Sobre Configurar SAML e SCIM

Você pode configurar um log-in federado entre um domínio de identidades e um provedor de identidades externo para acessar e acessar recursos do OCI usando log-ins e senhas existentes gerenciados pelo provedor de identidades.

Configurar SAML no Okta

Configure o Okta como um IdP, com o OCI Identity and Access Management agindo como um provedor de serviços, permitindo o acesso do usuário a serviços e aplicações no OCI Identity and Access Management usando credenciais de usuário autenticadas pelo Okta.

1. No Okta, clique em Admin.
2. No painel esquerdo, clique em Aplicativos e, em seguida, em Aplicativos.
3. Em Aplicativos, clique em Procurar Catálogo de Aplicativos.
4. No campo de pesquisa, digite saml e selecione Provedor de Serviços SAML.
5. Clique em Adicionar Integração.
6. No campo Rótulo do aplicativo, digite Okta SAML Provider.
7. Clique em Próximo.
8. No campo Estado de Retransmissão Padrão, digite https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname.
   1. No OCI, clique no menu principal, em Identidade e Segurança, em Identidade e em Domínios.
   2. Observe o nome da tenancy e o nome do domínio.
   3. Substitua yourtenancyname e yourdomainname conforme apropriado.

Configurar SAML no OCI

Configure uma configuração SAML IdP no OCI, usando as opções SAML configuradas no Okta.

Você alternará entre o OCI e o Okta com frequência durante essa configuração.

1. Na console do OCI, clique no menu principal, em Identidade e Segurança, na página Adicionar provedor de identidades SAML e selecione Informar metadados do provedor de identidades manualmente.
2. No Okta, na página Adicionar Provedor de Serviços SAML, em Detalhes dos metadados, clique em Mais detalhes e, em seguida, ao lado de Acessar URL, clique em Copiar.
3. No OCI, no campo URI do emissor do provedor de identidades, digite o texto copiado.
4. No Okta, em Métodos de acesso, clique em Exibir Instruções de Configuração e, em Acessar seu provedor de serviços, copie o texto do URI do Emissor do Provedor de Identidades.
5. No OCI, em cada um dos campos URL de serviço SSO, Campo URL de solicitação de log-out do provedor de identidades e URL de resposta de log-out do provedor de identidades, digite o URL de sign-on retido no Okta.
6. Em Binding de log-out, selecione POST.
7. Ative Enviar certificado de assinatura com mensagem SAML.
8. Clique em Próximo.
9. No menu suspenso Formato NameID solicitado, selecione Endereço de e-mail.
10. Clique em Criar IdP.
11. Na página Exportar, ao lado de URL do serviço de consumidor de asserção, clique em Copiar.
12. No Okta, no campo URL do Serviço do Consumidor de Asserção, digite o texto copiado.
13. No OCI, na página Exportar, ao lado de ID do Provedor, clique em Copiar.
14. No Okta, no campo ID da Entidade do Provedor de Serviços, digite o texto copiado.
15. Clique em Concluído.
16. Na página Provedor SAML do Okta, clique em Designar e, em seguida, em Designar a Pessoas.
17. Clique em Designar ao lado do nome de cada responsável, forneça um nome de usuário e clique em Salvar e Voltar.
18. Clique em Concluído.
19. No OCI, clique em Próximo.
20. (Opcional) Clique em Testar log-in.
21. Clique em Próximo.
22. Clique em Ativar.
23. Clique em Concluir.
24. Em Segurança, clique em IdP policies.
25. Clique em Política do Provedor de Identidade Padrão.
26. Na linha Regra IDP Padrão, clique nos três pontos e em Editar regra IdP.
27. Em Designar provedor de identidades, clique e selecione Okta-SAML-Setup.
28. Clique em Salvar alterações.
29. Retorne à página políticas IdP e clique em Políticas de sign-on.
30. Clique na Política de Sign-On Padrão.
31. Na linha Regra de Sign-On Padrão, clique nos três pontos, clique em Editar regra de sign-on e, em seguida, clique em Continuar.
32. Em Designar provedor de idenidade, clique e selecione Okta-SAML-Setup.
33. Clique em Salvar alterações.
34. Acesse sua tenancy do Oracle Cloud usando a opção Okta-SAML-Setup.
35. Faça login no Okta.
36. Na tela de verificação, selecione Obter uma notificação por push.

Provisionar SCIM

Use o processo de provisionamento SCIM para configurar o SSO para gerenciar identidades de usuários na nuvem. O OCI Identity and Access Management suporta o gerenciamento do ciclo de vida do usuário entre o Okta e o OCI Identity and Access Management.

1. No Okta, clique em Admin.
2. No painel esquerdo, clique em Aplicativos e, em seguida, em Aplicativos.
3. Clique em Criar Integração de Aplicativo.
4. Selecione SAML 2.0 e clique em Próximo.
5. No campo Nome do aplicativo, digite OCI OKTA SCIM Integration e clique em Próximo.
6. No OCI, clique no menu, em Identidade e Segurança e em Domínios.
7. Na página Domínios, clique em Padrão.
8. No painel esquerdo, clique em Segurança e, em seguida, em Provedores de identidade.
9. Na linha Okta-SAML-Setup, clique nos três pontos e, em seguida, em Editar IdP.
10. Em Exportar detalhes, na linha Asserção consumir URL de serviço, clique em Copiar.
11. No Okta, no campo URL de sign-on do Sinle, digite o texto copiado.
12. No OCI, em Detalhes da exportação, na linha ID do Provedor, clique em Copiar.
13. No Okta, no campo URI do Público-alvo (ID da Entidade do Ponto de Serviço), digite o texto copiado.
14. No campo Padrão RelayState, digite https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
15. Clique em Próximo.
16. Ao lado de Você é um cliente ou parceiro?, selecione Sou um fornecedor de software... e clique em Finalizar.
17. Clique na guia Geral.
18. Ao lado de Definições do Aplicativo, clique em Editar.
19. Ao lado de Provisionamento, selecione SCIM e clique em Salvar.
20. Clique na guia Provisionamento.
21. Ao lado de Conexão SCIM, clique em Editar.
22. Informe o URL do domínio:
    1. No OCI, navegue até Domínios e clique em Padrão.
    2. Ao lado de URL do Domínio, clique em Mostrar e copie o URL.
    3. No Okta, no campo URL base do conector SCIM, digite o URL copiado.
    4. Substitua o treinamento :433 por /admin/v1.
23. No campo Identificador exclusivo para usuários, digite seu nome de usuário.
24. Ao lado de Ações de provisionamento suportadas, selecione:
    • Importar Novos Usuários e Atualizações de Perfil
    • Enviar Novos Usuários
    • Enviar Atualizações de Perfil
    • Grupos de Push
25. No menu suspenso Modo de Autenticação, selecione Cabeçalho HTTP.
26. Digite o token de autorização:
    1. No OCI, navegue até Domínios e clique em Padrão.
    2. Clique em Aplicativos integrados e, em seguida, em Adicionar aplicativo.
    3. Selecione Aplicativo Confidencial e clique em Iniciar workflow.
    4. No campo Nome, digite Okta-SCIM-OCI.
    5. Em Autenticação e autorização, ative Impor concessões como autorização e clique em Próximo.
    6. Em Configuração do cliente, selecione Configurar este aplicativo como cliente agora.
    7. Em Autorização, ative as credenciais do cliente.
    8. Perto da parte inferior, ative Adicionar funções do aplicativo e clique em Adicionar funções.
    9. Ative Administrador do Usuário, clique em Adicionar, em Próximo e em Finalizar.
    10. Clique em ativar e, em seguida, em ativar aplicativo.
    11. Em Informações Gerais, copie o ID do Clieta.
    12. Abra um codificador Base64, insira o ID do cliente e anexe dois-pontos no final.
    13. Em Informações Gerais, em Segredo do cliente, clique em Mostrar segredo e, em seguida, clique em Copiar.
    14. No codificador Base64, anexe o segredo do cliente ao final.
    15. Execute o codificador e copie o texto codificado.
    16. No Okta, em Cabeçalho HTTP, no campo Autenticação, digite o texto codificado.
    17. (Opcional) Clique em Configuração do Conector de Teste.
    18. Clique em Salvar.
27. Ao lado de Provisionamento para Aplicativo, clique em Editar.
28. Ativar:
    • Criar Usuários
    • Atualizar Atributos do Usuário
    • Desativar Usuário
29. Clique em Salvar.
30. Clique na guia Atribuições, expanda o menu suspenso Atribuir, clique em Atribuir a Pessoas, configure a atribuição e clique em Concluído.
    O novo usuário deve aparecer na lista Usuários do domínio Padrão no OCI.

Configurar o OCI SAML IdP

Use as opções de configuração do Okta para atualizar a configuração SAML IdP.

1. Na console do OCI, em IdP provedores de identidade SAML, selecione o SAML IdP criado anteriormente (por exemplo, Okta).
2. Clique no menu de ação ( três pontos) e, em seguida, clique em Editar IdP.
3. Copie e cole o Emissor para atualizar o URI do emissor do provedor de identidades.
4. Copie e cole o URL de acesso para atualizar o URL da solicitação de log-out do provedor de identidades e o URL de resposta de log-out do provedor de identidades e o URL de serviço SSO.
5. Em Certificado de Assinatura, faça upload do certificado de assinatura baixado anteriormente.
6. Clique em Salvar.
7. Clique no menu de ação ( três pontos) e, em seguida, clique em Ativar.

Isso deve configurar seu provisionamento SCIM. A partir daqui, o provisionamento e a federação de usuários via Okta devem ser possíveis.

Resolver Erro de Grupo de Envio SCIM

Resolva o erro do grupo de envio SCIM, se você encontrá-lo.

Você terá que desativar e excluir a configuração SCIM anterior como parte desta correção.

1. No Okta, clique em Aplicativos > Aplicativos > Pesquisar Catálogo de Aplicativos.
2. Procure e selecione Oracle Identity Cloud Service.
3. Clique em Adicionar Integração.
4. No campo Subdomínio, digite qualquer coisa (por exemplo, idcs-a1b2c3d4).
5. Clique em Concluído.
6. Clique na guia Provisionamento e, em seguida, clique em Configurar Integração de API.
7. Clique em Ativar integração de API.
8. No campo URL Base, digite o URL de domínio salvo:
   1. No OCI, vá para Identidade > Domínios.
   2. Clique em Padrão.
   3. Expanda o campo URL do Domínio e clique em Copiar.
   4. No Okta, cole-o no campo URL Base e anexe: /admin/v1
9. Excluir o aplicativo existente.
   1. No OCI, vá para Identidade > Domínios > Domínio padrão > Aplicativos integrados.
   2. Clique no menu (três pontos) do aplicativo > Desativar > Desativar aplicativo.
   3. Clique no menu novamente > Excluir > Excluir aplicativo.
10. Criar um novo aplicativo.
    1. Clique em Adicionar aplicativo > Aplicativo Confidencial > Iniciar workflow.
    2. No campo Nome, digite Okta_IDCS e clique em Próximo.
    3. Clique em Configuração do cliente.
    4. Ative Credenciais do cliente.
    5. Ative Adicionar atribuições de aplicativo.
    6. Clique em Adicionar atribuições.
    7. Ative o Administrador de Usuários e clique em Adicionar.
    8. Clique em Próximo e em Finalizar.
    9. Na página do aplicativo, clique em Ativar > Ativar aplicativo.
11. Gerar um token.
    1. Na página do aplicativo, em Informações Gerais, copie o ID do Cliente.
    2. Cole o ID do cliente em um campo de entrada do gerador de token base64.
    3. Na página do aplicativo, em Informações Gerais, clique em Mostrar segredo e, em seguida, clique em Copiar.
    4. Anexe o segredo ao ID do cliente, codifique e copie o token da API.
    5. No Okta, no campo Token da API, cole o token da API.
    6. Clique em Testar Credenciais de API e, em seguida, (se bem-sucedido), clique em Salvar.
12. Conclua o provisionamento.
    1. No Okta, na guia Provisionamento, ao lado de Provisionamento em Aplicativo, clique em Editar.
    2. Ative Criar Usuários, Atualizar Atributos do Usuário e Desativar Usuários; em seguida, clique em Salvar.
13. Criar um grupo de teste.
    1. No Okta, clique na guia Grupos de Push.
    2. Clique em Grupos de Push > Localizar grupos por nome.
    3. No campo Por nome, digite test_group e clique em Salvar.
14. Atribua o grupo de teste.
    1. No Okta, clique na guia Designações.
    2. Clique em Designar > Designar a Pessoas.
    3. Ao lado de Test_user_SCIM_Prov, clique em Designar.
    4. Clique em Concluído > Salvar e Voltar > Concluído.
    5. Clique na guia Grupos de Push.
    6. Em Status de Push, defina a lista suspensa como Enviar agora.
    7. No OCI, a atualização e o grupo de testes devem aparecer.