1. Utilizza la configurazione Okta del governo OCI per la federazione e il provisioning
  2. Informazioni su Configure SAML e SCIM

Informazioni su Configure SAML e SCIM

È possibile impostare un login federato tra un dominio di Identity e un provider di identità esterno per collegarsi e accedere alle risorse OCI utilizzando i login e le password esistenti gestiti dal provider di identità.

Imposta SAML in Okta

Impostare Okta come IdP, con OCI Identity and Access Management che funge da provider di servizi, consentendo l'accesso utente a servizi e applicazioni in OCI Identity and Access Management utilizzando le credenziali utente autenticate da Okta.

  1. In Okta, fare clic su Amministrazione.
  2. Nel riquadro sinistro fare clic su Applicazioni, quindi su Applicazioni.
  3. In Applicazioni, fare clic su Sfoglia catalogo applicazioni.
  4. Nel campo di ricerca, immettere saml, quindi selezionare Provider di servizi SAML.
  5. Fare clic su Aggiungi integrazione.
  6. Nel campo Etichetta applicazione, immettere Okta SAML Provider.
  7. Fare clic su Avanti.
  8. Nel campo Stato relay predefinito, immettere https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
    1. In OCI, fare clic sul menu principale, quindi su Identità e sicurezza, quindi su Identità e infine su Domini.
    2. Prendere nota del nome della tenancy e del nome dominio.
    3. Sostituire yourtenancyname e yourdomainname a seconda dei casi.

Imposta SAML in OCI

Configurare un'impostazione SAML IdP in OCI utilizzando le opzioni SAML configurate in Okta.

Durante questa impostazione passerai spesso da OCI a Okta.
  1. Nella console OCI, fare clic sul menu principale, quindi su Identità e sicurezza, quindi sulla pagina Aggiungi provider di identità SAML e selezionare Immetti metadati provider di identità manualmente.
  2. In Okta, nella pagina Aggiungi provider di servizi SAML, in Dettagli metadati, fare clic su Ulteriori dettagli, quindi accanto a Accedi all'URL, fare clic su Copia.
  3. In OCI, immettere il testo copiato nel campo URI emittente provider di identità.
  4. In Okta, in Metodi di accesso, fare clic su Visualizza istruzioni di impostazione, quindi in Accedi al provider di servizi copiare il testo dell'URI emittente provider di identità.
  5. In OCI, in ogni campo URL servizio SSO, campo URL richiesta logout provider identità e URL risposta logout provider identità, immettere l'URL di collegamento mantenuto da Okta.
  6. In Associazione logout, selezionare POST.
  7. Abilitare Invia certificato di firma con il messaggio SAML.
  8. Fare clic su Avanti.
  9. Nell'elenco a discesa Formato NameID richiesto selezionare Indirizzo e-mail.
  10. Fare clic su Crea IdP.
  11. Nella pagina Esporta, accanto a URL servizio consumer asserzioni, fare clic su Copia.
  12. In Okta, nel campo URL servizio consumer asserzioni, immettere il testo copiato.
  13. In OCI, nella pagina Esporta, accanto a ID provider, fare clic su Copia.
  14. In Okta, nel campo ID entità provider di servizi, immettere il testo copiato.
  15. Fare clic su·Fine.
  16. Nella pagina Provider SAML Okta, fare clic su Assegna, quindi su Assegna a persone.
  17. Fare clic su Assegna accanto al nome di ciascun assegnatario, fornire un nome utente, quindi fare clic su Salva e torna indietro.
  18. Fare clic su·Fine.
  19. In OCI, fare clic su Successivo.
  20. (Facoltativo) Fare clic su Test del login.
  21. Fare clic su Avanti.
  22. Fare clic su Attiva.
  23. Fare clic su Fine.
  24. In Sicurezza, fare clic sui IdP criteri.
  25. Fare clic su Criterio del provider di identità predefinito.
  26. Nella riga Regola IDP predefinita, fare clic sui tre punti, quindi su Modifica regola IdP.
  27. In Assegna provider di identità, fare clic e selezionare Okta-SAML-Setup.
  28. Fare clic su Salva modifiche.
  29. Tornare alla pagina IdP criteri, quindi fare clic su Criteri di accesso.
  30. Fare clic su Criterio di accesso predefinito.
  31. Nella riga Regola di accesso predefinita, fare clic sui tre punti, quindi su Modifica regola di accesso, quindi fare clic su Continua.
  32. In Assegna provider di identità, fare clic e selezionare Okta-SAML-Setup.
  33. Fare clic su Salva modifiche.
  34. Accedere alla tenancy Oracle Cloud utilizzando l'opzione Okta-SAML-Setup.
  35. Accedi a Okta.
  36. Nella schermata di verifica, selezionare Ottieni una notifica push.

Provisioning SCIM

Utilizzare il processo di provisioning SCIM per impostare SSO per gestire le identità degli utenti nel cloud. OCI Identity and Access Management supporta la gestione del ciclo di vita degli utenti tra Okta e OCI Identity and Access Management.

  1. In Okta, fare clic su Amministrazione.
  2. Nel riquadro sinistro fare clic su Applicazioni, quindi su Applicazioni.
  3. Fare clic su Crea integrazione applicazione.
  4. Selezionare SAML 2.0, quindi fare clic su Avanti.
  5. Nel campo Nome applicazione, immettere OCI OKTA SCIM Integration, quindi fare clic su Avanti.
  6. In OCI, fare clic sul menu, quindi su Identità e sicurezza e infine su Domini.
  7. Nella pagina Domini fare clic su Predefinito.
  8. Nel riquadro sinistro fare clic su Sicurezza, quindi su Provider di identità.
  9. Nella riga Okta-SAML-Setup, fare clic sui tre punti, quindi su Modifica IdP.
  10. In Dettagli esportazione, nella riga URL servizio consumo asserzione, fare clic su Copia.
  11. In Okta, immettere il testo copiato nel campo URL di accesso interno.
  12. In OCI, in Dettagli esportazione, nella riga ID provider, fare clic su Copia.
  13. In Okta, immettere il testo copiato nel campo URI audience (ID entità SP).
  14. Nel campo RelayState predefinito, immettere https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
  15. Fare clic su Avanti.
  16. Sei un cliente o un partner?, seleziona Sono un fornitore di software..., quindi fai clic su Fine.
  17. Fare clic sulla scheda Generale.
  18. Accanto a Impostazioni applicazione, fare clic su Modifica.
  19. In Provisioning, selezionare SCIM, quindi fare clic su Salva.
  20. Fare clic sulla scheda Provisioning.
  21. Accanto a Connessione SCIM, fare clic su Modifica.
  22. Immettere l'URL del dominio:
    1. In OCI, passare a Domini, quindi fare clic su Predefinito.
    2. Accanto a URL dominio, fare clic su Mostra, quindi copiare l'URL.
    3. In Okta, nel campo URL di base connettore SCIM immettere l'URL copiato.
    4. Sostituire la formazione :433 con /admin/v1.
  23. Nel campo Identificativo univoco per gli utenti, immettere il nome utente.
  24. A parte Azioni di provisioning supportate, selezionare:
    • Importa nuovi utenti e aggiornamenti profilo
    • Push di nuovi utenti
    • Aggiornamenti profilo push
    • Gruppi push
  25. Nell'elenco a discesa Modalità di autenticazione selezionare Intestazione HTTP.
  26. Inserire il token di autorizzazione:
    1. In OCI, passare a Domini, quindi fare clic su Predefinito.
    2. Fare clic su Applicazioni integrate, quindi su Aggiungi applicazione.
    3. Selezionare Applicazione riservata, quindi fare clic su Avvia flusso di lavoro.
    4. Nel campo Nome, immettere Okta-SCIM-OCI.
    5. In Autenticazione e autorizzazione, abilitare Applica privilegi come autorizzazione, quindi fare clic su Avanti.
    6. In Configurazione client, selezionare Configurare l'applicazione come client ora.
    7. In Autorizzazione, abilitare Credenziali client.
    8. Visualizzare la parte inferiore, abilitare Aggiungi ruoli applicazione, quindi fare clic su Aggiungi ruoli.
    9. Abilita amministratore utenti, fare clic su Aggiungi, quindi su Avanti e infine su Fine.
    10. Fare clic su Attiva, quindi su Attiva applicazione.
    11. In Informazioni generali, copiare l'ID client.
    12. Aprire un codificatore Base64, immettere l'ID client e aggiungere i due punti alla fine.
    13. In Informazioni generali, in Segreto client, fare clic su Mostra segreto, quindi su Copia.
    14. Nell'encoder Base64, aggiungere il segreto client alla fine.
    15. Eseguire il codificatore, quindi copiare il testo codificato.
    16. In Okta, nel campo Autenticazione dell'intestazione HTTP, immettere il testo codificato.
    17. (Facoltativo) Fare clic su Test della configurazione del connettore.
    18. Fare clic su Save.
  27. In Provisioning all'applicazione, fare clic su Modifica.
  28. Abilita:
    • Creazione degli utenti
    • Aggiorna attributi utente
    • Disattiva utente
  29. Fare clic su Save.
  30. Fare clic sulla scheda Assegnazioni, espandere l'elenco a discesa Assegna, quindi fare clic su Assegna a persone, impostare l'assegnazione, quindi fare clic su Fine.
    Il nuovo utente deve essere visualizzato nella lista Utenti del dominio predefinito in OCI.

Imposta SAML OCI IdP

Utilizzare le opzioni di impostazione di Okta per aggiornare l'impostazione SAML IdP.

  1. Nella console OCI, in IdP Provider di identità SAML, selezionare l' SAML IdP creato in precedenza, ad esempio Okta.
  2. Fare clic sul menu delle azioni (tre punti), quindi fare clic su Modifica IdP.
  3. Copiare e incollare l'emittente per aggiornare l'URI dell'emittente del provider di identità.
  4. Copiare e incollare l'URL di collegamento per aggiornare l'URL della richiesta di logout del provider di identità e l'URL di risposta di logout del provider di identità e l'URL del servizio SSO.
  5. In Certificato di firma, caricare il certificato di firma scaricato in precedenza.
  6. Fare clic su Save.
  7. Fare clic sul menu delle azioni (tre puntini), quindi su Attiva.
Questa operazione dovrebbe configurare il provisioning SCIM. Da qui in poi, il provisioning e la federazione degli utenti tramite Okta dovrebbero essere possibili.