Informazioni su Configure SAML e SCIM
È possibile impostare un login federato tra un dominio di Identity e un provider di identità esterno per collegarsi e accedere alle risorse OCI utilizzando i login e le password esistenti gestiti dal provider di identità.
Imposta SAML in Okta
Impostare Okta come IdP, con OCI Identity and Access Management che funge da provider di servizi, consentendo l'accesso utente a servizi e applicazioni in OCI Identity and Access Management utilizzando le credenziali utente autenticate da Okta.
- In Okta, fare clic su Amministrazione.
- Nel riquadro sinistro fare clic su Applicazioni, quindi su Applicazioni.
- In Applicazioni, fare clic su Sfoglia catalogo applicazioni.
- Nel campo di ricerca, immettere
saml
, quindi selezionare Provider di servizi SAML. - Fare clic su Aggiungi integrazione.
- Nel campo Etichetta applicazione, immettere
Okta SAML Provider
. - Fare clic su Avanti.
- Nel campo Stato relay predefinito, immettere
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
.- In OCI, fare clic sul menu principale, quindi su Identità e sicurezza, quindi su Identità e infine su Domini.
- Prendere nota del nome della tenancy e del nome dominio.
- Sostituire
yourtenancyname
eyourdomainname
a seconda dei casi.
Imposta SAML in OCI
Configurare un'impostazione SAML IdP in OCI utilizzando le opzioni SAML configurate in Okta.
- Nella console OCI, fare clic sul menu principale, quindi su Identità e sicurezza, quindi sulla pagina Aggiungi provider di identità SAML e selezionare Immetti metadati provider di identità manualmente.
- In Okta, nella pagina Aggiungi provider di servizi SAML, in Dettagli metadati, fare clic su Ulteriori dettagli, quindi accanto a Accedi all'URL, fare clic su Copia.
- In OCI, immettere il testo copiato nel campo URI emittente provider di identità.
- In Okta, in Metodi di accesso, fare clic su Visualizza istruzioni di impostazione, quindi in Accedi al provider di servizi copiare il testo dell'URI emittente provider di identità.
- In OCI, in ogni campo URL servizio SSO, campo URL richiesta logout provider identità e URL risposta logout provider identità, immettere l'URL di collegamento mantenuto da Okta.
- In Associazione logout, selezionare POST.
- Abilitare Invia certificato di firma con il messaggio SAML.
- Fare clic su Avanti.
- Nell'elenco a discesa Formato NameID richiesto selezionare Indirizzo e-mail.
- Fare clic su Crea IdP.
- Nella pagina Esporta, accanto a URL servizio consumer asserzioni, fare clic su Copia.
- In Okta, nel campo URL servizio consumer asserzioni, immettere il testo copiato.
- In OCI, nella pagina Esporta, accanto a ID provider, fare clic su Copia.
- In Okta, nel campo ID entità provider di servizi, immettere il testo copiato.
- Fare clic su·Fine.
- Nella pagina Provider SAML Okta, fare clic su Assegna, quindi su Assegna a persone.
- Fare clic su Assegna accanto al nome di ciascun assegnatario, fornire un nome utente, quindi fare clic su Salva e torna indietro.
- Fare clic su·Fine.
- In OCI, fare clic su Successivo.
- (Facoltativo) Fare clic su Test del login.
- Fare clic su Avanti.
- Fare clic su Attiva.
- Fare clic su Fine.
- In Sicurezza, fare clic sui IdP criteri.
- Fare clic su Criterio del provider di identità predefinito.
- Nella riga Regola IDP predefinita, fare clic sui tre punti, quindi su Modifica regola IdP.
- In Assegna provider di identità, fare clic e selezionare Okta-SAML-Setup.
- Fare clic su Salva modifiche.
- Tornare alla pagina IdP criteri, quindi fare clic su Criteri di accesso.
- Fare clic su Criterio di accesso predefinito.
- Nella riga Regola di accesso predefinita, fare clic sui tre punti, quindi su Modifica regola di accesso, quindi fare clic su Continua.
- In Assegna provider di identità, fare clic e selezionare Okta-SAML-Setup.
- Fare clic su Salva modifiche.
- Accedere alla tenancy Oracle Cloud utilizzando l'opzione Okta-SAML-Setup.
- Accedi a Okta.
- Nella schermata di verifica, selezionare Ottieni una notifica push.
Provisioning SCIM
Utilizzare il processo di provisioning SCIM per impostare SSO per gestire le identità degli utenti nel cloud. OCI Identity and Access Management supporta la gestione del ciclo di vita degli utenti tra Okta e OCI Identity and Access Management.
Imposta SAML OCI IdP
Utilizzare le opzioni di impostazione di Okta per aggiornare l'impostazione SAML IdP.
- Nella console OCI, in IdP Provider di identità SAML, selezionare l' SAML IdP creato in precedenza, ad esempio Okta.
- Fare clic sul menu delle azioni (tre punti), quindi fare clic su Modifica IdP.
- Copiare e incollare l'emittente per aggiornare l'URI dell'emittente del provider di identità.
- Copiare e incollare l'URL di collegamento per aggiornare l'URL della richiesta di logout del provider di identità e l'URL di risposta di logout del provider di identità e l'URL del servizio SSO.
- In Certificato di firma, caricare il certificato di firma scaricato in precedenza.
- Fare clic su Save.
- Fare clic sul menu delle azioni (tre puntini), quindi su Attiva.
Risolvi errore gruppo push SCIM
Sarà necessario disattivare ed eliminare la configurazione SCIM precedente come parte di questa correzione.
- In Okta, fare clic su Applicazioni > Applicazioni > Sfoglia catalogo applicazioni.
- Cercare e selezionare Oracle Identity Cloud Service.
- Fare clic su Aggiungi integrazione.
- Nel campo Dominio secondario immettere qualsiasi elemento (ad esempio, idcs-a1b2c3d4).
- Fare clic su·Fine.
- Fare clic sulla scheda Provisioning, quindi fare clic su Configura integrazione API.
- Fare clic su Abilita integrazione API.
- Nel campo URL di base, immettere l'URL del dominio salvato:
- In OCI, andare a Identità > Domini.
- Fare clic su Impostazione predefinita.
- Espandere il campo URL dominio e fare clic su Copia.
- In Okta, incollare il testo nel campo URL di base, quindi aggiungere: /admin/v1
- Eliminare l'applicazione esistente.
- In OCI, andare a Identità > Domini > Dominio predefinito > Applicazioni integrate.
- Fare clic sul menu (tre punti) dell'applicazione > Disattiva > Disattiva applicazione.
- Fare di nuovo clic sul menu > Elimina > Elimina applicazione.
- Creazione di una nuova applicazione.
- Fare clic su Aggiungi applicazione > Applicazione riservata > Avvia workflow.
- Nel campo Nome, immettere Okta_IDCS, quindi fare clic su Avanti.
- Fare clic su Configurazione client.
- Abilita credenziali client.
- Abilita Aggiungi ruoli dell'applicazione.
- Fare clic su Aggiungi ruoli.
- Abilita amministratore utenti, quindi fare clic su Aggiungi.
- Fare clic su Avanti, quindi su Fine.
- Nella pagina dell'applicazione, fare clic su Attiva > Attiva applicazione.
- Generare un token.
- Nella pagina dell'applicazione, in Informazioni generali, copiare l'ID client.
- Incollare l'ID client nel campo di input di un generatore di token base64.
- Nella pagina dell'applicazione, in Informazioni generali, fare clic su Mostra segreto, quindi su Copia.
- Aggiungere il segreto all'ID client, quindi codificare e copiare il token API.
- In Okta, nel campo Token API incollare il token API.
- Fare clic su Esegui test credenziali API, quindi (se riuscito) fare clic su Salva.
- Completare il provisioning.
- In Okta, nella scheda Provisioning, accanto a Provisioning per l'applicazione, fare clic su Modifica.
- Abilitare Crea utenti, Aggiorna attributi utente e Disattiva utenti, quindi fare clic su Salva.
- Creare un gruppo di test.
- In Okta, fare clic sulla scheda Gruppi push.
- Fare clic su Gruppi push > Trova gruppi in base al nome.
- Nel campo Per nome, immettere test_group, quindi fare clic su Salva.
- Assegnare il gruppo di test.
- In Okta, fare clic sulla scheda Assegnazioni.
- Fare clic su Assegna > Assegna a persone.
- A fianco di Test_user_SCIM_Prov, fare clic su Assegna.
- Fare clic su Fine > Salva e torna indietro > Fine.
- Fare clic sulla scheda Gruppi push.
- In Stato push, impostare l'elenco a discesa su Push ora.
- In OCI, dovrebbe essere visualizzato l'aggiornamento e il gruppo di test.