Provisionamento JIT do Okta para o OCI IAM
Neste tutorial, você configura o provisionamento Just-In-Time (JIT) entre a Console e o Okta do OCI, usando o Okta como provedor de identidades (IdP).
Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino no momento em que fizerem uma solicitação para acessar o sistema de destino. Isso pode ser mais fácil de configurar do que ter todos os usuários criados com antecedência.
Este tutorial abrange as seguintes etapas:
- Configure atributos SAML enviados pelo Okta.
- Configure atributos JIT no OCI IAM.
- Teste o provisionamento JIT entre o OCI IAM e o Okta.
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Para executar este tutorial, você deve ter o seguinte:
-
Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma conta do Okta com uma das seguintes atribuições do Okta:
- Administrador Global
- Administrador de Aplicativo em Nuvem
- Administrador de Aplicativo
Além disso, você deve ter concluído o tutorial SSO com OCI e Okta e coletado o ID do objeto dos grupos que você usará para o Provisionamento JIT.
No OCI IAM, atualize o Okta IdP para JIT.
-
Abra um browser suportado e digite o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Selecione o domínio de identidades que será usado para configurar o SSO.
- Entre com seu nome de usuário e senha.
- Abra o menu de navegaçãe clique em Identidade e Segurança.
- Em Identidade, clique em Domínios.
- Selecione o domínio de identidades no qual você configurou o Okta como IdP.
- Clique em Segurança no menu esquerdo e, em seguida, em Provedores de identidade.
- Clique no Okta IdP.
- Clique em Configurar JIT.
- Na página de provisionamento JIT (Configure Just-in-time):
- Selecione Provisionamento JIT (Just-In Time).
- Selecione Criar um novo usuário do domínio de identidades.
- Selecione Atualizar o usuário do domínio de identidades existente.
- Em Mapear atributos do Usuário:
- Deixe a primeira linha para
NameID
inalterada. - Para outros atributos, em IdP user attribute, selecione
Attribute
. - Forneça o nome do atributo do usuário IdP da seguinte forma
- familyName:
familyName
- primaryEmailAddress:
email
- familyName:
- Clique em Adicionar Linha e digite:
firstName
.Para o atributo de usuário do domínio de identidades, escolha
First name
.Observação
Se você tiver configurado atributos de usuário adicionais a serem enviados como parte da asserção do usuário do Okta, poderá mapeá-los para atributos de usuário do domínio de identidades adicionando mais linhas.
- Deixe a primeira linha para
- Selecione Designar mapeamento de grupo.
- Informe o Nome do atributo de associação ao grupo. Neste tutorial, use
groups
.Observação
Anote o nome do atributo de associação do grupo, porque você o usará na próxima seção. - Selecione Definir mapeamentos explícitos de associação a grupo.
- Em IdP, o nome do grupo é mapeado para o nome do grupo de domínio de identidades, faça o seguinte:
- Em IdP Nome do grupo, forneça o nome do grupo no Okta.
- Em Nome do grupo de domínios de identidade e selecione o grupo no OCI IAM para o qual mapear o grupo do Okta.Observação
É possível mapear grupos adicionais clicando em Adicionar Linha.Este diagrama mostra os atributos configurados no Okta à esquerda e os atributos mapeados no OCI IAM à direita.
- Em Regras de atribuição, selecione o seguinte:
- Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
- Quando um grupo não é encontrado: Ignorar o grupo ausente
Observação
Selecione opções com base nos requisitos da sua organização. - Clique em Salvar alterações.
No Okta, atualize a configuração do aplicativo OCI IAM para enviar atributos de usuário e o nome do grupo na asserção SAML.
- No Okta, no aplicativo empresarial criado para o OCI IAM, selecione a guia Acessar.
- Clique em Editar ao lado de Definições.
- Em Saml 2.0, clique em > ao lado de Atributos (Opcional).
- Forneça os seguintes valores:
Nome Formato de nome Valor firstName
Unspecified
user.firstName
familyName
Unspecified
user.lastName
email
Unspecified
user.email
Você pode adicionar atributos adicionais para atender aos seus requisitos de negócios, mas você só precisa deles para este tutorial.
- Em Instruções de Atributo de Grupo, informe esse valor.Observação
O Okta fornece um mecanismo para filtrar grupos que podem ser enviados na Asserção SAML. O filtro tem opções que incluemStarts with
,Equals
,Contains
eMatches regex
. Neste tutorial, usamos o filtroContains
, o que significa que o Okta só envia os grupos que estão associados ao usuário e que contêm a string especificada. Neste exemplo, especificamosAdmin
como string; portanto, todos os grupos que contêm a stringAdmin
e estão associados ao usuário são enviados na Asserção SAML.Nome Formato de nome Filtro Valor groups
Unspecified
Contains
Admin
- Clique em Salvar.
- Na console do Okta, crie um novo usuário com um ID de e-mail que não esteja presente no OCI IAM.
- Designe o usuário aos grupos necessários, por exemplo,
Administrators and Admins
. - Efetue log-out do Okta.
- Designe o usuário ao aplicativo OCI IAM no Okta.
- No browser, abra a Console do OCI.
- Selecione o domínio de identidades no qual a configuração JIT foi ativada.
- Nas opções de acesso, clique em Okta.
- Na página de login do Okta, forneça o ID de usuário recém-criado.
- Na autenticação bem-sucedida do Okta:
- A conta de usuário é criada no OCI IAM.
- O usuário está conectado à Console do OCI.
- Selecione o menu Perfil (
), que está no lado superior direito da barra de navegação na parte superior da página, e clique em Meu perfil. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.
Parabéns! Você configurou com sucesso o provisionamento JIT entre o Okta e o IAM.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: