Documentação do Oracle Cloud Infrastructure

Gerenciamento do Ciclo de Vida da Identidade entre OCI e Okta

Neste tutorial, você configura o gerenciamento do ciclo de vida do usuário entre o Okta e o OCI IAM, em que o Okta atua como o armazenamento de identidades autorizado.

Este tutorial de 30 minutos mostra como provisionar usuários e grupos do Okta para o OCI IAM.

  1. Crie um aplicativo confidencial no OCI IAM.
  2. Obtenha o URL do domínio de identidades e gere um token secreto.
  3. Crie um aplicativo no Okta.
  4. Atualizar as definições do Okta.
  5. Teste se o provisionamento funciona entre o OCI IAM e o Okta.
  6. Além disso, instruções sobre como
    • Defina o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
    • Impeça que os usuários recebam e-mails de notificação quando sua conta for criada ou atualizada.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este conjunto de tutoriais, você deve ter o seguinte:

Você coleta as informações adicionais necessárias nas etapas do tutorial:

  • O URL do domínio do OCI IAM.
  • O ID e o segredo do cliente do OCI IAM.
1. Criar um Aplicativo Confidencial no OCI

Criar um aplicativo confidencial no OCI IAM e ativá-lo.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Abra o menu de navegação e selecione Identidade e Segurança. Em Identity, selecione Domains.
  5. Selecione o domínio de identidades no qual você deseja configurar o provisionamento do Okta e selecione Aplicativos.
  6. Selecione Adicionar Aplicativo, escolha Aplicativo Confidencial e selecione Iniciar workflow.

    Aplicativo confidencial

  7. Digite um nome para o aplicativo confidencial, por exemplo, OktaClient. Selecione Próximo.
  8. Na configuração de Cliente, selecione Configurar este aplicativo como cliente agora.
  9. Em Autorização, selecione Credenciais do Cliente.

    Configurar aplicativo como cliente

  10. Role para a parte inferior e selecione Adicionar atribuições de aplicativo.
  11. Em Atribuições do aplicativo, selecione Adicionar atribuições e, na página Adicionar atribuições do aplicativo, selecione Administrador de Usuários e Adicionar.

    Adicionar atribuições de aplicativo

  12. Selecione Próximo e, em seguida, Finalizar.
  13. Na página de detalhes do aplicativo, selecione Ativar e confirme que deseja ativar o novo aplicativo.
2. Localizar o GUID do OCI IAM e Gerar um Token Secreto

Você precisa de duas informações para usar como parte das definições de conexão do aplicativo Okta que você criar posteriormente.

  1. Retorne à visão geral do domínio de identidades selecionando o nome do domínio de identidades nas trilhas estruturais. Selecione Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

    O GUID do OCI IAM faz parte do URL do domínio:

    https://<IdentityDomainID>.identity.oraclecloud.com:443/fed/v1/idp/sso

    Por exemplo: idcs-9ca4f92e3fba2a4f95a4c9772ff3278

  2. No aplicativo confidencial do OCI IAM, selecione OAuth configuration em Resources.
  3. Role a tela para baixo e, em Informações Gerais, anote o ID do cliente e o segredo do cliente.
  4. Role a tela para baixo e localize o ID do Cliente e o Segredo do Cliente em Informações Gerais.
  5. Copiar o ID do cliente e armazená-lo
  6. Selecione Mostrar segredo, copie o segredo e armazene-o.

    ID e segredo do cliente

    O token secreto é a codificação base64 de <clientID>:<clientsecret> ou
    base64(<clientID>:<clientsecret>)

    Estes exemplos mostram como gerar o token secreto no Windows e no MacOS.

    Em um ambiente Windows, abra o CMD e use esse comando powershell para gerar a codificação base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Em MacOS, use
    echo -n <clientID>:<clientsecret> | base64
    O token secreto é retornado. Para
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote o valor do token secreto.

3. Criar um aplicativo no Okta

Crie um aplicativo no Okta.

  1. No browser, acesse o Okta usando o URL:

    https://<Okta-org>-admin.okta.com

    Em que <okta-org> é o prefixo para sua organização com o Okta.

  2. No menu à esquerda, selecione Aplicativos.

    Se você já tiver um aplicativo criado quando passou por SSO com OCI e Okta, poderá usá-lo. Selecione para abri-lo e editá-lo e vá para 5. Alterar Definições do Okta.

  3. Selecione Procurar Catálogo de Aplicativos e procure Oracle Cloud. Selecione Oracle Cloud Infrastructure IAM entre as opções disponíveis.
  4. Selecione Adicionar Integração.
  5. Em Configurações gerais, digite um nome para o aplicativo, por exemplo, OCI IAM, e selecione Concluído.
5. Alterar configurações do Okta

Conecte o aplicativo Okta ao aplicativo confidencial do OCI IAM usando o URL do domínio e o token de segredo de uma etapa anterior.

  1. Na página do aplicativo recém-criado, selecione a guia Sign On.
  2. Em Definições, selecione Editar.
  3. Role para baixo até Configurações avançadas de conexão.
  4. Digite o URL do domínio no GUID do Oracle Cloud Infrastructure IAM.
  5. Selecione Salvar.
  6. Perto da parte superior da página, selecione a guia Provisionamento.
  7. Selecione Configurar Integração de API.
  8. Selecione Ativar Integração de API.

    Ativar integração de API

  9. Digite o valor do token secreto que você copiou anteriormente em Token de API.

  10. Selecione Testar Credenciais de API.

    Se você receber uma mensagem de erro, verifique os valores informados e tente novamente.

    Quando você recebe uma mensagem Oracle Cloud Infrastructure IAM was verified successfully!, o Okta se conectou com sucesso ao ponto final SCIM do OCI IAM.

  11. Selecione Salvar.

A página Provisionamento para Aplicativo é aberta, na qual você pode criar usuários, atualizar atributos de usuário, mapear atributos entre o OCI IAM e o Okta.

6. Testar Provisionamento de Usuário e Grupo

Para testar o provisionamento de usuários e grupos para o Okta:

  1. No aplicativo recém-criado, escolha a guia Atribuições.
  2. Selecione Atribuir e Atribuir a Pessoas.
  3. Procure o usuário a ser provisionado do Okta para o OCI IAM.

    Selecione Designar ao lado do usuário.

  4. Selecione Salvar e Voltar.
  5. Agora provisione grupos do Okta no OCI IAM. Na guia Atribuições, selecione Atribuir e Atribuir a Grupos.
  6. Procure os grupos a serem provisionados para o OCI IAM. Ao lado do nome do grupo, selecione Designar.
  7. Selecione Concluído.
  8. Agora acesse o OCI:

    1. Abra um browser compatível e digite o URL da Console do OCI:

      https://cloud.oracle.com.

    2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
    3. Selecione o domínio de identidades no qual o Okta foi configurado.
  9. Selecionar Usuários.
  10. O usuário que foi designado ao aplicativo OCI IAM no Okta agora está presente no OCI IAM.
  11. Selecione Grupos.
  12. O grupo que foi designado ao aplicativo OCI IAM no Okta agora está presente no OCI IAM.
7. Configurações Adicionais para Usuários Federados
  • Você pode definir o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
  • Você pode desativar os e-mails de notificação que estão sendo enviados ao usuário quando sua conta é criada ou atualizada.
a. Definindo o Status Federado dos Usuários

Os usuários federados não têm credenciais para acessar diretamente o OCI. Em vez disso, eles são autenticados pelo provedor de identidades externo. Se você quiser que os usuários usem suas contas federadas para acessar o OCI, defina o atributo federado como verdadeiro para esses usuários.

Para definir o status federado do usuário:

  1. No browser, acesse o Okta usando o URL:

    https://<Okta-org>-admin.okta.com

    Em que <okta-org> é o prefixo para sua organização com o Okta.

  2. No menu à esquerda, selecione Aplicativos.
  3. Selecione o aplicativo criado anteriormente, OCI IAM.
  4. Role para baixo até a seção Mapeamentos de Atributos.
  5. Selecione Ir para Editor de Perfil.
  6. Em Atributos, selecione Adicionar Atributos.
  7. Na página Adicionar Atributo:
    • Para Tipo de Dados, escolha Boolean.
    • Para Nome para Exibição, informe isFederatedUser.
    • Para Nome da Variável, informe isFederatedUser.
      Observação

      O nome externo é preenchido automaticamente pelo valor do nome da variável.
    • Para Namespace externo, digite urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Em Escopo, marque User personal.

    Adicionar página de atributo

  8. Navegue de volta para a página Aplicativo do Okta e selecione o aplicativo OCI IAM.
  9. Selecione Provisionando.
  10. Role para baixo até Mapeamento de Atributos e selecione Mostrar Atributos Não Mapeados.
  11. Localize o atributo isFederatedUser e selecione o botão de edição ao lado dele.
  12. Na página de atributos:
    • Para Valor do atributo, escolha Expression.
    • Na caixa abaixo, digite true.
    • Para Aplicar em, escolha Criar e atualizar.

    Atributo, página

  13. Selecione Salvar.

    Valores de atributo mostrando federação

Agora, quando os usuários são provisionados do Okta para o OCI, seu status federado é definido como verdadeiro. Você pode ver isso na página de perfil do usuário no OCI.

  • Na Console do OCI, navegue até o domínio de identidades que você está usando, selecione Usuários e selecione o usuário para mostrar as informações do usuário.
  • Federado é mostrado como Yes.

    Informações do usuário mostrando que o usuário é federado

b. Desativar Notificações para Criação ou Atualizações de Conta

O flag de notificação de bypass controla se uma notificação por e-mail é enviada após a criação ou atualização de uma conta de usuário no OCI. Se você não quiser que os usuários sejam notificados de que a conta foi criada para eles, defina o flag de notificação de bypass como verdadeiro.

Para definir o flag de notificação de bypass:

  1. No browser, acesse o Okta usando o URL:

    https://<Okta-org>-admin.okta.com

    Em que <okta-org> é o prefixo para sua organização com o Okta.

  2. No menu à esquerda, selecione Aplicativos.
  3. Selecione o aplicativo criado anteriormente, OCI IAM.
  4. Role para baixo até a seção Mapeamentos de Atributos.
  5. Em Atributos, selecione Adicionar Atributos.
  6. Na página Adicionar Atributo:
    • Para Tipo de Dados, escolha Boolean.
    • Para Nome para Exibição, informe bypassNotification.
    • Para Nome da Variável, informe bypassNotification.
      Observação

      O nome externo é preenchido automaticamente pelo valor do nome da variável.
    • Para Namespace externo, digite urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User.
    • Em Escopo, marque User personal.

    Adicionar Atributo, página

  7. Navegue de volta para a página Aplicativo do Okta e selecione o aplicativo OCI IAM.
  8. Selecione Provisionamento.
  9. Role para baixo até Mapeamento de Atributos e selecione Mostrar Atributos Não Mapeados.
  10. Localize o atributo bypassNotification e selecione o botão de edição ao lado dele.
  11. Na página de atributos:
    • Para Valor do atributo, escolha Expression.
    • Na caixa abaixo, digite true.
    • Para Aplicar em, escolha Criar e atualizar.

    Atributo, página

  12. Selecione Salvar.

    Valores de atributo mostrando notificação de bypass

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o gerenciamento do ciclo de vida do usuário entre o Okta e o OCI.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: