Sobre Configurar SAML e SCIM
Você pode configurar um log-in federado entre um domínio de identidades e um provedor de identidades externo para acessar e acessar recursos do OCI usando log-ins e senhas existentes gerenciados pelo provedor de identidades.
Configurar SAML no Okta
Configure o Okta como um IdP, com o OCI Identity and Access Management agindo como um provedor de serviços, permitindo o acesso do usuário a serviços e aplicações no OCI Identity and Access Management usando credenciais de usuário autenticadas pelo Okta.
- No Okta, clique em Admin.
- No painel esquerdo, clique em Aplicativos e, em seguida, em Aplicativos.
- Em Aplicativos, clique em Procurar Catálogo de Aplicativos.
- No campo de pesquisa, digite
saml
e selecione Provedor de Serviços SAML. - Clique em Adicionar Integração.
- No campo Rótulo do aplicativo, digite
Okta SAML Provider
. - Clique em Próximo.
- No campo Estado de Retransmissão Padrão, digite
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
.- No OCI, clique no menu principal, em Identidade e Segurança, em Identidade e em Domínios.
- Observe o nome da tenancy e o nome do domínio.
- Substitua
yourtenancyname
eyourdomainname
conforme apropriado.
Configurar SAML no OCI
Configure uma configuração SAML IdP no OCI, usando as opções SAML configuradas no Okta.
- Na console do OCI, clique no menu principal, em Identidade e Segurança, na página Adicionar provedor de identidades SAML e selecione Informar metadados do provedor de identidades manualmente.
- No Okta, na página Adicionar Provedor de Serviços SAML, em Detalhes dos metadados, clique em Mais detalhes e, em seguida, ao lado de Acessar URL, clique em Copiar.
- No OCI, no campo URI do emissor do provedor de identidades, digite o texto copiado.
- No Okta, em Métodos de acesso, clique em Exibir Instruções de Configuração e, em Acessar seu provedor de serviços, copie o texto do URI do Emissor do Provedor de Identidades.
- No OCI, em cada um dos campos URL de serviço SSO, Campo URL de solicitação de log-out do provedor de identidades e URL de resposta de log-out do provedor de identidades, digite o URL de sign-on retido no Okta.
- Em Binding de log-out, selecione POST.
- Ative Enviar certificado de assinatura com mensagem SAML.
- Clique em Próximo.
- No menu suspenso Formato NameID solicitado, selecione Endereço de e-mail.
- Clique em Criar IdP.
- Na página Exportar, ao lado de URL do serviço de consumidor de asserção, clique em Copiar.
- No Okta, no campo URL do Serviço do Consumidor de Asserção, digite o texto copiado.
- No OCI, na página Exportar, ao lado de ID do Provedor, clique em Copiar.
- No Okta, no campo ID da Entidade do Provedor de Serviços, digite o texto copiado.
- Clique em Concluído.
- Na página Provedor SAML do Okta, clique em Designar e, em seguida, em Designar a Pessoas.
- Clique em Designar ao lado do nome de cada responsável, forneça um nome de usuário e clique em Salvar e Voltar.
- Clique em Concluído.
- No OCI, clique em Próximo.
- (Opcional) Clique em Testar log-in.
- Clique em Próximo.
- Clique em Ativar.
- Clique em Concluir.
- Em Segurança, clique em IdP policies.
- Clique em Política do Provedor de Identidade Padrão.
- Na linha Regra IDP Padrão, clique nos três pontos e em Editar regra IdP.
- Em Designar provedor de identidades, clique e selecione Okta-SAML-Setup.
- Clique em Salvar alterações.
- Retorne à página políticas IdP e clique em Políticas de sign-on.
- Clique na Política de Sign-On Padrão.
- Na linha Regra de Sign-On Padrão, clique nos três pontos, clique em Editar regra de sign-on e, em seguida, clique em Continuar.
- Em Designar provedor de idenidade, clique e selecione Okta-SAML-Setup.
- Clique em Salvar alterações.
- Acesse sua tenancy do Oracle Cloud usando a opção Okta-SAML-Setup.
- Faça login no Okta.
- Na tela de verificação, selecione Obter uma notificação por push.
Provisionar SCIM
Use o processo de provisionamento SCIM para configurar o SSO para gerenciar identidades de usuários na nuvem. O OCI Identity and Access Management suporta o gerenciamento do ciclo de vida do usuário entre o Okta e o OCI Identity and Access Management.
Configurar o OCI SAML IdP
Use as opções de configuração do Okta para atualizar a configuração SAML IdP.
- Na console do OCI, em IdP provedores de identidade SAML, selecione o SAML IdP criado anteriormente (por exemplo, Okta).
- Clique no menu de ação ( três pontos) e, em seguida, clique em Editar IdP.
- Copie e cole o Emissor para atualizar o URI do emissor do provedor de identidades.
- Copie e cole o URL de acesso para atualizar o URL da solicitação de log-out do provedor de identidades e o URL de resposta de log-out do provedor de identidades e o URL de serviço SSO.
- Em Certificado de Assinatura, faça upload do certificado de assinatura baixado anteriormente.
- Clique em Salvar.
- Clique no menu de ação ( três pontos) e, em seguida, clique em Ativar.
Resolver Erro de Grupo de Envio SCIM
Você terá que desativar e excluir a configuração SCIM anterior como parte desta correção.
- No Okta, clique em Aplicativos > Aplicativos > Pesquisar Catálogo de Aplicativos.
- Procure e selecione Oracle Identity Cloud Service.
- Clique em Adicionar Integração.
- No campo Subdomínio, digite qualquer coisa (por exemplo, idcs-a1b2c3d4).
- Clique em Concluído.
- Clique na guia Provisionamento e, em seguida, clique em Configurar Integração de API.
- Clique em Ativar integração de API.
- No campo URL Base, digite o URL de domínio salvo:
- No OCI, vá para Identidade > Domínios.
- Clique em Padrão.
- Expanda o campo URL do Domínio e clique em Copiar.
- No Okta, cole-o no campo URL Base e anexe: /admin/v1
- Excluir o aplicativo existente.
- No OCI, vá para Identidade > Domínios > Domínio padrão > Aplicativos integrados.
- Clique no menu (três pontos) do aplicativo > Desativar > Desativar aplicativo.
- Clique no menu novamente > Excluir > Excluir aplicativo.
- Criar um novo aplicativo.
- Clique em Adicionar aplicativo > Aplicativo Confidencial > Iniciar workflow.
- No campo Nome, digite Okta_IDCS e clique em Próximo.
- Clique em Configuração do cliente.
- Ative Credenciais do cliente.
- Ative Adicionar atribuições de aplicativo.
- Clique em Adicionar atribuições.
- Ative o Administrador de Usuários e clique em Adicionar.
- Clique em Próximo e em Finalizar.
- Na página do aplicativo, clique em Ativar > Ativar aplicativo.
- Gerar um token.
- Na página do aplicativo, em Informações Gerais, copie o ID do Cliente.
- Cole o ID do cliente em um campo de entrada do gerador de token base64.
- Na página do aplicativo, em Informações Gerais, clique em Mostrar segredo e, em seguida, clique em Copiar.
- Anexe o segredo ao ID do cliente, codifique e copie o token da API.
- No Okta, no campo Token da API, cole o token da API.
- Clique em Testar Credenciais de API e, em seguida, (se bem-sucedido), clique em Salvar.
- Conclua o provisionamento.
- No Okta, na guia Provisionamento, ao lado de Provisionamento em Aplicativo, clique em Editar.
- Ative Criar Usuários, Atualizar Atributos do Usuário e Desativar Usuários; em seguida, clique em Salvar.
- Criar um grupo de teste.
- No Okta, clique na guia Grupos de Push.
- Clique em Grupos de Push > Localizar grupos por nome.
- No campo Por nome, digite test_group e clique em Salvar.
- Atribua o grupo de teste.
- No Okta, clique na guia Designações.
- Clique em Designar > Designar a Pessoas.
- Ao lado de Test_user_SCIM_Prov, clique em Designar.
- Clique em Concluído > Salvar e Voltar > Concluído.
- Clique na guia Grupos de Push.
- Em Status de Push, defina a lista suspensa como Enviar agora.
- No OCI, a atualização e o grupo de testes devem aparecer.