Documentazione di Oracle Cloud Infrastructure

SSO con OCI e Okta

In questa esercitazione viene impostato Single Sign-On tra OCI e Okta, dove Okta funge da provider di identità (IdP) e IAM OCI è un provider di servizi (SP).

Questa esercitazione della durata di 15 minuti mostra come impostare Okta come IdP, con IAM OCI che funge da SP. Impostando la federazione tra Okta e IAM OCI, si abilita l'accesso degli utenti ai servizi e alle applicazioni in IAM OCI utilizzando le credenziali utente autenticate da Okta.

  1. Innanzitutto, raccogli le informazioni necessarie da IAM OCI.
  2. Configurare Okta come IdP per IAM OCI.
  3. Configurare IAM OCI in modo che Okta agisca come IdP.
  4. Creare i criteri IdP in IAM OCI.
  5. Eseguire il test del funzionamento dell'autenticazione federata tra IAM OCI e Okta.
Prima di iniziare

Per eseguire una di queste esercitazioni, è necessario disporre dei seguenti elementi:

Per raccogliere le informazioni aggiuntive necessarie, effettuare le operazioni riportate di seguito.

  • Ottenere i metadati IdP OCI e il certificato di firma per il dominio di Identity.
  • Ottenere il certificato di firma del dominio di Identity.
1. Recupera i metadati del provider di identità OCI e l'URL del dominio

È necessario importare i metadati SAML IdP dal dominio di Identity IAM OCI nell'applicazione Okta creata. IAM OCI fornisce un URL diretto per scaricare i metadati del dominio di Identity in uso. Okta utilizza l'URL del dominio OCI per connettersi a IAM OCI.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com.

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Selezionare il dominio di identità a cui connettersi. Dominio di Identity utilizzato per configurare SSO, ad esempio Default.
  4. Accedi con il tuo nome utente e la tua password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini.
  6. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Fare quindi clic su Sicurezza, quindi su Provider di identità.
  7. Selezionare Esporta metadati SAML.

    Scarica metadati SAML

  8. Selezionare l'opzione File di metadati e selezionare Scarica XML.

    Scaricare il file XML

  9. Rinominare il file XML scaricato in OCIMetadata.xml.
  10. Tornare alla panoramica del dominio di Identity selezionando il nome del dominio di Identity nel percorso di navigazione dell'indicatore di percorso. Selezionare Copia accanto all'URL dominio nelle informazioni sul dominio e salvare l'URL. Questo è l'URL del dominio IAM OCI che verrà utilizzato in seguito.

    Informazioni sul dominio che mostrano la posizione delle informazioni sull'URL del dominio.

2. Creare un'applicazione in Okta

Crea un'app in Okta e prendi nota dei valori di cui avrai bisogno in seguito.

  1. Nel browser, accedere a Okta utilizzando l'URL:
    https://<OktaOrg>-admin.okta.com

    dove <OktaOrg> è il prefisso per l'organizzazione con Okta.

  2. Nel menu a sinistra, selezionare Sicurezza e scegliere Applicazioni, quindi selezionare Sfoglia applicazione Catalogo.
  3. Cercare Oracle Cloud e selezionare IAM di Oracle Cloud Infrastructure tra le opzioni disponibili.
  4. Selezionare Aggiungi integrazione.
  5. In Impostazioni generali, immettere un nome per l'applicazione, ad esempio OCI IAM, e selezionare Fine.
  6. Nella pagina dei dettagli dell'applicazione per la nuova applicazione, selezionare la scheda Collega e in Certificati di firma SAML selezionare Visualizza istruzioni di impostazione SAML.
  7. Nella pagina Visualizza istruzioni di impostazione SAML, prendere nota di quanto riportato di seguito.
    • ID entità
    • URL SingleLogoutService
    • URL SingleSignOnService
  8. Scaricare e salvare il certificato con un'estensione di file .pem.
3. Crea Okta come IdP in IAM OCI

Creare un file IdP per Okta nella console OCI.

  1. Nella console OCI nel dominio in cui si sta lavorando, selezionare Sicurezza, quindi Provider di identità.
  2. Selezionare Aggiungi IdP, quindi Aggiungi SAML IdP.
  3. Immettere un nome per SAML IdP, ad esempio Okta. Selezionare Successivo.
  4. Nella pagina dei metadati di Exchange, assicurarsi che l'opzione Immettere i metadati IdP sia selezionata.
  5. Immettere quanto segue dal passo 8 in 2. Creare un'applicazione in Okta:
    • Per URI emittente provider di identità: immettere l'ID di inserimento.
    • Per URL servizio SSO: immettere l'URL SingleSignOnService.
    • Per Associazione servizio SSO: selezionare POST.
    • Per Carica certificato di firma del provider di identità: utilizzare il file .pem della certificazione Okta.

      Pagina dei metadati di scambio per la creazione del provider di identità SAML

    Più avanti nella pagina, assicurarsi che l'opzione Abilita logout globale sia selezionata e immettere quanto segue.

    • Per URL richiesta logout IPP: immettere l'URL SingleLogoutService.
    • Per URL risposta logout IP: eEnter tbhe URL SingleLogoutService.
    • Assicurarsi che l'associazione di logout sia impostata su POST.

      altra configurazione

  6. Selezionare Successivo.
  7. Nella pagina Attributi mappa:
    • Per Formato NameId richiesto, scegliere Email address.
    • Per Attributo utente provider di identità: scegliere l'ID nome asserzione SAML.
    • Per l'attributo utente del dominio di Identity: scegliere l'indirizzo di posta elettronica primario.
  8. Selezionare Successivo.
  9. Rivedere e selezionare Crea IDP.
  10. Nella pagina Successivo selezionare Attiva, quindi selezionare Aggiungi a criterio IdP.
  11. Selezionare Criterio provider di identità predefinito per aprirlo, quindi selezionare il menu Azioni (tre punti) per la regola e selezionare Modifica regola IdP.
  12. Selezionare in Assegna provider di identità, quindi selezionare Okta per aggiungerlo alla lista.
  13. Selezionare Salva modifiche.
  14. Scaricare il certificato SP:
    • Nella console OCI nel dominio in cui si sta lavorando, selezionare Sicurezza, quindi Provider di identità.
    • Selezionare Okta.
    • Nella pagina IdP di Okta, selezionare Metadati provider di servizi.
    • Selezionare Scarica accanto al certificato di firma del provider di servizi per scaricare il certificato di firma del provider di servizi e salvarlo.
4. Configura Okta
  1. Nella console Okta, selezionare Applicazione, quindi selezionare la nuova applicazione OCI IAM.
  2. Andare alla scheda Accesso e selezionare Modifica.
  3. Selezionare Abilita logout singolo.
  4. Cercare il certificato scaricato dalla console IAM OCI nel passo precedente e selezionare Carica.
  5. Scorrere fino a visualizzare le impostazioni di accesso avanzate.
  6. Inserire:
  7. Selezionare Salva.
  8. Andare alla scheda Assegnazioni e assegnare gli utenti a cui si desidera avere accesso all'applicazione.
  9. Selezionare Successivo.
5. Test di Single Sign-On

  1. Immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Accedi con il tuo nome utente e la tua password.
  4. Selezionare il dominio per il quale è stato configurato Okta IdP.
  5. Nella pagina di accesso, selezionare l'icona Okta.
  6. Immettere le credenziali Okta. Si è connessi a OCI Console.
Pagina successiva

Complimenti. Impostazione di un SSO tra Okta e IAM OCI riuscita in due modi diversi.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: