Documentação do Oracle Cloud Infrastructure

Gerenciamento do Ciclo de Vida da Identidade entre OCI e Okta

Neste tutorial, você configura o gerenciamento do ciclo de vida do usuário entre o Okta e o OCI IAM, em que o Okta atua como o armazenamento de identidades autorizado.

Este tutorial de 30 minutos mostra como provisionar usuários e grupos do Okta para o OCI IAM.

  1. Crie um aplicativo confidencial no OCI IAM.
  2. Obtenha o URL do domínio de identidades e gere um token secreto.
  3. Crie um aplicativo no Okta.
  4. Atualizar as definições do Okta.
  5. Teste se o provisionamento funciona entre o OCI IAM e o Okta.
  6. Além disso, instruções sobre como
    • Defina o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
    • Impeça que os usuários recebam e-mails de notificação quando sua conta for criada ou atualizada.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este conjunto de tutoriais, você deve ter o seguinte:

Você coleta as informações adicionais necessárias nas etapas do tutorial:

  • O URL do domínio do OCI IAM.
  • O ID e o segredo do cliente do OCI IAM.
1. Criar um Aplicativo Confidencial no OCI

Crie um aplicativo confidencial no OCI IAM e ative-o.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
  5. Selecione o domínio de identidades no qual você deseja configurar o provisionamento do Okta e clique em Aplicativos.
  6. Clique em Adicionar Aplicativo, escolha Confidencial do Aplicativo e clique em Iniciar workflow.

    Aplicativo confidencial

  7. Digite um nome para o aplicativo confidencial, por exemplo, OktaClient. Clique em Próximo.
  8. Na configuração de Cliente, selecione Configurar este aplicativo como cliente agora.
  9. Em Autorização, selecione Credenciais do Cliente.

    Configurar aplicativo como cliente

  10. Role para a parte inferior e clique em Adicionar funções do aplicativo.
  11. Em Atribuições do aplicativo, clique em Adicionar atribuições e, na página Adicionar atribuições do aplicativo, selecione Administrador de Usuários e clique em Adicionar.

    Adicionar atribuições de aplicativo

  12. Clique em Próximo e, em seguida, em Finalizar.
  13. Na página de detalhes do aplicativo, clique em Ativar e confirme que deseja ativar o novo aplicativo.
2. Localizar o GUID do OCI IAM e Gerar um Token Secreto

Você precisa de duas informações para usar como parte das definições de conexão do aplicativo Okta que você criar posteriormente.

  1. Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades nas trilhas de navegação estrutural. Clique em Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

    O GUID do OCI IAM faz parte do URL do domínio:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Por exemplo: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. No aplicativo confidencial do OCI IAM, clique em Configuração do OAuth em Resources.
  3. Role a tela para baixo e, em Informações Gerais, anote o ID do cliente e o segredo do cliente.
  4. Role a tela para baixo e localize o ID do Cliente e o Segredo do Cliente em Informações Gerais.
  5. Copiar o ID do cliente e armazená-lo
  6. Clique em Mostrar segredo, copie o segredo e armazene-o.

    ID e segredo do cliente

    O token secreto é a codificação base64 de <clientID>:<clientsecret> ou
    base64(<clientID>:<clientsecret>)

    Estes exemplos mostram como gerar o token secreto no Windows e no MacOS.

    Em um ambiente Windows, abra o CMD e use esse comando powershell para gerar a codificação base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Em MacOS, use
    echo -n <clientID>:<clientsecret> | base64
    O token secreto é retornado. Para
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote o valor do token secreto.

3. Criar um aplicativo no Okta

Crie um aplicativo no Okta.

  1. No browser, acesse o Okta usando o URL:

    https://<Okta-org>-admin.okta.com

    Em que <okta-org> é o prefixo para sua organização com o Okta.

  2. No menu à esquerda, clique em Aplicativos.

    Se você já tiver um aplicativo criado quando passou por SSO com OCI e Okta, poderá usá-lo. Clique para abri-lo, editá-lo e vá para 5. Alterar configurações do Okta.

  3. Clique em Procurar Catálogo de Aplicativos e procure Oracle Cloud. Selecione Oracle Cloud Infrastructure IAM entre as opções disponíveis.
  4. Clique em Adicionar Integração.
  5. Em Definições gerais, informe um nome para o aplicativo, por exemplo, OCI IAM, e clique em Concluído.
5. Alterar configurações do Okta

Conecte o aplicativo Okta ao aplicativo confidencial do OCI IAM usando o URL de domínio e o token secreto de uma etapa anterior.

  1. Na página do aplicativo recém-criado, clique na guia Conectar.
  2. Em Definições, clique em Editar.
  3. Role para baixo até Configurações avançadas de conexão.
  4. Digite o URL do domínio no GUID do Oracle Cloud Infrastructure IAM.
  5. Clique em Salvar.
  6. Na parte superior da página, clique na guia Provisionamento.
  7. Clique em Configurar Integração de API.
  8. Selecione Ativar Integração de API.

    Ativar integração de API

  9. Digite o valor do token secreto que você copiou anteriormente em Token de API.

  10. Clique em Test API Credentials.

    Se você receber uma mensagem de erro, verifique os valores informados e tente novamente.

    Quando você recebe uma mensagem Oracle Cloud Infrastructure IAM was verified successfully!, o Okta se conecta com sucesso ao ponto final SCIM do OCI IAM.

  11. Clique em Salvar.

A página Provisionamento para Aplicativo é aberta, na qual você pode criar usuários, atualizar atributos de usuário, mapear atributos entre o OCI IAM e o Okta.

6. Testar Provisionamento de Usuário e Grupo

Para testar o provisionamento de usuários e grupos para o Okta:

  1. No aplicativo recém-criado, escolha a guia Atribuições.
  2. Clique em Designar e selecione Designar às Pessoas.
  3. Procure o usuário a ser provisionado do Okta para o OCI IAM.

    Clique em Atribuir ao lado do usuário.

  4. Clique em Salvar e em Voltar.
  5. Agora provisione grupos Okta no OCI IAM. Na guia Atribuições, clique em Designar e selecione Designar a Grupos.
  6. Procure os grupos a serem provisionados para o OCI IAM. Ao lado do nome do grupo, clique em Designar.
  7. Clique em Concluído.
  8. Agora acesse o OCI:

    1. Abra um browser compatível e digite o URL da Console do OCI:

      https://cloud.oracle.com.

    2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
    3. Selecione o domínio de identidades no qual o Okta foi configurado.
  9. Clique em Usuários.
  10. O usuário designado ao aplicativo OCI IAM no Okta agora está presente no OCI IAM.
  11. Clique em Grupos.
  12. O grupo designado ao aplicativo OCI IAM no Okta agora está presente no OCI IAM.
7. Configurações Adicionais para Usuários Federados
  • Você pode definir o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
  • Você pode desativar os e-mails de notificação que estão sendo enviados ao usuário quando sua conta é criada ou atualizada.
a. Definindo o Status Federado dos Usuários

Os usuários federados não têm credenciais para acessar diretamente o OCI. Em vez disso, eles são autenticados pelo provedor de identidades externo. Se quiser que os usuários usem suas contas federadas para acessar o OCI, defina o atributo federado como verdadeiro para esses usuários.

Para definir o status federado do usuário:

  1. No browser, acesse o Okta usando o URL:

    https://<Okta-org>-admin.okta.com

    Em que <okta-org> é o prefixo para sua organização com o Okta.

  2. No menu à esquerda, clique em Aplicativos.
  3. Clique no aplicativo criado anteriormente, OCI IAM.
  4. Role para baixo até a seção Mapeamentos de Atributos.
  5. Clique em Ir para o Editor de Perfis.
  6. Em Atributos, clique em Adicionar Atributos.
  7. Na página Adicionar Atributo:
    • Para Tipo de Dados, escolha Boolean.
    • Para Nome para Exibição, informe isFederatedUser.
    • Para Nome da Variável, informe isFederatedUser.
      Observação

      O nome externo é preenchido automaticamente pelo valor do nome da variável.
    • Para Namespace externo, digite urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Em Escopo, marque User personal.

    Página Adicionar atributo

  8. Navegue de volta para a página Aplicativo do Okta e selecione o aplicativo OCI IAM.
  9. Clique em Provisionamento.
  10. Role para baixo até Mapeamento de Atributos e clique em Mostrar Atributos Não Mapeados.
  11. Localize o atributo isFederatedUser e clique no botão de edição ao lado dele.
  12. Na página de atributos:
    • Para Valor do atributo, escolha Expression.
    • Na caixa abaixo, digite true.
    • Para Aplicar em, escolha Criar e atualizar.

    Atributo, página

  13. Clique em Salvar.

    Valores de atributo mostrando federação

Agora, quando os usuários são provisionados do Okta para o OCI, seu status federado é definido como verdadeiro. Você pode ver isso na página de perfil do usuário no OCI.

  • Na Console do OCI, navegue até o domínio de identidades que você está usando, clique em Usuários e clique no usuário para mostrar as informações do usuário.
  • Federado é mostrado como Yes.

    Informações do usuário mostrando que o usuário é federado

b. Desativar Notificações para Criação ou Atualizações de Conta

O flag de notificação de bypass controla se uma notificação por e-mail é enviada após a criação ou atualização de uma conta de usuário no OCI. Se você não quiser que os usuários sejam notificados de que a conta foi criada para eles, defina o flag de ignorar notificação como verdadeiro.

Para definir o flag de notificação de bypass:

  1. No browser, acesse o Okta usando o URL:

    https://<Okta-org>-admin.okta.com

    Em que <okta-org> é o prefixo para sua organização com o Okta.

  2. No menu à esquerda, clique em Aplicativos.
  3. Clique no aplicativo criado anteriormente, OCI IAM.
  4. Role para baixo até a seção Mapeamentos de Atributos.
  5. Em Atributos, clique em Adicionar Atributos.
  6. Na página Adicionar Atributo:
    • Para Tipo de Dados, escolha Boolean.
    • Para Nome para Exibição, informe bypassNotification.
    • Para Nome da Variável, informe bypassNotification.
      Observação

      O nome externo é preenchido automaticamente pelo valor do nome da variável.
    • Para Namespace externo, digite urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Em Escopo, marque User personal.

    Página Adicionar Atributo

  7. Navegue de volta para a página Aplicativo do Okta e selecione o aplicativo OCI IAM.
  8. Clique em Provisionamento.
  9. Role para baixo até Mapeamento de Atributos e clique em Mostrar Atributos Não Mapeados.
  10. Localize o atributo bypassNotification e clique no botão de edição ao lado dele.
  11. Na página de atributos:
    • Para Valor do atributo, escolha Expression.
    • Na caixa abaixo, digite true.
    • Para Aplicar em, escolha Criar e atualizar.

    Atributo, página

  12. Clique em Salvar.

    Valores de atributo mostrando notificação de bypass

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o gerenciamento do ciclo de vida do usuário entre o Okta e o OCI.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: