注:

将 Okta 与身份域集成,以实现一次登入和用户预配

简介

在现实生活中,可能存在客户可以拥有 Okta 作为其公司身份提供商的情况,但用户还需要访问 Oracle Cloud 托管的服务。在这种情况下,我们建议设置联盟以自动执行用户和组自动预配(从 Okta 到身份域),从而更好地管理用户生命周期。此设置将允许用户使用其 Okta SSO 身份证明登录 Oracle 身份域托管的服务。

身份域是一个容器,可用于管理用户和角色、联合和预配用户、通过 Oracle 单点登录 (SSO) 配置进行安全的应用程序集成以及基于 SAML/OAuth 的身份提供者管理。随着 Oracle Cloud Infrastructure (OCI) 和 Oracle Identity Cloud Service 最近合并到身份域中,客户必须了解控制台上用于将 Okta 与身份域集成的导航。

主要优点

  1. 自动创建/更新和停用/删除用户和组。
  2. 自动化用户和组同步。

先决条件

Okta 和身份域的管理账户

目标

使用此联盟的 Okta 目录应用程序可以设置基于 SAML 的单点登录和基于 SCIM 的自动化用户和组预配。发布此配置,Okta 将设置为身份域的身份提供者。

任务 1:在 Okta 中创建应用程序

我们必须在 Okta 市场中提供的 Okta 中创建应用程序,以在身份域中设置 SSO 和 SCIM 预配。

  1. 以管理员身份登录 Okta,从左侧菜单导航到应用程序,并找到下图中突出显示的浏览应用程序目录选项。

    图像 1

  2. 搜索 Oracle Identity Cloud Service 并添加应用程序。

    图像 2

    图像 3

  3. 使用所需详细信息完成应用程序向导中的所需的一般设置,然后单击完成

    提示:要查找子域,请登录要与 Okta 集成的身份域,然后通过以下选项导航。

    • 从主菜单中,转至身份和安全性,选择相应的域、概览域 URL

      图像 4

  4. 导航到所添加应用程序的“登录”选项卡,更新以下详细信息,然后单击保存

    • 默认中继状态:https://idcs-$DOMAIN_INSTANCE_ID.identity.oraclecloud.com/ui/v1/myconsole。这是用户在一次登入 Oracle 身份域后登录的 URL。如果需要,也可以是受 Oracle 身份域保护的应用程序 URL。

      图像 5

    • 提供商 ID:https://idcs-$DOMAIN_INSTANCE_ID.identity.oraclecloud.com:443/fed

    • 应用程序用户名格式:电子邮件(假定 Okta 和 Oracle 身份域中的用户电子邮件地址相同)

    • 更新应用程序用户名:创建和更新

      图像 6

注:从身份域获取签名证书后,我们将重新访问此步骤以启用单次注销。

任务 2:在 Oracle 身份域中将 Okta 配置为身份提供者

  1. 以管理员用户身份登录到 Oracle Identity Infrastructure 租户,然后导航到身份提供者设置并单击添加 SAML IDP

    图像 7

  2. 在启动的向导中,在屏幕上添加基本详细信息,然后单击下一步

    图像 8

  3. 交换元数据页上,选择输入 IDP 元数据 - 手动输入参数选项,更新以下详细信息并单击下一步

    提示:在配置的 Okta 应用程序的“登录”选项卡上向下滚动,以查找所需详细信息的查看 SAML 设置说明链接。

    图像 9

    图像 10

    图像 11

  4. 映射用户身份页上,更新以下详细信息并单击下一步

    图像 12

  5. 复查并创建页上,复查设置,然后单击创建 IdP

    图像 13

  6. 下一步页面上,单击测试登录以验证配置。您应该会看到下面显示的成功消息。

    图像 14

    图像 15

    注:您正在测试此集成的用户应在 Okta 应用程序上分配并显示在下面。

    图像 16

  7. 单击激活 IdP 并将其添加到您的要求的身份提供者规则,如下所示。

    图像 17

    图像 18

    图像 19

任务 3:在身份域中为 SCIM 预配设置机密应用程序

跨域身份管理 (SCIM) 系统是一项开放标准,可以实现用户预配自动化。SCIM 在身份提供者与需要用户身份信息的服务提供者之间通信用户身份数据。

  1. 导航到身份域下的应用程序选项卡,单击添加应用程序,然后单击机密应用程序,然后单击启动工作流

    图像 20

  2. 请输入应用程序名称,然后单击下一步

    图像 21

  3. 将以下详细信息添加到应用程序,然后单击下一步

    图像 22

    图像 23

  4. 激活应用程序并记下客户机 ID 和密钥。

任务 4:启用从 Okta 到身份域的 SCIM 预配

  1. 导航回 Okta 管理控制台以配置 SCIM 预配。单击配置的应用程序,然后单击预配选项卡。

  2. 在已配置应用程序的预配部分中添加以下详细信息。

    • 基本 URL: https://$IDCS_SUBDOMAIN.identity.oraclecloud.com/admin/v1

    • API 标记:Base64encoded(ClientID:ClientSecret)(从上一步开始)

      图像 24

    • 单击测试 API 身份证明

    • 您应该能够在屏幕上看到“Successful(成功)”消息。单击保存

  3. 单击编辑,选择所有启用选项,然后单击保存以启用用户预配选项。

    图像 26

  4. 分配部分,添加要同步到身份域的用户和组。

    图像 25

    图像 27

完成设置步骤后,您的用户和组将从 Okta 同步到身份域。

确认

作者 - Chetan Soni(云解决方案工程师)

更多学习资源

探索 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 频道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心