Documentazione dell'infrastruttura Oracle Cloud

Provisioning JIT da Okta a IAM OCI

In questa esercitazione è possibile configurare il provisioning JIT (Just-In-Time) tra OCI Console e Okta, utilizzando Okta come provider di identità (IdP).

È possibile impostare il provisioning JIT in modo che le identità possano essere create nel sistema di destinazione al momento della richiesta di accesso al sistema di destinazione. Questo può essere più facile da configurare che avere tutti gli utenti creati in anticipo.

Questa esercitazione descrive i seguenti passi:

  1. Configura gli attributi SAML inviati da Okta.
  2. Configurare gli attributi JIT in IAM OCI.
  3. Eseguire il test del provisioning JIT tra IAM OCI e Okta.
Nota

Questa esercitazione è specifica di IAM con domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Account Oracle Cloud Infrastructure (OCI) a pagamento o account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.

  • Ruolo di amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli amministratore.
  • Un account Okta con uno dei seguenti ruoli Okta:
    • Amministratore globale
    • Amministratore applicazione cloud
    • Amministratore dell'applicazione

Inoltre, è necessario aver completato l'esercitazione SSO con OCI e Okta e aver raccolto l'ID oggetto dei gruppi che si intende utilizzare per il provisioning JIT.

1. Configura attributi SAML inviati da Okta

In OCI IAM, aggiornare Okta IdP per JIT.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Selezionare il dominio di Identity che verrà utilizzato per configurare SSO.
  4. Accedi con nome utente e password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza.
  6. In Identità selezionare Domini.
  7. Selezionare il dominio di Identity in cui Okta è stato configurato come IdP.
  8. Selezionare Sicurezza nel menu a sinistra, quindi Provider di identità.
  9. Selezionare Okta IdP.
  10. Selezionare Configura JIT.

    Pagina di configurazione per il provider di identità Okta in IAM

  11. Nella pagina Configura provisioning JIT (Just-in-time):
    • Selezionare Provisioning JIT (Just-In-Time).
    • Selezionare Crea un nuovo utente del dominio di Identity.
    • Selezionare Aggiorna l'utente del dominio di Identity esistente.

    abilita provisioning just-in-time

  12. Sotto Attributi utente mappa:
    1. Lasciare invariata la prima riga per NameID.
    2. Per altri attributi, in IdP attributo utente selezionare Attribute.
    3. Fornire il nome attributo utente IdP come indicato di seguito.
      • familyName: familyName
      • primaryEmailAddress: email
    4. Selezionare Aggiungi riga e immettere: firstName.

      Per l'attributo utente del dominio di Identity, scegliere First name.

      Nota

      Se sono stati configurati attributi utente aggiuntivi da inviare come parte dell'asserzione utente da Okta, è possibile mapparli agli attributi utente del dominio di Identity aggiungendo righe aggiuntive.
  13. Selezionare Assegna mapping dei gruppi.
  14. Immettere il nome attributo appartenenza al gruppo. In questa esercitazione, utilizzare groups.
    Nota

    Prendere nota del nome dell'attributo di appartenenza al gruppo, perché verrà utilizzato nella sezione successiva.
  15. Selezionare Definisci mapping espliciti dell'appartenenza ai gruppi.
  16. In IdP il nome del gruppo è mappato al nome del gruppo di domini di Identity, effettuare le operazioni riportate di seguito.
    • In IdP Nome gruppo fornire il nome del gruppo in Okta.
    • In Nome gruppo di domini di Identity, selezionare il gruppo in IAM OCI a cui mappare il gruppo Okta.

      Assegna mappature gruppo

      Nota

      È possibile eseguire il mapping di altri gruppi selezionando Aggiungi riga.

      Questo diagramma mostra gli attributi configurati in Okta a sinistra e gli attributi mappati in IAM OCI a destra.

      Mapping degli attributi di gruppo tra Okta e OCI IAM

  17. In Regole di assegnazione, selezionare quanto segue:
    1. Quando si assegnano le appartenenze a gruppi: Unisci con appartenenze a gruppi esistente
    2. Quando un gruppo non viene trovato: Ignora il gruppo mancante

    impostazione delle regole di assegnazione

    Nota

    Selezionare le opzioni in base ai requisiti dell'organizzazione.
  18. Selezionare Salva modifiche.
2. Configurare gli attributi JIT per IAM OCI

In Okta, aggiornare la configurazione dell'applicazione IAM OCI per inviare gli attributi utente e il nome del gruppo nell'asserzione SAML.

  1. In Okta, nell'applicazione enterprise creata per OCI IAM, selezionare la scheda Connetti.
  2. Selezionare Modifica accanto a Impostazioni.
  3. In Saml 2.0, selezionare > accanto ad Attributi (facoltativo).
  4. Fornire i valori riportati di seguito.
    Nome Formato nome Value
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    È possibile aggiungere attributi aggiuntivi per soddisfare i requisiti aziendali, ma sono necessari solo per questa esercitazione.

    Attributi Okta

  5. In Rendiconti attributi gruppo, inserire questi valori.
    Nota

    Okta fornisce un meccanismo per filtrare i gruppi che possono essere inviati nell'asserzione SAML. Il filtro include opzioni quali Starts with, Equals, Contains e Matches regex. In questo tutorial, usiamo il filtro Contains, il che significa che Okta invia solo quei gruppi che sono associati all'utente e che contengono la stringa specificata. In questo esempio è stato specificato Admin come stringa, pertanto tutti i gruppi che contengono la stringa Admin e sono associati all'utente vengono inviati nell'asserzione SAML.
    Nome Formato nome Filtra Value
    groups Unspecified Contains Admin

    Attributi gruppo Okta

  6. Selezionare Salva.
3. Test del provisioning JIT tra Okta e OCI
In questa sezione è possibile verificare che il provisioning JIT funzioni tra Okta e IAM OCI.
  1. Nella console di Okta creare un nuovo utente con un ID di posta elettronica non presente in IAM OCI.
  2. Assegnare l'utente ai gruppi richiesti, ad esempio Administrators and Admins.
  3. Disconnessione da Okta.
  4. Assegnare l'utente all'applicazione IAM OCI in Okta.

    Utente in Okta

  5. Nel browser, aprire OCI Console.
  6. Selezionare il dominio di Identity in cui è stata abilitata la configurazione JIT.
  7. Nelle opzioni di accesso selezionare Okta.
  8. Nella pagina di login di Okta, fornire l'ID utente appena creato.
  9. Al completamento dell'autenticazione da Okta:
    • L'account utente viene creato in IAM OCI.
    • L'utente è collegato a OCI Console.

    Profilo personale in IAM OCI per l'utente

  10. Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente. Controllare le proprietà dell'utente, ad esempio ID e-mail, nome, cognome e gruppi associati.

    Controllare le proprietà utente in IAM OCI

Operazioni successive

Congratulazioni. Impostazione del provisioning JIT tra Okta e IAM riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, dai un'occhiata a questi siti: