SSO com OCI e Okta
Neste tutorial, você configura o Sign-On Único entre o OCI e o Okta, em que o Okta atua como provedor de identidades (IdP) e o OCI IAM é provedor de serviços (SP).
Este tutorial de 15 minutos mostra como configurar o Okta como um IdP, com o OCI IAM agindo como SP. Ao configurar a federação entre o Okta e o OCI IAM, você permite que os usuários acessem serviços e aplicativos no OCI IAM usando credenciais de usuário autenticadas pelo Okta.
- Primeiro, reúna as informações necessárias do OCI IAM.
- Configure o Okta como um IdP para o OCI IAM.
- Configure o OCI IAM para que o Okta atue como IdP.
- Crie políticas IdP no OCI IAM.
- Teste se a autenticação federada funciona entre o OCI IAM e o Okta.
Para executar um destes tutoriais, você deve ter o seguinte:
-
Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma conta Okta com privilégios de administrador para configurar o provisionamento.
Você coleta as informações adicionais necessárias nas etapas de cada tutorial:
- Obtenha os metadados IdP do OCI e o certificado de assinatura do domínio de identidades.
- Obtenha o certificado de assinatura do domínio de identidades.
Você precisará dos metadados SAML IdP do domínio de identidades do OCI IAM para importar para o aplicativo Okta que você criará. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio de identidades que você está usando. O Okta usa o URL de domínio do OCI para estabelecer conexão com o OCI IAM.
-
Abra um browser suportado e digite o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo,
Default
. - Entre com seu nome de usuário e senha.
- Abra o menu de navegaçãoe clique em Segurança de Identidade. Em Identidade, clique em Domínios.
- Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e em Provedores de identidades.
- Clique em Exportar metadados SAML.
- Selecione a opção Arquivo de metadados e clique em Fazer Download do XML.
- Renomeie o arquivo XML baixado como
OCIMetadata.xml
. - Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades na trilha de navegação. Clique em Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL. Este é o URL do domínio do OCI IAM que você usará posteriormente.
Crie um aplicativo no Okta e anote os valores que você precisará mais tarde.
- No browser, acesse o Okta usando o URL:
https://<OktaOrg>-admin.okta.com
em que
<OktaOrg>
é o prefixo da sua organização com o Okta. - No menu esquerdo, clique em Segurança e escolha Aplicativos e, em seguida, clique em Procurar Catálogo de Aplicativos.
- Procure
Oracle Cloud
e selecione Oracle Cloud Infrastructure IAM entre as opções disponíveis. - Clique em Adicionar Integração.
- Em Definições gerais, informe um nome para o aplicativo, por exemplo,
OCI IAM
, e clique em Concluído. - Na página de detalhes do aplicativo para seu novo aplicativo, clique na guia Acessar e, em Certificados de Assinatura SAML, clique em Exibir instruções de configuração do SAML.
- Na página Exibir instruções de configuração do SAML, anote o seguinte:
- ID de Entidade
- URL SingleLogoutService
- URL SingleSignOnService
- Baixe e salve o certificado, com uma extensão de arquivo de
.pem
.
Crie um IdP para o Okta na Console do OCI.
- Na Console do OCI no domínio no qual você está trabalhando, clique em Segurança e, em seguida, em Provedores de identidades.
- Clique em Adicionar IdP e, em seguida, clique em Adicionar IdP SAML.
- Digite um nome para o SAML IdP, por exemplo,
Okta
. Clique em Próximo. - Na página de metadados do Exchange, certifique-se de que a opção Informar metadados IdP esteja selecionada.
- Informe o seguinte da etapa 8 em 2. Crie um Aplicativo no Okta:
- Para URI do emissor do provedor de identidades: Informe o ID de Entrada.
- Para URL do serviço SSO: Informe o URL SingleSignOnService.
- Para Binding do serviço SSO: Selecione
POST
. - Para Fazer upload do certificado de assinatura do provedor de identidades: Use o arquivo
.pem
da certificação Okta.
Mais adiante na página, certifique-se de que Ativar log-out Global esteja selecionado e informe o seguinte.
- Para URL de Solicitação de Log-out do IDP: Informe o URL SingleLogoutService.
- Para URL de Resposta de Log-out do IDP: eEnter acesse o URL SingleLogoutService.
- Certifique-se de que a Binding de log-out esteja definida como POST.
- Clique em Próximo.
- Na página Mapear atributos:
- Para Formato NameId solicitado, escolha
Email address
. - Para Atributo de usuário do provedor de identidades: Escolha o ID do Nome da asserção SAML.
- Para Atributo de usuário do Domínio de Identidades: Escolha o endereço de e-mail Principal.
- Para Formato NameId solicitado, escolha
- Clique em Próximo.
- Verifique e clique em Criar IDP.
- Na página Próxima, clique em Ativar e, em seguida, clique em Adicionar à política IdP.
- Clique em Política do Provedor de Identidades Padrão para abri-la e, em seguida, clique no menu da regra e clique em Editar regra IdP.
- Clique em Designar provedores de identidades e, em seguida, clique em Okta para adicioná-lo à lista.
- Clique em Salvar alterações.
- Faça download do Certificado SP:
- Na Console do OCI no domínio no qual você está trabalhando, clique em Segurança e, em seguida, em Provedores de identidades.
- Clique em Okta.
- Na página IdP do Okta, clique em Metadados do Provedor de Serviços.
- Clique em Fazer Download ao lado do certificado de assinatura do Provedor de Serviços para fazer download do certificado de assinatura do SP e salvá-lo.
- Na console do Okta, clique em Aplicativo e, em seguida, clique no novo aplicativo
OCI IAM
. - Vá para a guia Sign On e clique em Editar.
- Selecione Ativar Log-out Único.
- Navegue até o certificado baixado na Console do OCI IAM na etapa anterior e clique em Fazer Upload.
- Role para baixo até Configurações avançadas de logon.
- Informe o seguinte:
- GUID do Oracle Cloud Infrastructure IAM: Digite o URL do domínio do OCI IAM na etapa 10 em 1. Obtenha os Metadados do Provedor de Identidades do OCI e o URL do Domínio.
- Defina o Formato do nome de usuário do aplicativo como
Email
.
- Clique em Salvar.
- Vá para a guia Atribuições e designe usuários aos quais você deseja ter acesso a este aplicativo.
- Clique em Próximo.
-
Informe o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Entre com seu nome de usuário e senha.
- Selecione o domínio para o qual você configurou o Okta IdP.
- Na página de acesso, clique no ícone do Okta.
- Informe suas credenciais do Okta. Você acessou a Console do OCI.
Parabéns! Você configurou com sucesso um SSO entre o Okta e o OCI IAM de duas maneiras diferentes.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: