Documentação do Oracle Cloud Infrastructure

Provisionamento JIT do Okta para o OCI IAM

Neste tutorial, você configura o provisionamento Just-In-Time (JIT) entre a Console e o Okta do OCI, usando o Okta como provedor de identidades (IdP).

Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino no momento em que fizerem uma solicitação para acessar o sistema de destino. Isso pode ser mais fácil de configurar do que ter todos os usuários criados com antecedência.

Este tutorial abrange as seguintes etapas:

  1. Configure atributos SAML enviados pelo Okta.
  2. Configure atributos JIT no OCI IAM.
  3. Teste o provisionamento JIT entre o OCI IAM e o Okta.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

Além disso, você deve ter concluído o tutorial SSO com OCI e Okta e coletado o ID do objeto dos grupos que você usará para o Provisionamento JIT.

1. Configurar Atributos SAML Enviados pelo Okta

No OCI IAM, atualize o Okta IdP para JIT.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades que será usado para configurar o SSO.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegaçãe clique em Identidade e Segurança.
  6. Em Identidade, clique em Domínios.
  7. Selecione o domínio de identidades no qual você configurou o Okta como IdP.
  8. Clique em Segurança no menu esquerdo e, em seguida, em Provedores de identidade.
  9. Clique no Okta IdP.
  10. Clique em Configurar JIT.

    Página de configuração do provedor de identidades do Okta no IAM

  11. Na página de provisionamento JIT (Configure Just-in-time):
    • Selecione Provisionamento JIT (Just-In Time).
    • Selecione Criar um novo usuário do domínio de identidades.
    • Selecione Atualizar o usuário do domínio de identidades existente.

    ativar provisionamento just in time

  12. Em Mapear atributos do Usuário:
    1. Deixe a primeira linha para NameID inalterada.
    2. Para outros atributos, em IdP user attribute, selecione Attribute.
    3. Forneça o nome do atributo do usuário IdP da seguinte forma
      • familyName: familyName
      • primaryEmailAddress: email
    4. Clique em Adicionar Linha e digite: firstName.

      Para o atributo de usuário do domínio de identidades, escolha First name.

      Observação

      Se você tiver configurado atributos de usuário adicionais a serem enviados como parte da asserção do usuário do Okta, poderá mapeá-los para atributos de usuário do domínio de identidades adicionando mais linhas.
  13. Selecione Designar mapeamento de grupo.
  14. Informe o Nome do atributo de associação ao grupo. Neste tutorial, use groups.
    Observação

    Anote o nome do atributo de associação do grupo, porque você o usará na próxima seção.
  15. Selecione Definir mapeamentos explícitos de associação a grupo.
  16. Em IdP, o nome do grupo é mapeado para o nome do grupo de domínio de identidades, faça o seguinte:
    • Em IdP Nome do grupo, forneça o nome do grupo no Okta.
    • Em Nome do grupo de domínios de identidade e selecione o grupo no OCI IAM para o qual mapear o grupo do Okta.

      Designar mapeamentos de grupo

      Observação

      É possível mapear grupos adicionais clicando em Adicionar Linha.

      Este diagrama mostra os atributos configurados no Okta à esquerda e os atributos mapeados no OCI IAM à direita.

      Mapeamento de atributos de grupo entre o Okta e o OCI IAM

  17. Em Regras de atribuição, selecione o seguinte:
    1. Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
    2. Quando um grupo não é encontrado: Ignorar o grupo ausente

    definindo regras de atribuição

    Observação

    Selecione opções com base nos requisitos da sua organização.
  18. Clique em Salvar alterações.
2. Configurar atributos JIT para o OCI IAM

No Okta, atualize a configuração do aplicativo OCI IAM para enviar atributos de usuário e o nome do grupo na asserção SAML.

  1. No Okta, no aplicativo empresarial criado para o OCI IAM, selecione a guia Acessar.
  2. Clique em Editar ao lado de Definições.
  3. Em Saml 2.0, clique em > ao lado de Atributos (Opcional).
  4. Forneça os seguintes valores:
    Nome Formato de nome Valor
    firstName Unspecified user.firstName
    familyName Unspecified user.lastName
    email Unspecified user.email

    Você pode adicionar atributos adicionais para atender aos seus requisitos de negócios, mas você só precisa deles para este tutorial.

    Atributos do Okta

  5. Em Instruções de Atributo de Grupo, informe esse valor.
    Observação

    O Okta fornece um mecanismo para filtrar grupos que podem ser enviados na Asserção SAML. O filtro tem opções que incluem Starts with, Equals, Contains e Matches regex. Neste tutorial, usamos o filtro Contains, o que significa que o Okta só envia os grupos que estão associados ao usuário e que contêm a string especificada. Neste exemplo, especificamos Admin como string; portanto, todos os grupos que contêm a string Admin e estão associados ao usuário são enviados na Asserção SAML.
    Nome Formato de nome Filtro Valor
    groups Unspecified Contains Admin

    Atributos do grupo Okta

  6. Clique em Salvar.
3. Testar o Provisionamento JIT entre o Okta e o OCI
Nesta seção, você pode testar se o provisionamento JIT funciona entre o Okta e o OCI IAM.
  1. Na console do Okta, crie um novo usuário com um ID de e-mail que não esteja presente no OCI IAM.
  2. Designe o usuário aos grupos necessários, por exemplo, Administrators and Admins.
  3. Efetue log-out do Okta.
  4. Designe o usuário ao aplicativo OCI IAM no Okta.

    Usuário no Okta

  5. No browser, abra a Console do OCI.
  6. Selecione o domínio de identidades no qual a configuração JIT foi ativada.
  7. Nas opções de acesso, clique em Okta.
  8. Na página de login do Okta, forneça o ID de usuário recém-criado.
  9. Na autenticação bem-sucedida do Okta:
    • A conta de usuário é criada no OCI IAM.
    • O usuário está conectado à Console do OCI.

    Meu Perfil no OCI IAM para usuário

  10. Selecione o menu Perfil (Ícone do menu Perfil), que está no lado superior direito da barra de navegação na parte superior da página, e clique em Meu perfil. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.

    Verificar propriedades do usuário no OCI IAM

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o provisionamento JIT entre o Okta e o IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: