Documentação do Oracle Cloud Infrastructure

SSO com OCI e Okta

Neste tutorial, você configura o Sign-On Único entre o OCI e o Okta, em que o Okta atua como provedor de identidades (IdP) e o OCI IAM é provedor de serviços (SP).

Este tutorial de 15 minutos mostra como configurar o Okta como um IdP, com o OCI IAM atuando como SP. Ao configurar a federação entre o Okta e o OCI IAM, você permite que os usuários acessem serviços e aplicativos no OCI IAM usando credenciais de usuário autenticadas pelo Okta.

  1. Primeiro, obtenha as informações necessárias do OCI IAM.
  2. Configurar o Okta como um IdP para o OCI IAM.
  3. Configurar o OCI IAM para que o Okta atue como IdP.
  4. Crie políticas IdP no OCI IAM.
  5. Teste se a autenticação federada funciona entre o OCI IAM e o Okta.
Antes de Começar

Para executar um destes tutoriais, você deve ter o seguinte:

Você coleta as informações adicionais necessárias nas etapas de cada tutorial:

  • Obtenha os metadados IdP do OCI e o certificado de assinatura do domínio de identidades.
  • Obtenha o certificado de assinatura do domínio de identidades.
1. Obter os Metadados do Provedor de Identidades do OCI e o URL do Domínio

Você precisará dos metadados SAML IdP do domínio de identidades do OCI IAM para importar para o aplicativo Okta que você criou. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio de identidades que você está usando. O Okta usa o URL de domínio do OCI para estabelecer conexão com o OCI IAM.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com.

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  6. Selecione o nome do domínio de identidades no qual deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e, em seguida, em Provedores de identidade.
  7. Selecione Exportar metadados SAML.

    Fazer download de metadados SAML

  8. Selecione a opção Arquivo de metadados e selecione Fazer Download de XML.

    Faça download do arquivo XML

  9. Renomeie o arquivo XML baixado como OCIMetadata.xml.
  10. Retorne à visão geral do domínio de identidades selecionando o nome do domínio de identidades na trilha de navegação estrutural. Selecione Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL. Este é o URL do domínio do OCI IAM que você usará posteriormente.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

2. Criar um Aplicativo no Okta

Crie um aplicativo no Okta e anote os valores que você precisará mais tarde.

  1. No browser, acesse o Okta usando o URL:
    https://<OktaOrg>-admin.okta.com

    em que <OktaOrg> é o prefixo da sua organização com o Okta.

  2. No menu esquerdo, selecione Segurança e escolha Aplicativos e, em seguida, selecione Procurar Catálogo de Aplicativos.
  3. Procure Oracle Cloud e selecione Oracle Cloud Infrastructure IAM entre as opções disponíveis.
  4. Selecione Adicionar Integração.
  5. Em Configurações gerais, digite um nome para o aplicativo, por exemplo, OCI IAM, e selecione Concluído.
  6. Na página de detalhes do aplicativo para seu novo aplicativo, selecione a guia Sign On e, em Certificados de Assinatura SAML, selecione Exibir instruções de configuração SAML.
  7. Na página Exibir instruções de configuração do SAML, anote o seguinte:
    • ID de Entidade
    • URL SingleLogoutService
    • URL SingleSignOnService
  8. Baixe e salve o certificado, com uma extensão de arquivo de.pem.
3. Criar o Okta como um IdP no OCI IAM

Crie um IdP para o Okta na Console do OCI.

  1. Na Console do OCI no domínio no qual você está trabalhando, selecione Segurança e Provedores de identidades.
  2. Selecione Adicionar IdP e, em seguida, selecione Adicionar IdP SAML.
  3. Digite um nome para o SAML IdP, por exemplo, Okta. Selecione Próximo.
  4. Na página de metadados do Exchange, certifique-se de que a opção Informar metadados IdP esteja selecionada.
  5. Informe o seguinte da etapa 8 em 2. Crie um Aplicativo no Okta:
    • Para URI do emissor do provedor de identidades: Informe o ID de Entrada.
    • Para URL do serviço SSO: Informe o URL SingleSignOnService.
    • Para Binding do serviço SSO: Selecione POST.
    • Para Fazer upload do certificado de assinatura do provedor de identidades: Use o arquivo .pem da certificação Okta.

      Página de metadados do Exchange para criar provedor de identidades SAML

    Mais adiante na página, certifique-se de que Ativar log-out Global esteja selecionado e informe o seguinte.

    • Para URL de Solicitação de Log-out do IDP: Informe o URL SingleLogoutService.
    • Para URL de Resposta de Log-out do IDP: eEnter acesse o URL SingleLogoutService.
    • Certifique-se de que a Binding de log-out esteja definida como POST.

      configuração adicional

  6. Selecione Próximo.
  7. Na página Mapear atributos:
    • Para Formato NameId solicitado, escolha Email address.
    • Para Atributo de usuário do provedor de identidades: Escolha o ID do Nome da asserção SAML.
    • Para Atributo de usuário do Domínio de Identidades: Escolha o endereço de e-mail Principal.
  8. Selecione Próximo.
  9. Verifique e selecione Criar IDP.
  10. Na página O Que Vem a Seguir, selecione Ativar e, em seguida, selecione Adicionar à política IdP.
  11. Selecione Política do Provedor de Identidades Padrão para abri-la, depois selecione o menu Ações (três pontos) para a regra e selecione Editar regra IdP.
  12. Selecione em Designar provedores de identidades e, em seguida, selecione Okta para adicioná-lo à lista.
  13. Selecione Salvar alterações.
  14. Faça download do Certificado SP:
    • Na Console do OCI no domínio no qual você está trabalhando, selecione Segurança e Provedores de identidades.
    • Selecione Okta.
    • Na página IdP do Okta, selecione Metadados do Provedor de Serviços.
    • Selecione Fazer Download ao lado do certificado de assinatura do Provedor de Serviços para fazer download do certificado de assinatura do SP e salvá-lo.
4. Configurar Okta
  1. Na console do Okta, selecione Application e, em seguida, selecione o novo aplicativo OCI IAM.
  2. Vá para a guia Sign On e selecione Editar.
  3. Selecione Ativar Log-out Único.
  4. Navegue até o certificado baixado na Console do OCI IAM na etapa anterior e selecione Fazer Upload.
  5. Role para baixo até Configurações avançadas de logon.
  6. Informe o seguinte:
  7. Selecione Salvar.
  8. Vá para a guia Atribuições e designe usuários aos quais você deseja ter acesso a este aplicativo.
  9. Selecione Próximo.
5. Testar logon único

  1. Informe o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Selecione o domínio para o qual você configurou o Okta IdP.
  5. Na página de acesso, selecione o ícone do Okta.
  6. Informe suas credenciais do Okta. Você acessou o Console do OCI.
O Que Vem a Seguir

Parabéns! Você configurou com sucesso um SSO entre o Okta e o OCI IAM de duas maneiras diferentes.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: