Informazioni su Configure SAML e SCIM

È possibile impostare un login federato tra un dominio di Identity e un provider di identità esterno per collegarsi e accedere alle risorse OCI utilizzando i login e le password esistenti gestiti dal provider di identità.

Imposta SAML in Okta

Impostare Okta come IdP, con OCI Identity and Access Management che funge da provider di servizi, consentendo l'accesso utente a servizi e applicazioni in OCI Identity and Access Management utilizzando le credenziali utente autenticate da Okta.

In Okta, fare clic su Amministrazione.
Nel riquadro sinistro fare clic su Applicazioni, quindi su Applicazioni.
In Applicazioni, fare clic su Sfoglia catalogo applicazioni.
Nel campo di ricerca, immettere saml, quindi selezionare Provider di servizi SAML.
Fare clic su Aggiungi integrazione.
Nel campo Etichetta applicazione, immettere Okta SAML Provider.
Fare clic su Avanti.
Nel campo Stato relay predefinito, immettere https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
1. In OCI, fare clic sul menu principale, quindi su Identità e sicurezza, quindi su Identità e infine su Domini.
2. Prendere nota del nome della tenancy e del nome dominio.
3. Sostituire yourtenancyname e yourdomainname a seconda dei casi.

Imposta SAML in OCI

Configurare un'impostazione SAML IdP in OCI utilizzando le opzioni SAML configurate in Okta.

Durante questa impostazione passerai spesso da OCI a Okta.

Nella console OCI, fare clic sul menu principale, quindi su Identità e sicurezza, quindi sulla pagina Aggiungi provider di identità SAML e selezionare Immetti metadati provider di identità manualmente.
In Okta, nella pagina Aggiungi provider di servizi SAML, in Dettagli metadati, fare clic su Ulteriori dettagli, quindi accanto a Accedi all'URL, fare clic su Copia.
In OCI, immettere il testo copiato nel campo URI emittente provider di identità.
In Okta, in Metodi di accesso, fare clic su Visualizza istruzioni di impostazione, quindi in Accedi al provider di servizi copiare il testo dell'URI emittente provider di identità.
In OCI, in ogni campo URL servizio SSO, campo URL richiesta logout provider identità e URL risposta logout provider identità, immettere l'URL di collegamento mantenuto da Okta.
In Associazione logout, selezionare POST.
Abilitare Invia certificato di firma con il messaggio SAML.
Fare clic su Avanti.
Nell'elenco a discesa Formato NameID richiesto selezionare Indirizzo e-mail.
Fare clic su Crea IdP.
Nella pagina Esporta, accanto a URL servizio consumer asserzioni, fare clic su Copia.
In Okta, nel campo URL servizio consumer asserzioni, immettere il testo copiato.
In OCI, nella pagina Esporta, accanto a ID provider, fare clic su Copia.
In Okta, nel campo ID entità provider di servizi, immettere il testo copiato.
Fare clic su·Fine.
Nella pagina Provider SAML Okta, fare clic su Assegna, quindi su Assegna a persone.
Fare clic su Assegna accanto al nome di ciascun assegnatario, fornire un nome utente, quindi fare clic su Salva e torna indietro.
Fare clic su·Fine.
In OCI, fare clic su Successivo.
(Facoltativo) Fare clic su Test del login.
Fare clic su Avanti.
Fare clic su Attiva.
Fare clic su Fine.
In Sicurezza, fare clic sui IdP criteri.
Fare clic su Criterio del provider di identità predefinito.
Nella riga Regola IDP predefinita, fare clic sui tre punti, quindi su Modifica regola IdP.
In Assegna provider di identità, fare clic e selezionare Okta-SAML-Setup.
Fare clic su Salva modifiche.
Tornare alla pagina IdP criteri, quindi fare clic su Criteri di accesso.
Fare clic su Criterio di accesso predefinito.
Nella riga Regola di accesso predefinita, fare clic sui tre punti, quindi su Modifica regola di accesso, quindi fare clic su Continua.
In Assegna provider di identità, fare clic e selezionare Okta-SAML-Setup.
Fare clic su Salva modifiche.
Accedere alla tenancy Oracle Cloud utilizzando l'opzione Okta-SAML-Setup.
Accedi a Okta.
Nella schermata di verifica, selezionare Ottieni una notifica push.

Provisioning SCIM

Utilizzare il processo di provisioning SCIM per impostare SSO per gestire le identità degli utenti nel cloud. OCI Identity and Access Management supporta la gestione del ciclo di vita degli utenti tra Okta e OCI Identity and Access Management.

In Okta, fare clic su Amministrazione.
Nel riquadro sinistro fare clic su Applicazioni, quindi su Applicazioni.
Fare clic su Crea integrazione applicazione.
Selezionare SAML 2.0, quindi fare clic su Avanti.
Nel campo Nome applicazione, immettere OCI OKTA SCIM Integration, quindi fare clic su Avanti.
In OCI, fare clic sul menu, quindi su Identità e sicurezza e infine su Domini.
Nella pagina Domini fare clic su Predefinito.
Nel riquadro sinistro fare clic su Sicurezza, quindi su Provider di identità.
Nella riga Okta-SAML-Setup, fare clic sui tre punti, quindi su Modifica IdP.
In Dettagli esportazione, nella riga URL servizio consumo asserzione, fare clic su Copia.
In Okta, immettere il testo copiato nel campo URL di accesso interno.
In OCI, in Dettagli esportazione, nella riga ID provider, fare clic su Copia.
In Okta, immettere il testo copiato nel campo URI audience (ID entità SP).
Nel campo RelayState predefinito, immettere https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
Fare clic su Avanti.
Sei un cliente o un partner?, seleziona Sono un fornitore di software..., quindi fai clic su Fine.
Fare clic sulla scheda Generale.
Accanto a Impostazioni applicazione, fare clic su Modifica.
In Provisioning, selezionare SCIM, quindi fare clic su Salva.
Fare clic sulla scheda Provisioning.
Accanto a Connessione SCIM, fare clic su Modifica.
Immettere l'URL del dominio:
1. In OCI, passare a Domini, quindi fare clic su Predefinito.
2. Accanto a URL dominio, fare clic su Mostra, quindi copiare l'URL.
3. In Okta, nel campo URL di base connettore SCIM immettere l'URL copiato.
4. Sostituire la formazione :433 con /admin/v1.
Nel campo Identificativo univoco per gli utenti, immettere il nome utente.
A parte Azioni di provisioning supportate, selezionare:
- Importa nuovi utenti e aggiornamenti profilo
- Push di nuovi utenti
- Aggiornamenti profilo push
- Gruppi push
Nell'elenco a discesa Modalità di autenticazione selezionare Intestazione HTTP.
Inserire il token di autorizzazione:
1. In OCI, passare a Domini, quindi fare clic su Predefinito.
2. Fare clic su Applicazioni integrate, quindi su Aggiungi applicazione.
3. Selezionare Applicazione riservata, quindi fare clic su Avvia flusso di lavoro.
4. Nel campo Nome, immettere Okta-SCIM-OCI.
5. In Autenticazione e autorizzazione, abilitare Applica privilegi come autorizzazione, quindi fare clic su Avanti.
6. In Configurazione client, selezionare Configurare l'applicazione come client ora.
7. In Autorizzazione, abilitare Credenziali client.
8. Visualizzare la parte inferiore, abilitare Aggiungi ruoli applicazione, quindi fare clic su Aggiungi ruoli.
9. Abilita amministratore utenti, fare clic su Aggiungi, quindi su Avanti e infine su Fine.
10. Fare clic su Attiva, quindi su Attiva applicazione.
11. In Informazioni generali, copiare l'ID client.
12. Aprire un codificatore Base64, immettere l'ID client e aggiungere i due punti alla fine.
13. In Informazioni generali, in Segreto client, fare clic su Mostra segreto, quindi su Copia.
14. Nell'encoder Base64, aggiungere il segreto client alla fine.
15. Eseguire il codificatore, quindi copiare il testo codificato.
16. In Okta, nel campo Autenticazione dell'intestazione HTTP, immettere il testo codificato.
17. (Facoltativo) Fare clic su Test della configurazione del connettore.
18. Fare clic su Save.
In Provisioning all'applicazione, fare clic su Modifica.
Abilita:
- Creazione degli utenti
- Aggiorna attributi utente
- Disattiva utente
Fare clic su Save.
Fare clic sulla scheda Assegnazioni, espandere l'elenco a discesa Assegna, quindi fare clic su Assegna a persone, impostare l'assegnazione, quindi fare clic su Fine.
Il nuovo utente deve essere visualizzato nella lista Utenti del dominio predefinito in OCI.

Imposta SAML OCI IdP

Utilizzare le opzioni di impostazione di Okta per aggiornare l'impostazione SAML IdP.

Nella console OCI, in IdP Provider di identità SAML, selezionare l' SAML IdP creato in precedenza, ad esempio Okta.
Fare clic sul menu delle azioni (tre punti), quindi fare clic su Modifica IdP.
Copiare e incollare l'emittente per aggiornare l'URI dell'emittente del provider di identità.
Copiare e incollare l'URL di collegamento per aggiornare l'URL della richiesta di logout del provider di identità e l'URL di risposta di logout del provider di identità e l'URL del servizio SSO.
In Certificato di firma, caricare il certificato di firma scaricato in precedenza.
Fare clic su Save.
Fare clic sul menu delle azioni (tre puntini), quindi su Attiva.

Questa operazione dovrebbe configurare il provisioning SCIM. Da qui in poi, il provisioning e la federazione degli utenti tramite Okta dovrebbero essere possibili.

Risolvi errore gruppo push SCIM

Risolvere l'errore del gruppo push SCIM.

Sarà necessario disattivare ed eliminare la configurazione SCIM precedente come parte di questa correzione.

In Okta, fare clic su Applicazioni > Applicazioni > Sfoglia catalogo applicazioni.
Cercare e selezionare Oracle Identity Cloud Service.
Fare clic su Aggiungi integrazione.
Nel campo Dominio secondario immettere qualsiasi elemento (ad esempio, idcs-a1b2c3d4).
Fare clic su·Fine.
Fare clic sulla scheda Provisioning, quindi fare clic su Configura integrazione API.
Fare clic su Abilita integrazione API.
Nel campo URL di base, immettere l'URL del dominio salvato:
1. In OCI, andare a Identità > Domini.
2. Fare clic su Impostazione predefinita.
3. Espandere il campo URL dominio e fare clic su Copia.
4. In Okta, incollare il testo nel campo URL di base, quindi aggiungere: /admin/v1
Eliminare l'applicazione esistente.
1. In OCI, andare a Identità > Domini > Dominio predefinito > Applicazioni integrate.
2. Fare clic sul menu (tre punti) dell'applicazione > Disattiva > Disattiva applicazione.
3. Fare di nuovo clic sul menu > Elimina > Elimina applicazione.
Creazione di una nuova applicazione.
1. Fare clic su Aggiungi applicazione > Applicazione riservata > Avvia workflow.
2. Nel campo Nome, immettere Okta_IDCS, quindi fare clic su Avanti.
3. Fare clic su Configurazione client.
4. Abilita credenziali client.
5. Abilita Aggiungi ruoli dell'applicazione.
6. Fare clic su Aggiungi ruoli.
7. Abilita amministratore utenti, quindi fare clic su Aggiungi.
8. Fare clic su Avanti, quindi su Fine.
9. Nella pagina dell'applicazione, fare clic su Attiva > Attiva applicazione.
Generare un token.
1. Nella pagina dell'applicazione, in Informazioni generali, copiare l'ID client.
2. Incollare l'ID client nel campo di input di un generatore di token base64.
3. Nella pagina dell'applicazione, in Informazioni generali, fare clic su Mostra segreto, quindi su Copia.
4. Aggiungere il segreto all'ID client, quindi codificare e copiare il token API.
5. In Okta, nel campo Token API incollare il token API.
6. Fare clic su Esegui test credenziali API, quindi (se riuscito) fare clic su Salva.
Completare il provisioning.
1. In Okta, nella scheda Provisioning, accanto a Provisioning per l'applicazione, fare clic su Modifica.
2. Abilitare Crea utenti, Aggiorna attributi utente e Disattiva utenti, quindi fare clic su Salva.
Creare un gruppo di test.
1. In Okta, fare clic sulla scheda Gruppi push.
2. Fare clic su Gruppi push > Trova gruppi in base al nome.
3. Nel campo Per nome, immettere test_group, quindi fare clic su Salva.
Assegnare il gruppo di test.
1. In Okta, fare clic sulla scheda Assegnazioni.
2. Fare clic su Assegna > Assegna a persone.
3. A fianco di Test_user_SCIM_Prov, fare clic su Assegna.
4. Fare clic su Fine > Salva e torna indietro > Fine.
5. Fare clic sulla scheda Gruppi push.
6. In Stato push, impostare l'elenco a discesa su Push ora.
7. In OCI, dovrebbe essere visualizzato l'aggiornamento e il gruppo di test.