez et sélectionnez Configuration Okta-SAML.
  28. Cliquez sur Enregistrer les modifications.
  29. Revenez à la page Stratégies IdP, puis cliquez sur Stratégies de connexion.
  30. Cliquez sur la stratégie de connexion par défaut.
  31. Sur la ligne Règle de connexion par défaut, cliquez sur les trois points, puis sur Modifier la règle de connexion, puis sur Continuer.
  32. Sous Affecter un fournisseur d'identités, cliquez et sélectionnez Configuration Okta-SAML.
  33. Cliquez sur Enregistrer les modifications.
  34. Connectez-vous à votre location Oracle Cloud à l'aide de l'option Okta-SAML-Setup.
  35. Connectez-vous à Okta.
  36. Sur l'écran de vérification, sélectionnez Obtenir une notification Push.

Provisionner SCIM

Utilisez le processus de provisionnement SCIM pour configurer SSO afin de gérer les identités utilisateur dans le cloud. OCI Identity and Access Management prend en charge la gestion du cycle de vie des utilisateurs entre Okta et OCI Identity and Access Management.

  1. Dans Okta, cliquez sur Administration.
  2. Dans le panneau de gauche, cliquez sur Applications, puis sur Applications.
  3. Cliquez sur Créer une intégration d'application.
  4. Sélectionnez SAML 2.0, puis cliquez sur Suivant.
  5. Dans le champ Nom de l'application, entrez OCI OKTA SCIM Integration, puis cliquez sur Suivant.
  6. Dans OCI, cliquez sur le menu, puis sur Identité et sécurité et sur Domaines.
  7. Sur la page Domaines, cliquez sur Par défaut.
  8. Dans le panneau de gauche, cliquez sur Sécurité, puis sur Fournisseurs d'identités.
  9. Sur la ligne Okta-SAML-Setup, cliquez sur les trois points, puis sur Modifier IdP.
  10. Sous Détails de l'export, sur la ligne URL de service de consommation d'assertion, cliquez sur Copier.
  11. Dans Okta, dans le champ URL de connexion inactives, entrez le texte copié.
  12. Dans OCI, sous Détails de l'export, sur la ligne ID de fournisseur, cliquez sur Copier.
  13. Dans Okta, dans le champ URI d'audience (ID d'entité de PdS), entrez le texte copié.
  14. Dans le champ RelayState par défaut, entrez https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname.
  15. Cliquez sur Suivant.
  16. A part Êtes-vous un client ou un partenaire ?, sélectionnez Je suis un fournisseur de logiciels..., puis cliquez sur Terminer.
  17. Cliquez sur l'onglet Général.
  18. En plus des paramètres d'application, cliquez sur Modifier.
  19. Outre Provisionnement, sélectionnez SCIM, puis cliquez sur Enregistrer.
  20. Cliquez sur l'onglet Provisionnement.
  21. En plus de la connexion SCIM, cliquez sur Modifier.
  22. Entrez l'URL du domaine :
    1. Dans OCI, accédez à Domaines, puis cliquez sur Par défaut.
    2. En plus de l'URL de domaine, cliquez sur Afficher, puis copiez l'URL.
    3. Dans Okta, dans le champ URL de base du connecteur SCIM, entrez l'URL copiée.
    4. Remplacez la formation :433 par /admin/v1.
  23. Dans le champ Identificateur unique des utilisateurs, entrez votre nom utilisateur.
  24. En plus des actions de provisionnement prises en charge, sélectionnez :
    • Importer les nouveaux utilisateurs et les mises à jour de profil
    • Propager les nouveaux utilisateurs
    • Mises à jour de profil Push
    • Groupes Push
  25. Dans la liste déroulante Mode d'authentification, sélectionnez En-tête HTTP.
  26. Entrez le jeton d'autorisation :
    1. Dans OCI, accédez à Domaines, puis cliquez sur Par défaut.
    2. Cliquez sur Applications intégrées, puis sur Add application.
    3. Sélectionnez Application confidentielle, puis cliquez sur Lancer le workflow.
    4. Dans le champ Nom, entrez Okta-SCIM-OCI.
    5. Sous Authentification et autorisation, activez Imposer les autorisations en tant qu'autorisation, puis cliquez sur Suivant.
    6. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
    7. Sous Autorisation, activez les informations d'identification client.
    8. En bas, activez Ajouter des rôles d'application, puis cliquez sur Ajouter des rôles.
    9. Activez Administrateur des utilisateurs, puis cliquez sur Ajouter, sur Suivant et sur Terminer.
    10. Cliquez sur activer, puis activer l'application.
    11. Sous Informations générales, copiez l'ID de jeu de données.
    12. Ouvrez un encodeur Base64, puis entrez l'ID client et ajoutez un signe deux-points à la fin.
    13. Sous Informations générales, sous Clé secrète client, cliquez sur Afficher la clé secrète, puis sur Copier.
    14. Dans l'encodeur Base64, ajoutez la clé secrète client à la fin.
    15. Exécutez l'encodeur, puis copiez le texte encodé.
    16. Dans Okta, sous En-tête HTTP, dans le champ Authentification, entrez le texte encodé.
    17. (Facultatif) Cliquez sur Tester la configuration du connecteur.
    18. Cliquez sur Save.
  27. En plus du provisionnement de l'application, cliquez sur Modifier.
  28. Activer:
    • Créer des utilisateurs
    • Mettre à jour les attributs utilisateur
    • Désactiver l'utilisateur
  29. Cliquez sur Save.
  30. Cliquez sur l'onglet Affectations, développez la liste déroulante Affecter, cliquez sur Affecter à des personnes, configurez l'affectation, puis cliquez sur Terminé.
    Le nouvel utilisateur doit apparaître dans la liste Utilisateurs du domaine par défaut dans OCI.

Configuration d'OCI SAML IdP

Utilisez les options de configuration Okta pour mettre à jour la configuration SAML IdP.

  1. Dans la console OCI, sous Fournisseurs d'identités SAML IdP, sélectionnez le SAML IdP créé précédemment (par exemple, Okta).
  2. Cliquez sur le menu Action (trois points), puis cliquez sur Modifier IdP.
  3. Copiez et collez l'émetteur pour mettre à jour l'URI de l'émetteur du fournisseur d'identités.
  4. Copiez et collez l'URL de connexion pour mettre à jour l'URL de demande de déconnexion du fournisseur d'identités, l'URL de réponse de déconnexion du fournisseur d'identités et l'URL de service SSO.
  5. Sous Certificat de signature, téléchargez le certificat de signature précédemment téléchargé.
  6. Cliquez sur Save.
  7. Cliquez sur le menu Action (trois points), puis sur Activer.
Cela doit configurer votre provisionnement SCIM. A partir de là, le provisionnement et la fédération des utilisateurs via Okta doivent être possibles.

Résoudre l'erreur de groupe de propagation SCIM

Résolvez l'erreur de groupe de propagation SCIM, si vous la rencontrez.

Vous devrez désactiver et supprimer la configuration SCIM précédente dans le cadre de ce correctif.

  1. Dans Okta, cliquez sur Applications > Applications > Parcourir le catalogue d'applications.
  2. Recherchez et sélectionnez Oracle Identity Cloud Service.
  3. Cliquez sur Ajouter une intégration.
  4. Dans le champ Sous-domaine, entrez n'importe quel élément (par exemple, idcs-a1b2c3d4).
  5. Cliquez sur Terminé.
  6. Cliquez sur l'onglet Provisionnement, puis sur Configurer l'intégration d'API.
  7. Cliquez sur Activer l'intégration d'API.
  8. Dans le champ URL de base, entrez l'URL de domaine enregistrée :
    1. Dans OCI, accédez à Identité > Domaines.
    2. Cliquez sur Par défaut.
    3. Développez le champ URL de domaine et cliquez sur Copier.
    4. Dans Okta, collez-le dans le champ URL de base, puis ajoutez-le : /admin/v1
  9. Supprimer l'application existante.
    1. Dans OCI, accédez à Identité > Domaines > Domaine par défaut > Applications intégrées.
    2. Cliquez sur le menu (trois points) de l'application > Désactiver > Désactiver l'application.
    3. Cliquez à nouveau sur le menu > Supprimer > Supprimer l'application.
  10. Créer une application.
    1. Cliquez sur Ajouter une application > Application confidentielle > Lancer le workflow.
    2. Dans le champ Nom, entrez Okta_IDCS, puis cliquez sur Suivant.
    3. Cliquez sur Configuration client.
    4. Activez Informations d'identification client.
    5. Activez Ajouter des rôles d'application.
    6. Cliquez sur Ajouter des rôles.
    7. Activez Administrateur utilisateur, puis cliquez sur Ajouter.
    8. Cliquez sur Suivant, puis sur Terminer.
    9. Sur la page de l'application, cliquez sur Activer > Activer l'application.
  11. Générez un jeton.
    1. Sur la page de l'application, sous Informations générales, copiez l'ID client.
    2. Collez l'ID client dans le champ d'entrée d'un générateur de jetons base64.
    3. Sur la page de l'application, sous Informations générales, cliquez sur Afficher la clé secrète, puis sur Copier.
    4. Ajoutez la clé secrète à l'ID client, puis encodez et copiez le jeton d'API.
    5. Dans Okta, dans le champ Jeton d'API, collez le jeton d'API.
    6. Cliquez sur Tester les informations d'identification d'API, puis (en cas de réussite) sur Enregistrer.
  12. Terminez le provisionnement.
    1. Dans Okta, dans l'onglet Provisionnement, en regard de Provisionnement vers l'application, cliquez sur Modifier.
    2. Activez Créer des utilisateurs, Mettre à jour les attributs utilisateur et Désactiver des utilisateurs, puis cliquez sur Enregistrer.
  13. Créez un groupe de tests.
    1. Dans Okta, cliquez sur l'onglet Groupes Push.
    2. Cliquez sur Groupes Push > Rechercher des groupes par nom.
    3. Dans le champ Par nom, entrez test_group, puis cliquez sur Enregistrer.
  14. Affectez le groupe de tests.
    1. Dans Okta, cliquez sur l'onglet Affectations.
    2. Cliquez sur Affecter > Affecter à des personnes.
    3. En dehors de Test_user_SCIM_Prov, cliquez sur Affecter.
    4. Cliquez sur Terminé > Enregistrer et revenir en arrière > Terminé.
    5. Cliquez sur l'onglet Groupes Push.
    6. Sous Statut d'envoi, définissez la liste déroulante sur Envoyer maintenant.
    7. Dans OCI, l'actualisation et le groupe de tests doivent apparaître.