Documentazione di Oracle Cloud Infrastructure

Identity Lifecycle Management tra OCI e Okta

In questa esercitazione viene configurata la gestione del ciclo di vita degli utenti tra Okta e IAM OCI, in cui Okta funge da area di memorizzazione delle identità affidabile.

Questa esercitazione della durata di 30 minuti mostra come eseguire il provisioning di utenti e gruppi da Okta a IAM OCI.

  1. Creare un'applicazione riservata in IAM OCI.
  2. Recupera l'URL del dominio di Identity e genera un token segreto.
  3. Creare un'applicazione in Okta.
  4. Aggiornare le impostazioni di Okta.
  5. Test del funzionamento del provisioning tra IAM OCI e Okta.
  6. Inoltre, istruzioni su come
    • Impostare lo stato federato degli utenti in modo che vengano autenticati dal provider di identità esterno.
    • Impedisci agli utenti di ricevere e-mail di notifica quando il loro account viene creato o aggiornato.
Nota

Questa esercitazione è specifica di IAM con i domini di Identity.
Prima di iniziare

Per eseguire questo set di esercitazioni, è necessario disporre dei seguenti elementi:

Sono disponibili le informazioni aggiuntive richieste dai passi dell'esercitazione:

  • URL del dominio IAM OCI.
  • ID client IAM OCI e segreto client.
1. Creare un'applicazione riservata in OCI

Creare un'applicazione riservata in IAM OCI e attivarla.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Accedi con il tuo nome utente e la tua password.
  4. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  5. Selezionare il dominio di Identity in cui si desidera configurare il provisioning Okta e selezionare Applicazioni.
  6. Selezionare Aggiungi applicazione, quindi scegliere Applicazione riservata e selezionare Avvia workflow.

    Applicazione riservata

  7. Immettere un nome per l'applicazione riservata, ad esempio OktaClient. Selezionare Successivo.
  8. In Configurazione client, selezionare Configure this application as a client now.
  9. In Autorizzazione, selezionare Credenziali client.

    Configura applicazione come client

  10. Scorrere fino in fondo e selezionare Aggiungi ruoli applicazione.
  11. In Ruoli applicazione selezionare Aggiungi ruoli, quindi nella pagina Aggiungi ruoli applicazione selezionare Amministratore utente e Aggiungi.

    Aggiungi ruoli dell'applicazione

  12. Selezionare Avanti, quindi selezionare Fine.
  13. Nella pagina dei dettagli dell'applicazione selezionare Attiva e confermare di voler attivare la nuova applicazione.
2. Trovare il GUID IAM OCI e generare un token segreto

Sono necessarie due informazioni da utilizzare come parte delle impostazioni di connessione per l'applicazione Okta creata in seguito.

  1. Tornare alla panoramica del dominio di Identity selezionando il nome del dominio di Identity negli indicatori di percorso. Selezionare Copia accanto all'URL dominio nelle informazioni sul dominio e salvare l'URL in un'applicazione in cui è possibile modificarlo.

    Informazioni sul dominio che mostrano la posizione delle informazioni sull'URL del dominio.

    Il GUID IAM OCI fa parte dell'URL del dominio:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Ad esempio: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Nell'applicazione riservata in IAM OCI, selezionare OAuth configuration in Resources.
  3. Scorrere verso il basso e in Informazioni generali prendere nota dell'ID client e del segreto client.
  4. Scorrere verso il basso e trovare l'ID client e il segreto client in Informazioni generali.
  5. Copiare l'ID client e memorizzarlo
  6. Selezionare Mostra segreto, copiare il segreto e memorizzarlo.

    ID client e segreto client

    Il token segreto è la codifica base64 di <clientID>:<clientsecret> oppure
    base64(<clientID>:<clientsecret>)

    Questi esempi mostrano come generare il token segreto in Windows e MacOS.

    In un ambiente Windows, aprire CMD e utilizzare questo comando powershell per generare la codifica base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    In MacOS, utilizzare
    echo -n <clientID>:<clientsecret> | base64
    Viene restituito il token segreto. Esempio
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Prendere nota del valore del token segreto.

3. Crea un'app in Okta

Creare un'applicazione in Okta.

  1. Nel browser, accedere a Okta utilizzando l'URL:

    https://<Okta-org>-admin.okta.com

    Dove <okta-org> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra, selezionare Applicazioni.

    Se si dispone già di un'applicazione creata durante l'esecuzione di SSO con OCI e Okta, è possibile utilizzarla. Selezionare questa opzione per aprirla e modificarla, quindi passare a 5. Modificare le impostazioni di Okta.

  3. Selezionare Sfoglia catalogo applicazioni e cercare Oracle Cloud. Selezionare IAM di Oracle Cloud Infrastructure tra le opzioni disponibili.
  4. Selezionare Aggiungi integrazione.
  5. In Impostazioni generali, immettere un nome per l'applicazione, ad esempio OCI IAM, e selezionare Fine.
5. Modifica impostazioni Okta

Connettere l'applicazione Okta all'applicazione riservata IAM OCI utilizzando l'URL del dominio e il token segreto da un passo precedente.

  1. Nella pagina dell'applicazione appena creata, selezionare la scheda Collega.
  2. In Impostazioni, selezionare Modifica.
  3. Scorrere fino a Impostazioni di accesso avanzate.
  4. Immettere l'URL del dominio nel GUID IAM di Oracle Cloud Infrastructure.
  5. Selezionare Salva.
  6. Nella parte superiore della pagina, selezionare la scheda Provisioning.
  7. Selezionare Configura integrazione API.
  8. Selezionare Abilita integrazione API.

    Abilita integrazione API

  9. Immettere il valore del token segreto copiato in precedenza in Token API.

  10. Selezionare Test credenziali API.

    Se viene visualizzato un messaggio di errore, controllare i valori immessi e riprovare.

    Quando viene visualizzato un messaggio Oracle Cloud Infrastructure IAM was verified successfully!, Okta si è connesso correttamente all'endpoint SCIM IAM OCI.

  11. Selezionare Salva.

Viene visualizzata la pagina Provisioning ad applicazione, in cui è possibile creare utenti, aggiornare gli attributi utente e mappare gli attributi tra IAM OCI e Okta.

6. Esegui test provisioning utenti e gruppi

Per eseguire il test del provisioning di utenti e gruppi per Okta:

  1. Nell'applicazione appena creata, scegliere la scheda Assegnazioni.
  2. Selezionare Assegna e Assegna a persone.
  3. Cercare l'utente di cui eseguire il provisioning da Okta a IAM OCI.

    Selezionare Assegna accanto all'utente.

  4. Selezionare Salva, quindi Torna indietro.
  5. Ora esegue il provisioning dei gruppi Okta in IAM OCI. Nella scheda Assegnazioni, selezionare Assegna e Assegna a gruppi.
  6. Cercare i gruppi di cui eseguire il provisioning in IAM OCI. Accanto al nome del gruppo, selezionare Assegna.
  7. Selezionare Done.
  8. Ora accedi a OCI:

    1. Aprire un browser supportato e immettere l'URL di OCI Console:

      https://cloud.oracle.com.

    2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
    3. Selezionare il dominio di Identity in cui è stato configurato Okta.
  9. Selezionare Utenti.
  10. L'utente assegnato all'applicazione IAM OCI in Okta è ora presente in IAM OCI.
  11. Selezionare Gruppi.
  12. Il gruppo assegnato all'applicazione IAM OCI in Okta è ora presente in IAM OCI.
7. Configurazioni aggiuntive per gli utenti federati
  • È possibile impostare lo stato federato degli utenti in modo che vengano autenticati dal provider di identità esterno.
  • È possibile disabilitare l'invio di e-mail di notifica all'utente quando il relativo account viene creato o aggiornato.
a. Impostazione dello stato federato degli utenti

Gli utenti federati non dispongono delle credenziali per collegarsi direttamente a OCI. Vengono invece autenticati dal provider di identità esterno. Se si desidera che gli utenti utilizzino i propri account federati per collegarsi a OCI, impostare l'attributo federato su true per tali utenti.

Per impostare lo stato federato dell'utente:

  1. Nel browser, accedere a Okta utilizzando l'URL:

    https://<Okta-org>-admin.okta.com

    Dove <okta-org> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra, selezionare Applicazioni.
  3. Selezionare l'applicazione creata in precedenza, OCI IAM.
  4. Scorrere fino alla sezione Mapping attributi.
  5. Selezionare Vai all'editor profili.
  6. In Attributi, selezionare Aggiungi attributi.
  7. Nella pagina Aggiungi attributo:
    • In Tipo di dati, scegliere Boolean.
    • In Nome visualizzato immettere isFederatedUser.
    • In Nome variabile immettere isFederatedUser.
      Nota

      Il nome esterno viene popolato automaticamente dal valore del nome della variabile.
    • Per Spazio di nomi esterno, immettere urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • In Ambito, selezionare User personal.

    Pagina Aggiungi attributo

  8. Tornare alla pagina Applicazione di Okta e selezionare l'applicazione OCI IAM.
  9. Selezionare Provisioning.
  10. Scorrere fino a Mapping attributi e selezionare Mostra attributi non mappati.
  11. Individuare l'attributo isFederatedUser e selezionare il pulsante Modifica accanto all'attributo.
  12. nella pagina degli attributi:
    • Per Valore attributo scegliere Expression.
    • Nella casella sottostante immettere true.
    • In Applica il, scegliere Crea e aggiorna.

    Pagina Attributo

  13. Selezionare Salva.

    Valori degli attributi che mostrano la federazione

Ora, quando viene eseguito il provisioning degli utenti da Okta a OCI, il relativo stato federato viene impostato su true. È possibile visualizzarlo nella pagina del profilo dell'utente in OCI.

  • Nella console OCI, andare al dominio di Identity in uso, selezionare Utenti e selezionare l'utente per mostrare le informazioni sull'utente.
  • Federato viene visualizzato come Yes.

    Informazioni utente che indicano che l'utente è federato

b. Disabilita notifiche per creazione o aggiornamenti account

Il flag di notifica bypass controlla se viene inviata una notifica di posta elettronica dopo aver creato o aggiornato un account utente in OCI. Se non si desidera che gli utenti ricevano una notifica relativa alla creazione dell'account, impostare il flag di notifica bypass su true.

Per impostare il flag di notifica bypass, effettuare le operazioni riportate di seguito.

  1. Nel browser, accedere a Okta utilizzando l'URL:

    https://<Okta-org>-admin.okta.com

    Dove <okta-org> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra, selezionare Applicazioni.
  3. Selezionare l'applicazione creata in precedenza, OCI IAM.
  4. Scorrere fino alla sezione Mapping attributi.
  5. In Attributi, selezionare Aggiungi attributi.
  6. Nella pagina Aggiungi attributo:
    • In Tipo di dati, scegliere Boolean.
    • In Nome visualizzato immettere bypassNotification.
    • In Nome variabile immettere bypassNotification.
      Nota

      Il nome esterno viene popolato automaticamente dal valore del nome della variabile.
    • Per Spazio di nomi esterno, immettere urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • In Ambito, selezionare User personal.

    Pagina Aggiungi attributo

  7. Tornare alla pagina Applicazione di Okta e selezionare l'applicazione OCI IAM.
  8. Selezionare Provisioning.
  9. Scorrere fino a Mapping attributi e selezionare Mostra attributi non mappati.
  10. Individuare l'attributo bypassNotification e selezionare il pulsante Modifica accanto all'attributo.
  11. nella pagina degli attributi:
    • Per Valore attributo scegliere Expression.
    • Nella casella sottostante immettere true.
    • In Applica il, scegliere Crea e aggiorna.

    Pagina Attributo

  12. Selezionare Salva.

    Valori degli attributi che mostrano la notifica bypass

Operazioni successive

Complimenti. Impostazione della gestione del ciclo di vita dell'utente tra Okta e OCI riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: