Documentazione dell'infrastruttura Oracle Cloud

SSO con OCI e Okta

In questa esercitazione è possibile impostare Single Sign-On tra OCI e Okta, dove Okta funge da provider di identità (IdP) e OCI IAM è provider di servizi (SP).

Questa esercitazione di 15 minuti mostra come impostare Okta come IdP e OCI IAM come SP. Se si imposta la federazione tra Okta e OCI IAM, si abilita l'accesso degli utenti ai servizi e alle applicazioni in OCI IAM utilizzando le credenziali utente autenticate da Okta.

  1. In primo luogo, raccogliere le informazioni necessarie da OCI IAM.
  2. Configurare Okta come IdP per OCI IAM.
  3. Configurare IAM OCI in modo che Okta funga da IdP.
  4. Creare criteri IdP in IAM OCI.
  5. Test che l'autenticazione federata funziona tra OCI IAM e Okta.
Prima di iniziare

Per eseguire una di queste esercitazioni, è necessario disporre dei seguenti elementi:

Si raccolgono le informazioni aggiuntive necessarie dai passi di ogni tutorial:

  • Ottenere i metadati OCI IdP e il certificato di firma per il dominio di Identity.
  • Recupera il certificato di firma del dominio di Identity.
1. Recupera i metadati del provider di identità OCI e l'URL del dominio

È necessario che i metadati SAML IdP del dominio di Identity OCI IAM vengano importati nell'applicazione Okta creata. IAM OCI fornisce un URL diretto per scaricare i metadati del dominio di Identity in uso. Okta utilizza l'URL del dominio OCI per connettersi a IAM OCI.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com .

  2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Selezionare il dominio di Identity a cui connettersi. Dominio di Identity utilizzato per configurare SSO, ad esempio Default.
  4. Accedi con nome utente e password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  6. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Quindi fare clic su Sicurezza, quindi su Provider di identità.
  7. Selezionare Esporta metadati SAML.

    Scarica metadati SAML

  8. Selezionare l'opzione File metadati e selezionare Scarica XML.

    Scarica il file XML

  9. Rinominare il file XML scaricato in OCIMetadata.xml.
  10. Tornare alla panoramica del dominio di Identity selezionando il nome del dominio di Identity nel percorso di navigazione dell'indicatore di percorso. Selezionare Copia accanto a URL dominio nelle informazioni sul dominio e salvare l'URL. Questo è l'URL del dominio IAM OCI che verrà utilizzato in un secondo momento.

    Informazioni sul dominio che mostrano dove si trovano le informazioni sull'URL del dominio.

2. Crea un'applicazione in Okta

Crea un'app in Okta e prendi nota dei valori di cui avrai bisogno in seguito.

  1. Nel browser, accedere a Okta utilizzando l'URL:
    https://<OktaOrg>-admin.okta.com

    dove <OktaOrg> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra selezionare Sicurezza, quindi scegliere Applicazioni, quindi selezionare Sfoglia applicazione Catalogo.
  3. Cerca Oracle Cloud e seleziona Oracle Cloud Infrastructure IAM tra le opzioni disponibili.
  4. Selezionare Aggiungi integrazione.
  5. In Impostazioni generali, immettere un nome per l'applicazione, ad esempio OCI IAM, quindi selezionare Fine.
  6. Nella pagina dei dettagli dell'applicazione per la nuova applicazione, selezionare la scheda Connetti e in Certificati di firma SAML selezionare Visualizza istruzioni di impostazione SAML.
  7. Nella pagina Visualizza istruzioni di impostazione SAML, prendere nota di quanto riportato di seguito.
    • ID entità
    • URL SingleLogoutService
    • URL SingleSignOnService
  8. Scaricare e salvare il certificato con un'estensione di file .pem.
3. Crea Okta come IdP in IAM OCI

Creare un IdP per Okta nella console OCI.

  1. Nella console OCI del dominio in cui si sta lavorando, selezionare Sicurezza, quindi Provider di identità.
  2. Selezionare Aggiungi IdP, quindi selezionare Aggiungi SAML IdP.
  3. Immettere un nome per SAML IdP, ad esempio Okta. Selezionare Next.
  4. Nella pagina Metadati di Exchange, assicurarsi che sia selezionata l'opzione Immetti metadati IdP.
  5. Inserire quanto segue dal passo 8 in 2. Crea un'applicazione in Okta:
    • Per URI emittente provider di identità: immettere l'ID.
    • Per URL servizio SSO: immettere l'URL SingleSignOnService.
    • Per Associazione servizio SSO: selezionare POST.
    • Per Carica certificato di firma del provider di identità: utilizzare il file .pem della certificazione Okta.

      Pagina Scambia metadati per creazione provider di identità SAML

    Più avanti nella pagina, assicurarsi che sia selezionata l'opzione Abilita logout globale e immettere quanto segue.

    • Per URL richiesta di logout IDP: immettere l'URL SingleLogoutService.
    • Per URL risposta di logout IDP: eEnter tbhe URL SingleLogoutService.
    • Assicurarsi che l'associazione di logout sia impostata su POST.

      configurazione aggiuntiva

  6. Selezionare Next.
  7. Nella pagina Attributi mappa:
    • Per Formato NameId richiesto, scegliere Email address.
    • Per Attributo utente provider di identità: scegliere l'ID nome asserzione SAML.
    • Per l'attributo utente del dominio di Identity: scegliere l'indirizzo di posta elettronica primario.
  8. Selezionare Next.
  9. Rivedere e selezionare Crea IDP.
  10. Nella pagina Successivo selezionare Attiva, quindi selezionare Aggiungi a criterio IdP.
  11. Selezionare Criterio provider di identità predefinito per aprirlo, quindi selezionare il menu Azioni (tre punti) per la regola e selezionare Modifica regola IdP.
  12. Selezionare Assegna provider di identità, quindi selezionare Okta per aggiungerlo alla lista.
  13. Selezionare Salva modifiche.
  14. Scarica il certificato SP:
    • Nella console OCI del dominio in cui si sta lavorando, selezionare Sicurezza, quindi Provider di identità.
    • Selezionare Okta.
    • Nella pagina IdP di Okta, selezionare Metadati provider di servizi.
    • Selezionare Scarica accanto al certificato di firma del provider di servizi per scaricare il certificato di firma del provider di servizi e salvarlo.
4. Configura Okta
  1. Nella console di Okta, selezionare Applicazione, quindi selezionare la nuova applicazione OCI IAM.
  2. Andare alla scheda Collega e selezionare Modifica.
  3. Selezionare Abilita logout unico.
  4. Individuare il certificato scaricato dalla console IAM OCI nel passo precedente e selezionare Carica.
  5. Scorrere fino a Impostazioni di accesso avanzato.
  6. Inserire quanto segue:
  7. Selezionare Salva.
  8. Andare alla scheda Assegnazioni e assegnare gli utenti che si desidera avere accesso a questa applicazione.
  9. Selezionare Next.
5. Test Single Sign-on

  1. Immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Accedi con nome utente e password.
  4. Selezionare il dominio per il quale è stato configurato Okta IdP.
  5. Nella pagina di accesso, selezionare l'icona Okta.
  6. Immettere le credenziali Okta. È stato effettuato il collegamento a OCI Console.
Operazioni successive

Congratulazioni. Impostazione di un SSO tra Okta e IAM OCI riuscita in due modi diversi.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, dai un'occhiata a questi siti: