Documentação do Oracle Cloud Infrastructure

SSO com OCI e Okta

Neste tutorial, você configura o Sign-On Único entre o OCI e o Okta, em que o Okta atua como o provedor de identidades (IdP) e o OCI IAM é o provedor de serviços (SP).

Este tutorial de 15 minutos mostra como configurar o Okta como um IdP, com o OCI IAM agindo como SP. Configurando a federação entre Okta e OCI IAM, você ativa o acesso dos usuários a serviços e aplicativos no OCI IAM usando credenciais do usuário que o Okta autentica.

  1. Primeiro, reúna as informações necessárias do OCI IAM.
  2. Configurar o Okta como um IdP para o OCI IAM.
  3. Configurar o OCI IAM para que o Okta atue como IdP.
  4. Criar políticas do IdP no OCI IAM.
  5. Teste se a autenticação federada funciona entre o IAM do OCI e o Okta.
Antes do Início

Para executar um destes tutoriais, você deve ter o seguinte:

Você reúne as informações adicionais necessárias nas etapas de cada tutorial:

  • Obtenha os metadados IdP do OCI e o certificado de assinatura do domínio de identidades.
  • Obtenha o certificado de assinatura do domínio de identidades.
1. Obter os Metadados do Provedor de Identidades do OCI e o URL do Domínio

Você precisa dos metadados SAML IdP do seu domínio de identidades do OCI IAM para importar no aplicativo Okta que você criar. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio do qual você estiver usando. O Okta usa o URL do domínio do OCI para estabelecer conexão com o OCI IAM.

  1. Abra um browser suportado e informe o URL da Console:

    https://cloud.oracle.com .

  2. Informe seu Nome da Conta do Nuvem, também conhecido como nome de sua tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  6. Selecione o nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e em Provedores de identidade.
  7. Selecione Exportar metadados SAML.

    Fazer download de metadados SAML

  8. Selecione a opção Arquivo de metadados e selecione Fazer Download de XML.

    Faça download do arquivo XML

  9. Renomeie o arquivo XML baixado para OCIMetadata.xml.
  10. Retorne à visão geral de domínio de identidades selecionando o nome do domínio de identidades na trilha de navegação de trilha de navegação. Selecione Copiar ao lado da URL de Domínio nas informações de Domínio e salve o URL. Este é o URL do domínio do OCI IAM que você usará posteriormente.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

2. Criar um Aplicativo no Okta

Crie um aplicativo no Okta e anote os valores que você precisará mais tarde.

  1. No browser, acesse o Okta usando o URL:
    https://<OktaOrg>-admin.okta.com

    em que <OktaOrg> é o prefixo da sua organização com o Okta.

  2. No menu esquerdo, selecione Segurança e escolha Aplicativos e, em seguida, Procurar Catálogo de Aplicativos.
  3. Procure Oracle Cloud e selecione Oracle Cloud Infrastructure IAM nas opções disponíveis.
  4. Selecione Adicionar Integração.
  5. Em Configurações gerais, digite um nome para o aplicativo, por exemplo, OCI IAM, e selecione Concluído.
  6. Na página de detalhes do seu novo aplicativo, selecione a guia Sign-on e, em Certificados de Assinatura SAML, selecione Exibir instruções de configuração SAML.
  7. Na página Exibir instruções de configuração SAML, anote o seguinte:
    • ID de Entidade
    • SingleLogoutService URL
    • SingleSignOnService URL
  8. Faça download do certificado e salve-o com uma extensão de arquivo .pem.
3. Criar o Okta como um IdP no OCI IAM

Crie um IdP para o Okta na Console do OCI.

  1. Na Console do OCI no domínio no qual você está trabalhando, selecione Segurança e Provedores de identidade.
  2. Selecione Adicionar IdP e, em seguida, Adicionar SAML IdP.
  3. Digite um nome para o IdP SAML, por exemplo, Okta. Selecione Próximo.
  4. Na página de metadados do Exchange, certifique-se de que a opção Informar metadados IdP esteja selecionada.
  5. Insira o seguinte da etapa 8 em 2. Criar um Aplicativo no Okta:
    • Para URI do emissor do provedor de identidades: Informe o ID de Entrada.
    • Para URL do serviço SSO: Informe o URL SingleSignOnService.
    • Para Bind de serviço SSO: Selecione POST.
    • Para Fazer upload do certificado de assinatura do provedor de identidades: Use o arquivo .pem da certificação Okta.

      Trocar página de metadados do provedor de identidades SAML de criação

    Mais abaixo na página, certifique-se de que Ativar logout Global esteja selecionado e informe o seguinte.

    • Para URL da Solicitação de Log-out do IDP: Informe o URL SingleLogoutService.
    • Para URL de Resposta de Log-out do IDP: eEnter para o URL SingleLogoutService.
    • Certifique-se de que a Binding de log-out esteja definida como POST.

      configuração adicional

  6. Selecione Próximo.
  7. Na página Mapear atributos:
    • Para Formato NameId Solicitado, escolha Email address.
    • Para Atributo de usuário do provedor de identidades: Escolha o ID do Nome da asserção SAML.
    • Para Atributo de usuário do Domínio de Identidades: Escolha o endereço de e-mail Principal.
  8. Selecione Próximo.
  9. Verifique e selecione Criar IDP.
  10. Na página O Que Vem a Seguir, selecione Ativar e, em seguida, Adicionar à política IdP.
  11. Selecione Política do Provedor de Identidades Padrão para abri-la, depois selecione o menu Ações (três pontos) para a regra e selecione Editar regra IdP.
  12. Selecione em Designar provedores de identidade e, em seguida, selecione Okta para adicioná-lo à lista.
  13. Selecione Salvar alterações.
  14. Faça download do Certificado SP:
    • Na Console do OCI no domínio no qual você está trabalhando, selecione Segurança e Provedores de identidade.
    • Selecione Okta.
    • Na página IdP do Okta, selecione Metadados do Provedor de Serviços.
    • Selecione Fazer Download ao lado do certificado de assinatura do Provedor de Serviços para fazer download do certificado de assinatura do SP e salvá-lo.
4. Configurar Okta
  1. No console do Okta, selecione Aplicativo e, em seguida, selecione o novo aplicativo OCI IAM.
  2. Vá para a guia Sign On e selecione Editar.
  3. Selecione Habilitar Log-out Único.
  4. Navegue até o certificado submetido a download na Console do OCI IAM na etapa anterior e selecione Fazer Upload.
  5. Role para baixo até Configurações de logon avançado.
  6. Informe o seguinte:
  7. Selecione Salvar.
  8. Vá para a guia Atribuições e atribua usuários aos quais você deseja ter acesso a este aplicativo.
  9. Selecione Próximo.
5. Testar Sign-on Único

  1. Informe o URL da Console:

    https://cloud.oracle.com

  2. Informe seu Nome da Conta do Nuvem, também conhecido como nome de sua tenancy, e selecione Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Selecione o domínio para o qual você configurou o Okta IdP.
  5. Na página de acesso, selecione o ícone do Okta.
  6. Informe suas credenciais do Okta. Você acessou a Console do OCI.
O Que Vem a Seguir

Parabéns! Você configurou com sucesso um SSO entre o Okta e o OCI IAM de duas maneiras diferentes.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: