Documentazione di Oracle Cloud Infrastructure

Provisioning JIT da Okta a IAM OCI

In questa esercitazione viene configurato il provisioning JIT (Just-In-Time) tra la console OCI e Okta, utilizzando Okta come provider di identità (IdP).

È possibile impostare il provisioning JIT in modo che le identità possano essere create nel sistema di destinazione al momento della richiesta di accesso al sistema di destinazione. Questo può essere più facile da configurare che avere tutti gli utenti creati in anticipo.

Questa esercitazione descrive i passi riportati di seguito.

  1. Configura gli attributi SAML inviati da Okta.
  2. Configurare gli attributi JIT in IAM OCI.
  3. Eseguire il test del provisioning JIT tra IAM OCI e Okta.
Nota

Questa esercitazione è specifica di IAM con i domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Un account Oracle Cloud Infrastructure (OCI) a pagamento o un account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.

  • Ruolo amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli di amministratore.
  • Un account Okta con uno dei seguenti ruoli Okta:
    • Amministratore globale
    • Amministratore applicazione cloud
    • Amministratore applicazione

Inoltre, è necessario aver completato l'esercitazione SSO con OCI e Okta e aver raccolto l'ID oggetto dei gruppi che si intende utilizzare per il provisioning JIT.

1. Configura attributi SAML inviati da Okta

In IAM OCI, aggiornare Okta IdP per JIT.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Selezionare il dominio di Identity che verrà utilizzato per configurare SSO.
  4. Accedi con il tuo nome utente e la tua password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza.
  6. In Identità selezionare Domini.
  7. Selezionare il dominio di Identity in cui Okta è stato configurato come IdP.
  8. Selezionare Sicurezza nel menu a sinistra, quindi Provider di identità.
  9. Selezionare Okta IdP.
  10. Selezionare Configura JIT.

    Pagina di configurazione per il provider di identità Okta in IAM

  11. Nella pagina Configure Just-in-time (JIT) provisioning:
    • Selezionare Provisioning JIT (Just-In-Time).
    • Selezionare Create a new identity domain user.
    • Selezionare Aggiornare l'utente del dominio di identità esistente.

    abilita provisioning just-in-time

  12. In Mappa attributi utente:
    1. Lasciare invariata la prima riga per NameID.
    2. Per gli altri attributi, in IdP attributo utente selezionare Attribute.
    3. Fornire il nome dell'attributo utente IdP come indicato di seguito
      • familyName: familyName
      • primaryEmailAddress: email
    4. Selezionare Aggiungi riga e immettere: firstName.

      Per l'attributo utente del dominio di Identity, scegliere First name.

      Nota

      Se sono stati configurati attributi utente aggiuntivi da inviare come parte dell'asserzione utente da Okta, è possibile mapparli agli attributi utente del dominio di Identity aggiungendo righe aggiuntive.
  13. Selezionare Assegna mapping gruppi.
  14. Immettere il nome dell'attributo di appartenenza al gruppo. In questa esercitazione utilizzare groups.
    Nota

    Prendere nota del nome dell'attributo di appartenenza al gruppo, poiché verrà utilizzato nella sezione successiva.
  15. Selezionare Definisci mapping di appartenenza ai gruppi espliciti.
  16. In IdP il nome del gruppo è mappato al nome del gruppo del dominio di identità, effettuare le operazioni riportate di seguito.
    • In IdP Nome gruppo, fornire il nome del gruppo in Okta.
    • In Nome gruppo di domini di Identity, selezionare il gruppo in IAM OCI a cui mappare il gruppo Okta.

      Assegna mapping dei gruppi

      Nota

      È possibile eseguire il mapping di gruppi aggiuntivi selezionando Aggiungi riga.

      Questo diagramma mostra gli attributi configurati in Okta a sinistra e gli attributi mappati in IAM OCI a destra.

      Mapping degli attributi di gruppo tra Okta e IAM OCI

  17. In Regole assegnazione selezionare quanto riportato di seguito.
    1. Quando si assegnano appartenenze ai gruppi: Unisci con appartenenze ai gruppi esistenti
    2. Quando non viene trovato un gruppo: ignorare il gruppo mancante

    impostazione di regole di assegnazione

    Nota

    Selezionare le opzioni in base ai requisiti dell'organizzazione.
  18. Selezionare Salva modifiche.
2. Configurare gli attributi JIT per IAM OCI

In Okta, aggiornare la configurazione dell'applicazione IAM OCI per inviare gli attributi utente e il nome del gruppo nell'asserzione SAML.

  1. In Okta, nell'applicazione enterprise creata per IAM OCI, selezionare la scheda Collega.
  2. Selezionare Modifica accanto a Impostazioni.
  3. In Saml 2.0, selezionare > accanto a Attributi (facoltativo).
  4. Fornire i valori riportati di seguito.
    Nome Formato nome Valore
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    È possibile aggiungere attributi aggiuntivi per soddisfare i requisiti aziendali, ma sono necessari solo per questa esercitazione.

    Attributi Okta

  5. In Rendiconti attributi gruppo, immettere questo valore.
    Nota

    Okta fornisce un meccanismo per filtrare i gruppi che possono essere inviati nell'asserzione SAML. Il filtro include le opzioni Starts with, Equals, Contains e Matches regex. In questa esercitazione viene utilizzato il filtro Contains, ovvero Okta invia solo i gruppi associati all'utente e che contengono la stringa specificata. In questo esempio è stata specificata la stringa Admin, pertanto tutti i gruppi che contengono la stringa Admin e sono associati all'utente vengono inviati nell'asserzione SAML.
    Nome Formato nome Filtro Valore
    groups Unspecified Contains Admin

    Attributi gruppo Okta

  6. Selezionare Salva.
3. Test provisioning JIT tra Okta e OCI
In questa sezione è possibile verificare che il provisioning JIT funzioni tra Okta e IAM OCI.
  1. Nella console Okta creare un nuovo utente con un ID di posta elettronica non presente in IAM OCI.
  2. Assegnare l'utente ai gruppi richiesti, ad esempio Administrators and Admins.
  3. Eseguire il logout da Okta.
  4. Assegnare l'utente all'applicazione IAM OCI in Okta.

    Utente in Okta

  5. Nel browser, aprire OCI Console.
  6. Selezionare il dominio di Identity in cui è stata abilitata la configurazione JIT.
  7. Nelle opzioni di accesso, selezionare Okta.
  8. Nella pagina di login di Okta, fornire l'ID utente appena creato.
  9. In caso di autenticazione riuscita da Okta:
    • L'account utente viene creato in IAM OCI.
    • L'utente viene collegato a OCI Console.

    Profilo personale in IAM OCI per l'utente

  10. Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata. Controllare le proprietà dell'utente, ad esempio ID e-mail, nome, cognome e gruppi associati.

    Controllare le proprietà utente in IAM OCI

Operazioni successive

Complimenti. Impostazione del provisioning JIT tra Okta e IAM riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: