Documentação do Oracle Cloud Infrastructure

SSO com OCI e Okta

Neste tutorial, você configura o Sign-On Único entre o OCI e o Okta, em que o Okta atua como provedor de identidades (IdP) e o OCI IAM é provedor de serviços (SP).

Este tutorial de 15 minutos mostra como configurar o Okta como um IdP, com o OCI IAM agindo como SP. Ao configurar a federação entre o Okta e o OCI IAM, você permite que os usuários acessem serviços e aplicativos no OCI IAM usando credenciais de usuário autenticadas pelo Okta.

  1. Primeiro, reúna as informações necessárias do OCI IAM.
  2. Configure o Okta como um IdP para o OCI IAM.
  3. Configure o OCI IAM para que o Okta atue como IdP.
  4. Crie políticas IdP no OCI IAM.
  5. Teste se a autenticação federada funciona entre o OCI IAM e o Okta.
Antes de Começar

Para executar um destes tutoriais, você deve ter o seguinte:

Você coleta as informações adicionais necessárias nas etapas de cada tutorial:

  • Obtenha os metadados IdP do OCI e o certificado de assinatura do domínio de identidades.
  • Obtenha o certificado de assinatura do domínio de identidades.
1. Obter os Metadados do Provedor de Identidades do OCI e o URL do Domínio

Você precisará dos metadados SAML IdP do domínio de identidades do OCI IAM para importar para o aplicativo Okta que você criará. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio de identidades que você está usando. O Okta usa o URL de domínio do OCI para estabelecer conexão com o OCI IAM.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com.

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegaçãoe clique em Segurança de Identidade. Em Identidade, clique em Domínios.
  6. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e em Provedores de identidades.
  7. Clique em Exportar metadados SAML.

    Fazer download de metadados SAML

  8. Selecione a opção Arquivo de metadados e clique em Fazer Download do XML.

    Faça download do arquivo XML

  9. Renomeie o arquivo XML baixado como OCIMetadata.xml.
  10. Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades na trilha de navegação. Clique em Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL. Este é o URL do domínio do OCI IAM que você usará posteriormente.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

2. Criar um Aplicativo no Okta

Crie um aplicativo no Okta e anote os valores que você precisará mais tarde.

  1. No browser, acesse o Okta usando o URL:
    https://<OktaOrg>-admin.okta.com

    em que <OktaOrg> é o prefixo da sua organização com o Okta.

  2. No menu esquerdo, clique em Segurança e escolha Aplicativos e, em seguida, clique em Procurar Catálogo de Aplicativos.
  3. Procure Oracle Cloud e selecione Oracle Cloud Infrastructure IAM entre as opções disponíveis.
  4. Clique em Adicionar Integração.
  5. Em Definições gerais, informe um nome para o aplicativo, por exemplo, OCI IAM, e clique em Concluído.
  6. Na página de detalhes do aplicativo para seu novo aplicativo, clique na guia Acessar e, em Certificados de Assinatura SAML, clique em Exibir instruções de configuração do SAML.
  7. Na página Exibir instruções de configuração do SAML, anote o seguinte:
    • ID de Entidade
    • URL SingleLogoutService
    • URL SingleSignOnService
  8. Baixe e salve o certificado, com uma extensão de arquivo de.pem.
3. Criar o Okta como um IdP no OCI IAM

Crie um IdP para o Okta na Console do OCI.

  1. Na Console do OCI no domínio no qual você está trabalhando, clique em Segurança e, em seguida, em Provedores de identidades.
  2. Clique em Adicionar IdP e, em seguida, clique em Adicionar IdP SAML.
  3. Digite um nome para o SAML IdP, por exemplo, Okta. Clique em Próximo.
  4. Na página de metadados do Exchange, certifique-se de que a opção Informar metadados IdP esteja selecionada.
  5. Informe o seguinte da etapa 8 em 2. Crie um Aplicativo no Okta:
    • Para URI do emissor do provedor de identidades: Informe o ID de Entrada.
    • Para URL do serviço SSO: Informe o URL SingleSignOnService.
    • Para Binding do serviço SSO: Selecione POST.
    • Para Fazer upload do certificado de assinatura do provedor de identidades: Use o arquivo .pem da certificação Okta.

      Página de metadados do Exchange para criar provedor de identidades SAML

    Mais adiante na página, certifique-se de que Ativar log-out Global esteja selecionado e informe o seguinte.

    • Para URL de Solicitação de Log-out do IDP: Informe o URL SingleLogoutService.
    • Para URL de Resposta de Log-out do IDP: eEnter acesse o URL SingleLogoutService.
    • Certifique-se de que a Binding de log-out esteja definida como POST.

      configuração adicional

  6. Clique em Próximo.
  7. Na página Mapear atributos:
    • Para Formato NameId solicitado, escolha Email address.
    • Para Atributo de usuário do provedor de identidades: Escolha o ID do Nome da asserção SAML.
    • Para Atributo de usuário do Domínio de Identidades: Escolha o endereço de e-mail Principal.
  8. Clique em Próximo.
  9. Verifique e clique em Criar IDP.
  10. Na página Próxima, clique em Ativar e, em seguida, clique em Adicionar à política IdP.
  11. Clique em Política do Provedor de Identidades Padrão para abri-la e, em seguida, clique no menu Ações (Menu Ações) da regra e clique em Editar regra IdP.
  12. Clique em Designar provedores de identidades e, em seguida, clique em Okta para adicioná-lo à lista.
  13. Clique em Salvar alterações.
  14. Faça download do Certificado SP:
    • Na Console do OCI no domínio no qual você está trabalhando, clique em Segurança e, em seguida, em Provedores de identidades.
    • Clique em Okta.
    • Na página IdP do Okta, clique em Metadados do Provedor de Serviços.
    • Clique em Fazer Download ao lado do certificado de assinatura do Provedor de Serviços para fazer download do certificado de assinatura do SP e salvá-lo.
4. Configurar Okta
  1. Na console do Okta, clique em Aplicativo e, em seguida, clique no novo aplicativo OCI IAM.
  2. Vá para a guia Sign On e clique em Editar.
  3. Selecione Ativar Log-out Único.
  4. Navegue até o certificado baixado na Console do OCI IAM na etapa anterior e clique em Fazer Upload.
  5. Role para baixo até Configurações avançadas de logon.
  6. Informe o seguinte:
  7. Clique em Salvar.
  8. Vá para a guia Atribuições e designe usuários aos quais você deseja ter acesso a este aplicativo.
  9. Clique em Próximo.
5. Testar logon único

  1. Informe o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Selecione o domínio para o qual você configurou o Okta IdP.
  5. Na página de acesso, clique no ícone do Okta.
  6. Informe suas credenciais do Okta. Você acessou a Console do OCI.
O Que Vem a Seguir

Parabéns! Você configurou com sucesso um SSO entre o Okta e o OCI IAM de duas maneiras diferentes.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: