Documentazione dell'infrastruttura Oracle Cloud

Gestione del ciclo di vita delle identità tra OCI e Okta

In questa esercitazione è possibile configurare la gestione del ciclo di vita degli utenti tra Okta e OCI IAM, in cui Okta funge da area di memorizzazione delle identità affidabile.

Questa esercitazione di 30 minuti mostra come eseguire il provisioning di utenti e gruppi da Okta a OCI IAM.

  1. Creare un'applicazione riservata in IAM OCI.
  2. Recupera l'URL del dominio di Identity e genera un token segreto.
  3. Creare un'applicazione in Okta.
  4. Aggiornare le impostazioni di Okta.
  5. Test che il provisioning funziona tra OCI IAM e Okta.
  6. Inoltre, istruzioni su come
    • Impostare lo stato federato degli utenti in modo che vengano autenticati dal provider di identità esterno.
    • Impedisci agli utenti di ricevere e-mail di notifica quando il loro account viene creato o aggiornato.
Nota

Questa esercitazione è specifica di IAM con domini di Identity.
Prima di iniziare

Per eseguire questo set di esercitazioni, è necessario disporre dei seguenti elementi:

Si raccolgono le informazioni aggiuntive necessarie dai passi del tutorial:

  • URL del dominio IAM OCI.
  • L'ID client e il segreto client IAM OCI.
1. Creare un'applicazione riservata in OCI

Creare un'applicazione riservata in IAM OCI e attivarla.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Accedi con nome utente e password.
  4. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  5. Selezionare il dominio di Identity in cui si desidera configurare il provisioning di Okta e selezionare Applicazioni.
  6. Selezionare Aggiungi applicazione, quindi scegliere Applicazione riservata e selezionare Avvia workflow.

    Applicazione riservata

  7. Immettere un nome per l'applicazione riservata, ad esempio OktaClient. Selezionare Next.
  8. In Configurazione client selezionare Configurare l'applicazione come client ora.
  9. In Autorizzazione selezionare Credenziali client.

    Configurare l'applicazione come client

  10. Scorrere fino in fondo e selezionare Aggiungi ruoli applicazione.
  11. In Ruoli applicazione selezionare Aggiungi ruoli e nella pagina Aggiungi ruoli applicazione selezionare Amministratore utente e selezionare Aggiungi.

    Aggiungi ruoli dell'applicazione

  12. Selezionare Successivo, quindi Fine.
  13. Nella pagina dei dettagli dell'applicazione selezionare Attiva e confermare che si desidera attivare la nuova applicazione.
2. Trova il GUID IAM OCI e genera un token segreto

Hai bisogno di due informazioni da utilizzare come parte delle impostazioni di connessione per l'app Okta che crei in seguito.

  1. Tornare alla panoramica del dominio di Identity selezionando il nome del dominio di Identity negli indicatori di percorso. Selezionare Copia accanto a URL dominio nelle informazioni sul dominio e salvare l'URL in un'applicazione in cui è possibile modificarlo.

    Informazioni sul dominio che mostrano dove si trovano le informazioni sull'URL del dominio.

    Il GUID IAM OCI fa parte dell'URL del dominio:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Ad esempio: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. Nell'applicazione riservata in IAM OCI selezionare OAuth configurazione in Risorse.
  3. Scorrere verso il basso e, in Informazioni generali, prendere nota dell'ID client e del segreto client
  4. Scorrere verso il basso e trovare l'ID client e il segreto client in Informazioni generali.
  5. Copiare l'ID client e memorizzarlo
  6. Selezionare Mostra segreto, copiare il segreto e memorizzarlo.

    ID client e segreto client

    Il token segreto è la codifica base64 di <clientID>:<clientsecret> oppure
    base64(<clientID>:<clientsecret>)

    Questi esempi mostrano come generare il token segreto in Windows e MacOS.

    In un ambiente Windows, aprire CMD e utilizzare questo comando powershell per generare la codifica base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    In MacOS, utilizzare
    echo -n <clientID>:<clientsecret> | base64
    Viene restituito il token segreto. Ad esempio
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Prendere nota del valore del token segreto.

3. Creare un'applicazione in Okta

Creare un'applicazione in Okta.

  1. Nel browser, accedere a Okta utilizzando l'URL:

    https://<Okta-org>-admin.okta.com

    Dove <okta-org> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra selezionare Applications.

    Se si dispone già di un'applicazione creata durante l'esecuzione di SSO con OCI e Okta, è possibile utilizzarla. Selezionare questa opzione per aprirla e modificarla, quindi passare a 5. Modificare le impostazioni di Okta.

  3. Selezionare Sfoglia catalogo applicazioni e cercare Oracle Cloud. Seleziona Oracle Cloud Infrastructure IAM tra le opzioni disponibili.
  4. Selezionare Aggiungi integrazione.
  5. In Impostazioni generali, immettere un nome per l'applicazione, ad esempio OCI IAM, quindi selezionare Fine.
5. Modifica impostazioni Okta

Connettere l'applicazione Okta all'applicazione riservata IAM OCI utilizzando l'URL del dominio e il token segreto di un passo precedente.

  1. Nella pagina dell'applicazione appena creata, selezionare la scheda Connetti.
  2. In Impostazioni selezionare Modifica.
  3. Scorrere fino a Impostazioni di accesso avanzate.
  4. Immettere l'URL del dominio in GUID IAM di Oracle Cloud Infrastructure.
  5. Selezionare Salva.
  6. Nella parte superiore della pagina, selezionare la scheda Provisioning.
  7. Selezionare Configura integrazione API.
  8. Selezionare Abilita integrazione API.

    Abilita integrazione API

  9. Immettere il valore del token segreto copiato in precedenza in Token API.

  10. Selezionare Test delle credenziali API.

    Se viene visualizzato un messaggio di errore, controllare i valori immessi e riprovare.

    Quando si riceve un messaggio Oracle Cloud Infrastructure IAM was verified successfully!, la connessione di Okta all'endpoint SCIM IAM OCI è riuscita.

  11. Selezionare Salva.

Viene visualizzata la pagina Provisioning nell'applicazione, in cui è possibile creare utenti, aggiornare gli attributi utente, mappare gli attributi tra IAM OCI e Okta.

6. Test provisioning utenti e gruppi

Per eseguire il test del provisioning di utenti e gruppi per Okta:

  1. Nell'applicazione appena creata, scegliere la scheda Assegnazioni.
  2. Selezionare Assegna e selezionare Assegna a persone.
  3. Cercare l'utente di cui eseguire il provisioning da Okta a OCI IAM.

    Selezionare Assegna accanto all'utente.

  4. Selezionare Salva, quindi Torna indietro.
  5. Ora esegui il provisioning dei gruppi Okta in OCI IAM. Nella scheda Assegnazioni selezionare Assegna e selezionare Assegna a gruppi.
  6. Cercare i gruppi di cui eseguire il provisioning in IAM OCI. Accanto al nome del gruppo, selezionare Assegna.
  7. Selezionare Fine.
  8. Ora accedi a OCI:

    1. Aprire un browser supportato e immettere l'URL di OCI Console:

      https://cloud.oracle.com .

    2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
    3. Selezionare il dominio di Identity in cui è stato configurato Okta.
  9. Selezionare Utenti.
  10. L'utente assegnato all'applicazione IAM OCI in Okta è ora presente in OCI IAM.
  11. Selezionare Gruppi.
  12. Il gruppo assegnato all'applicazione IAM OCI in Okta è ora presente in OCI IAM.
7. Configurazioni aggiuntive per utenti federati
  • È possibile impostare lo stato federato degli utenti in modo che vengano autenticati dal provider di identità esterno.
  • È possibile disabilitare le e-mail di notifica inviate all'utente quando il relativo account viene creato o aggiornato.
a. Impostazione dello stato federato degli utenti

Gli utenti federati non dispongono delle credenziali per collegarsi direttamente a OCI. Vengono invece autenticate dal provider di identità esterno. Se si desidera che gli utenti utilizzino i propri account federati per connettersi a OCI, impostare l'attributo federato su true per tali utenti.

Per impostare lo stato federato dell'utente:

  1. Nel browser, accedere a Okta utilizzando l'URL:

    https://<Okta-org>-admin.okta.com

    Dove <okta-org> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra selezionare Applications.
  3. Selezionare l'applicazione creata in precedenza, OCI IAM.
  4. Scorrere fino alla sezione Mapping attributi.
  5. Selezionare Vai all'editor profili.
  6. In Attributi selezionare Aggiungi attributi.
  7. Nella pagina Aggiungi attributo eseguire le operazioni riportate di seguito.
    • Per Tipo di dati, scegliere Boolean.
    • In Nome visualizzato immettere isFederatedUser.
    • In Nome variabile immettere isFederatedUser.
      Nota

      Il nome esterno viene popolato automaticamente dal valore del nome della variabile.
    • Per Spazio di nomi esterno, immettere urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • In Ambito, selezionare User personal.

    Aggiungi pagina attributo

  8. Tornare alla pagina Applicazione di Okta e selezionare l'applicazione OCI IAM.
  9. Selezionare Provisioning.
  10. Scorrere fino a Mapping attributi e selezionare Mostra attributi non mappati.
  11. Individuare l'attributo isFederatedUser e selezionare il pulsante Modifica accanto ad esso.
  12. Nella pagina degli attributi:
    • Per Valore attributo scegliere Expression.
    • Nella casella sottostante, immettere true.
    • Per Applica su, scegliere Crea e aggiorna.

    Pagina attributo

  13. Selezionare Salva.

    Valori degli attributi che mostrano la federazione

Ora, quando viene eseguito il provisioning degli utenti da Okta a OCI, lo stato federato viene impostato su true. È possibile visualizzarlo nella pagina del profilo dell'utente in OCI.

  • Nella console OCI andare al dominio di Identity in uso, selezionare Utenti e selezionare l'utente per visualizzare le informazioni sull'utente.
  • Federato viene visualizzato come Yes.

    Informazioni utente che mostrano che l'utente è federato

b. Disabilita notifiche per creazione o aggiornamenti account

Il flag di notifica bypass controlla se viene inviata una notifica di posta elettronica dopo la creazione o l'aggiornamento di un account utente in OCI. Se non si desidera che gli utenti ricevano una notifica relativa alla creazione dell'account, impostare il flag di notifica bypass su true.

Per impostare il flag di notifica bypass:

  1. Nel browser, accedere a Okta utilizzando l'URL:

    https://<Okta-org>-admin.okta.com

    Dove <okta-org> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra selezionare Applications.
  3. Selezionare l'applicazione creata in precedenza, OCI IAM.
  4. Scorrere fino alla sezione Mapping attributi.
  5. In Attributi selezionare Aggiungi attributi.
  6. Nella pagina Aggiungi attributo eseguire le operazioni riportate di seguito.
    • Per Tipo di dati, scegliere Boolean.
    • In Nome visualizzato immettere bypassNotification.
    • In Nome variabile immettere bypassNotification.
      Nota

      Il nome esterno viene popolato automaticamente dal valore del nome della variabile.
    • Per Spazio di nomi esterno, immettere urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • In Ambito, selezionare User personal.

    Pagina Aggiungi attributo

  7. Tornare alla pagina Applicazione di Okta e selezionare l'applicazione OCI IAM.
  8. Selezionare Provisioning.
  9. Scorrere fino a Mapping attributi e selezionare Mostra attributi non mappati.
  10. Individuare l'attributo bypassNotification e selezionare il pulsante Modifica accanto ad esso.
  11. Nella pagina degli attributi:
    • Per Valore attributo scegliere Expression.
    • Nella casella sottostante, immettere true.
    • Per Applica su, scegliere Crea e aggiorna.

    Pagina attributo

  12. Selezionare Salva.

    Valori degli attributi che mostrano la notifica di bypass

Operazioni successive

Congratulazioni. Impostazione della gestione del ciclo di vita utente tra Okta e OCI riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, dai un'occhiata a questi siti: