Nota

Automatizza l'appartenenza ai gruppi di domini di Oracle Cloud Infrastructure Identity and Access Management con i gruppi push Okta

Introduzione

Nel mondo reale potrebbero esserci scenari in cui i clienti possono avere Okta come provider di identità aziendale (IdP), ma gli utenti hanno anche bisogno dell'accesso ai servizi ospitati da Oracle Cloud Infrastructure (OCI). In questi scenari, si consiglia di impostare la federazione per automatizzare il provisioning automatico degli utenti e dei gruppi da Okta ai domini di Identity per una migliore gestione del ciclo di vita degli utenti.

Per ulteriori informazioni sull'impostazione della federazione e del provisioning, vedere SSO con OCI e Okta e Identity Lifecycle Management Between OCI and Okta.

Per gestire le appartenenze ai gruppi in Okta e Oracle Cloud Infrastructure (OCI), Push Group svolge un ruolo cruciale. Esaminiamo vari scenari che coinvolgono il provisioning e la gestione delle appartenenze ai gruppi utilizzando il gruppo push Okta.

Vantaggi principali

Obiettivi

Prerequisiti

Task 1: Sincronizza appartenenza gruppo a domini IAM OCI

Quando un gruppo non esiste nei domini IAM OCI, è possibile creare gruppi push in base al nome.

  1. Selezionare il gruppo Okta con membri al suo interno.

  2. Selezionare Crea gruppo per OCI.

Questo processo garantisce che il gruppo venga visualizzato nel dominio IAM OCI, ma non vi siano membri.

nome gruppo push

Successivamente, è possibile assegnare utenti dal gruppo Okta all'applicazione in Assegnazioni.

Si noterà che il provisioning degli utenti assegnati su Okta viene eseguito nel dominio IAM OCI e l'appartenenza del gruppo viene aggiornata.

Nota: indipendentemente dal numero di utenti nel gruppo Okta sul lato Okta, gli utenti assegnati all'applicazione verranno visualizzati sotto l'appartenenza del gruppo sottoposto a PUSH nel dominio IAM OCI. Inoltre, Okta consiglia di assegnare il gruppo all'applicazione quando lo si spinge attraverso i gruppi push.

Oppure

Nello scenario in cui un gruppo esiste già nel dominio IAM OCI, il processo per garantire una sincronizzazione efficiente dei gruppi prevede i passi riportati di seguito.

  1. Identificare il gruppo Okta contenente i membri necessari.

  2. Collegare il gruppo e selezionare il gruppo preesistente nei domini IAM OCI.

Nota: quando viene trovato un gruppo con lo stesso nome nei domini IAM OCI, il sistema sposterà senza problemi i membri in questo gruppo esistente. Al contrario, se i nomi dei gruppi non corrispondono, il gruppo selezionato verrà rinominato automaticamente per allinearsi al nome del gruppo Okta, mantenendo così la coerenza tra le due piattaforme.

Seguendo queste linee guida, le organizzazioni possono semplificare la gestione delle appartenenze ai gruppi, garantendo che i membri vengano allocati in modo accurato e rispettando le convenzioni di denominazione nel dominio IAM OCI e nella piattaforma Okta.

Task 2: Dissocia gruppi da provisioning push

Quando un gruppo viene scollegato dal push all'estremità di Okta, sono disponibili due modi per scollegare il gruppo in modo efficace.

  1. Eliminare il gruppo nell'applicazione target (consigliato): eliminando il gruppo nell'applicazione target, è possibile scollegarlo in modo efficace. Questa azione eliminerà il gruppo nel dominio IAM OCI, garantendo al contempo che gli utenti rimangano nel dominio IAM OCI e rimangano in uno stato attivo. Se il collegamento Gruppo push viene creato di nuovo per lo stesso gruppo, il gruppo, insieme alla relativa appartenenza, verrà ricreato nel dominio IAM OCI.

  2. Lascia il gruppo nell'applicazione di destinazione: se si sceglie di lasciare il gruppo nell'applicazione di destinazione, il gruppo scollegherà anche il gruppo, ma il gruppo rimarrà nel dominio IAM OCI insieme alla relativa appartenenza.

    unlinkpushgroup

Dopo aver creato di nuovo il collegamento al gruppo, verrà trovata una corrispondenza con il gruppo nel dominio IAM OCI. Questo processo ristabilirà il collegamento tra i gruppi.

Punti importanti da notare

Quando un gruppo collegato viene eliminato in modo esplicito dai domini IAM OCI, è necessario eseguire alcuni passi.

  1. Anche dopo l'eliminazione, è possibile che il collegamento venga comunque visualizzato in Okta, ma il processo di push riscontrerà un errore che indica che il gruppo collegato è mancante in IAM OCI. Modificare il gruppo collegato per riprendere il push delle appartenenze ai gruppi.

  2. La nuova creazione del gruppo con lo stesso nome nel dominio IAM OCI non ricollegerà automaticamente il gruppo Okta. La soluzione consigliata è eliminare il collegamento su Okta e quindi ricreare il collegamento.

È inoltre disponibile una funzione utile per i gruppi push denominati Gruppi push per regola. Ecco come funziona.

  1. È possibile creare una regola con condizioni su quando eseguire il PUSH dei gruppi da Okta al dominio IAM OCI.

  2. Le condizioni possono essere basate sul nome del gruppo o sulla descrizione del gruppo, con vari operatori disponibili per entrambi i campi, ad esempio inizia con, termina con e contiene.

    regola push

Passi successivi

Il push dei gruppi con la relativa appartenenza dal dominio Okta al dominio IAM OCI consente di mantenere facilmente l'accesso alle applicazioni finali assegnando tali gruppi alle applicazioni. Inoltre, è possibile aggiornare l'iscrizione per consentire o negare l'accesso alle applicazioni finali semplicemente aggiornando l'iscrizione su Okta.

Conferme

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.