Observação:

Automatize a Associação do Grupo de Domínios do Oracle Cloud Infrastructure Identity and Access Management com Grupos Push do Okta

Introdução

No mundo real, pode haver cenários em que os clientes podem ter o Okta como seu provedor de identidades corporativas (IdP), mas os usuários também precisam de acesso a serviços hospedados pela Oracle Cloud Infrastructure (OCI). Nesses cenários, recomendamos configurar a federação para automatizar os usuários e agrupar o provisionamento automático do Okta para domínios de identidade para melhor gerenciamento do ciclo de vida dos usuários.

Para obter mais informações sobre como configurar federação e provisionamento, consulte SSO com OCI e Okta e Gerenciamento do Ciclo de Vida de Identidades entre OCI e Okta.

Para gerenciar associações de grupos no Okta e na Oracle Cloud Infrastructure (OCI), o Push Group desempenha um papel crucial. Vejamos vários cenários envolvendo o provisionamento e o gerenciamento de associações de grupo usando o Okta Push Group.

Principais Benefícios

Objetivos

Pré-requisitos

Tarefa 1: Sincronizar Associação do Grupo com domínios do OCI IAM

Quando um grupo não existe nos domínios do OCI IAM, você pode criar Grupos Push por nome.

  1. Selecione o grupo Okta com membros nele.

  2. Selecione Criar grupo para o OCI.

Esse processo garante que o grupo apareça no domínio do OCI IAM, mas não tenha membros nele.

pushgroupbyname

Em seguida, você pode designar usuários do grupo Okta ao aplicativo em Designações.

Você observará que os usuários designados no Okta são provisionados no domínio do OCI IAM e a associação do grupo é atualizada.

Observação: Independentemente do número de usuários no grupo Okta no lado do Okta, os usuários designados ao aplicativo serão mostrados na associação do grupo enviado no domínio do OCI IAM. Além disso, o Okta recomenda que você designe o grupo ao aplicativo ao enviá-lo por meio de grupos push.

Ou

No cenário em que um grupo já existe no domínio do OCI IAM, o processo para garantir a sincronização eficiente do grupo envolve as etapas a seguir.

  1. Identifique o grupo Okta que contém os membros necessários.

  2. Vincule o grupo e selecione o grupo pré-existente nos domínios do OCI IAM.

Observação: Quando um grupo com o mesmo nome for encontrado nos domínios do OCI IAM, o sistema moverá perfeitamente os membros para esse grupo existente. Por outro lado, se os nomes dos grupos não corresponderem, o grupo selecionado será renomeado automaticamente para se alinhar com o nome do grupo Okta, mantendo assim a consistência entre as duas plataformas.

Seguindo essas diretrizes, as organizações podem simplificar o gerenciamento de associações de grupos, garantindo que os membros sejam alocados com precisão, mantendo as convenções de nomenclatura no domínio do OCI IAM e na plataforma Okta.

Tarefa 2: Dissociar Grupos do Provisionamento Push

Quando um grupo é desvinculado do push no final do Okta, você tem duas maneiras de desvincular o grupo de forma eficaz.

  1. Excluir o grupo no aplicativo de destino (recomendado): Ao excluir o grupo no aplicativo de destino, você efetivamente o desvincula. Esta ação excluirá o grupo no domínio do OCI IAM, garantindo que os usuários permaneçam no domínio do OCI IAM e permaneçam em um estado ativo. Se o link Grupo de Push for criado novamente para o mesmo grupo, o grupo, juntamente com sua associação, será recriado no domínio do OCI IAM.

  2. Deixar o grupo no aplicativo de destino: A opção de deixar o grupo no aplicativo de destino também desvinculará o grupo, mas o grupo persistirá no domínio do OCI IAM junto com sua associação.

    desvincular grupos de discussão

Ao criar o link de grupo novamente, você verá uma correspondência encontrada com o grupo no domínio do OCI IAM. Este processo irá restabelecer a ligação entre os grupos.

Pontos importantes a serem observados

Quando um grupo vinculado é explicitamente excluído dos domínios do OCI IAM, certas etapas precisam ser executadas.

  1. Mesmo após a exclusão, o link ainda pode aparecer no Okta, mas o processo de envio encontrará um erro informando que o grupo vinculado está ausente no OCI IAM. Altere o grupo vinculado para retomar o envio de associações do grupo.

  2. A recriação do grupo com o mesmo nome no domínio do OCI IAM não vinculará automaticamente o grupo do Okta. A solução recomendada é excluir o link no Okta e, em seguida, recriar o link.

Além disso, há um recurso útil para Grupos de Push chamados Grupos de Push por Regra. É assim que funciona.

  1. Você pode criar uma regra com condições sobre quando enviar grupos do Okta para o domínio do OCI IAM.

  2. As condições podem ser baseadas no nome do grupo ou na descrição do grupo, com vários operadores disponíveis para ambos os campos, como começa com, termina com e contém.

    pushbyrule

Próximas Etapas

Enviar os grupos com sua associação do Okta para o domínio do OCI IAM ajuda você a manter facilmente o acesso aos seus aplicativos finais designando esses grupos aos aplicativos. Além disso, você pode atualizar a associação para permitir ou proibir o acesso aos aplicativos finais simplesmente atualizando a associação no Okta.

Confirmações

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.