Documentação do Oracle Cloud Infrastructure

Provisionamento JIT do Okta para o OCI IAM

Neste tutorial, você configura o provisionamento just-in-time (JIT) entre a Console do OCI e o Okta, usando o Okta como o provedor de identidades (IdP).

Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino no momento em que fizerem uma solicitação para acessar o sistema de destino. Isso pode ser mais fácil de configurar do que ter todos os usuários criados com antecedência.

Este tutorial aborda as seguintes etapas:

  1. Configure os atributos SAML enviados pelo Okta.
  2. Configurar atributos JIT no OCI IAM.
  3. Teste o provisionamento JIT entre o OCI IAM e o Okta.
Observação

Este tutorial é específico para o serviço IAM com Domínios de Identidade.
Antes do Início

Para executar este tutorial, você deve ter o seguinte:

Além disso, você deve ter concluído o tutorial SSO com OCI e Okta e coletado o ID do objeto dos grupos que você usará para o Provisionamento JIT.

1. Configurar Atributos SAML Enviados pelo Okta

No OCI IAM, atualize o Okta IdP para JIT.

  1. Abra um browser suportado e informe o URL da Console:

    https://cloud.oracle.com

  2. Informe seu Nome da Conta do Nuvem, também conhecido como nome de sua tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será usado para configurar o SSO.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança.
  6. Em Identidade, selecione Domínios.
  7. Selecione o domínio de identidades no qual você configurou o Okta como IdP.
  8. Selecione Segurança no menu esquerdo e, em seguida, Profissionais de identidade.
  9. Selecione o Okta IdP.
  10. Selecione Configurar JIT.

    Página de configuração do provedor de identidades do Okta no IAM

  11. Na página Configurar provisionamento just-in-time (JIT):
    • Selecione Provisionamento JIT (Just-In-Time).
    • Selecione Criar um novo usuário do domínio de identidade.
    • Selecione Atualizar o usuário existente do domínio da identidade.

    ativar provisionamento just-in-time

  12. Em Mapear atributos do Usuário:
    1. Deixe a primeira linha para NameID inalterada.
    2. Para outros atributos, em IdP user attribute, selecione Attribute.
    3. Forneça o nome do atributo do usuário IdP da seguinte forma
      • familyName: familyName
      • primaryEmailAddress: email
    4. Selecione Adicionar Linha e informe: firstName.

      Para o atributo de usuário do domínio de identidades, escolha First name.

      Observação

      Se você tiver configurado atributos de usuário adicionais a serem enviados como parte da asserção de usuário do Okta, poderá mapeá-los para atributos de usuário do domínio de identidades adicionando mais linhas.
  13. Selecione Atribuir mapeamento de grupo.
  14. Informe o Nome do atributo de associação do grupo. Neste tutorial, use groups.
    Observação

    Anote o nome do atributo de associação do grupo porque você o usará na próxima seção.
  15. Selecione Definir mapeamentos de associação de grupo explícito.
  16. Em IdP, o nome do grupo é mapeado para o nome do grupo de domínios de identidades, faça o seguinte:
    • Em IdP Nome do grupo, forneça o nome do grupo no Okta.
    • Em Nome do grupo de domínios de identidades e selecione o grupo no OCI IAM para o qual mapear o grupo do Okta.

      Atribuir mapeamentos de grupo

      Observação

      É possível mapear grupos adicionais selecionando Adicionar Linha.

      Este diagrama mostra os atributos configurados no Okta à esquerda e os atributos mapeados no OCI IAM à direita.

      Mapeamento de atributos de grupo entre o Okta e o OCI IAM

  17. Em Assignment Rules, selecione o seguinte:
    1. Ao designar associações de grupo: Mesclar com associações de grupo existentes
    2. Quando um grupo não for encontrado: Ignorar o grupo ausente

    definindo regras de atribuição

    Observação

    Selecione opções com base nos requisitos da sua organização.
  18. Selecione Salvar alterações.
2. Configurar atributos JIT para o OCI IAM

No Okta, atualize a configuração do aplicativo OCI IAM para enviar atributos de usuário e o nome do grupo na asserção SAML.

  1. No Okta, no aplicativo empresarial criado para o OCI IAM, selecione a guia Sign-On.
  2. Selecione Editar ao lado de Configurações.
  3. Em Saml 2.0, selecione > ao lado de Atributos (Opcional).
  4. Forneça os seguintes valores:
    Nome Formato do nome Valor
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Você pode adicionar atributos adicionais para atender às suas necessidades de negócios, mas você só precisa deles para este tutorial.

    Atributos do Okta

  5. Em Instruções de Atributo de Grupo, informe esse valor.
    Observação

    O Okta fornece um mecanismo para filtrar grupos que podem ser enviados na Asserção SAML. O filtro tem opções que incluem Starts with, Equals, Contains e Matches regex. Neste tutorial, usamos o filtro Contains, o que significa que o Okta só envia os grupos que estão associados ao usuário e que contêm a string especificada. Neste exemplo, especificamos Admin como a string; portanto, todos os grupos que contêm a string Admin e estão associados ao usuário são enviados na Asserção SAML.
    Nome Formato do nome Filtro Valor
    groups Unspecified Contains Admin

    Atributos do grupo do Okta

  6. Selecione Salvar.
3. Testar o Provisionamento JIT entre o Okta e o OCI
Nesta seção, você pode testar se o provisionamento JIT funciona entre o Okta e o OCI IAM.
  1. Na console do Okta, crie um novo usuário com um Id de e-mail que não esteja presente no OCI IAM.
  2. Designe o usuário aos grupos necessários, por exemplo, Administrators and Admins.
  3. Faça log-out do Okta.
  4. Designar o usuário ao aplicativo OCI IAM no Okta.

    Usuário no Okta

  5. No browser, abra a Console do OCI.
  6. Selecione o domínio de identidades no qual a configuração JIT foi ativada.
  7. Nas opções de conexão, selecione Okta.
  8. Na página de login do Okta, forneça o ID do usuário recém-criado.
  9. Na autenticação bem-sucedida do Okta:
    • A conta de usuário é criada no OCI IAM.
    • O usuário está conectado à Console do OCI.

    Meu Perfil no OCI IAM para usuário

  10. No menu de navegação, selecione o menu Perfil Ícone do menu Perfil e, em seguida, selecione Definições do usuário. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.

    Verificar propriedades do usuário no OCI IAM

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o provisionamento JIT entre o Okta e o IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: