注意:

使用 Okta 推送组自动加入 Oracle Cloud Infrastructure Identity and Access Management 域组

简介

在现实世界中,客户可以将 Okta 作为其企业身份提供商 (IdP),但用户还需要访问 Oracle Cloud Infrastructure (OCI) 托管的服务。在这种情况下,我们建议设置联盟以自动执行用户配置,并将自动预配从 Okta 分组到身份域,从而更好地管理用户的生命周期。

有关设置联盟和预配的详细信息,请参阅 SSO With OCI and OktaIdentity Lifecycle Management Between OCI and Okta

为了在 Okta 和 Oracle Cloud Infrastructure (OCI) 中管理组成员资格,Push Group 发挥了关键作用。让我们来看看使用 Okta 推送组预配和管理组成员资格的各种方案。

主要优点

目标

先决条件

任务 1:将组成员资格同步到 OCI IAM 域

当 OCI IAM 域上不存在组时,您可以按名称创建推送组。

  1. 选择包含成员的 Okta 组。

  2. 为 OCI 选择创建组

此过程可确保该组显示在 OCI IAM 域上,但其中没有成员。

小组名称

接下来,您可以将 Okta 组中的用户分配给分配下的应用程序。

您会注意到,在 Okta 上分配的用户已在 OCI IAM 域中预配,并且组的成员资格会更新。

注:无论 Okta 端的 Okta 组中有多少用户,分配给应用程序的用户都将显示在 OCI IAM 域上推送组的成员资格下。此外,Okta 建议您在通过推送组时将组分配给应用程序。

或者

在 OCI IAM 域中已存在组的情况下,确保高效组同步的过程涉及以下步骤。

  1. 标识包含必要成员的 Okta 组。

  2. 链接该组并选择 OCI IAM 域上预先存在的组。

注:在 OCI IAM 域中找到同名的组时,系统将无缝地将成员移至此现有组。相反,如果组名不匹配,则所选组将自动重命名为与 Okta 组名对齐,从而保持两个平台之间的一致性。

通过遵循这些准则,组织可以简化组成员资格的管理,确保成员在维护 OCI IAM 域和 Okta 平台的命名约定时得到准确分配。

任务 2:将组与推送预配取消关联

当一个组与 Okta 端的推送取消链接时,有两种方法可以有效地取消该组的链接。

  1. 删除目标应用程序中的组(建议):通过删除目标应用程序中的组,可以有效地取消链接该组。此操作将删除 OCI IAM 域中的组,同时确保用户保持在 OCI IAM 域中并保持活动状态。如果再次为同一组创建“推送组”链接,则将在 OCI IAM 域上重新创建该组及其成员资格。

  2. 将该组保留在目标应用程序中:选择在目标应用程序中保留该组也会取消链接该组,但该组将随其成员资格一起保留在 OCI IAM 域上。

    取消链接推送组

再次创建组链接时,您将看到与 OCI IAM 域上的组匹配的匹配项。此处理将重新建立组之间的链接。

要注意的重要事项

从 OCI IAM 域中显式删除链接的组时,需要执行某些步骤。

  1. 即使在删除后,链接仍可能出现在 Okta 中,但推送过程会遇到错误,指出 OCI IAM 中缺少链接的组。更改链接的组以恢复推送组成员资格

  2. 在 OCI IAM 域上使用相同名称重新创建组不会自动重新链接 Okta 组。建议的解决方案是删除 Okta 上的链接,然后重新创建该链接。

此外,推送组还有一个有用的功能,称为“按规则推送组”。以下是其工作方式。

  1. 您可以创建一个规则,其中包含何时将组从 Okta 推送到 OCI IAM 域的条件。

  2. 条件可以基于组名称或组说明,并且两个字段都可以使用各种运算符,例如开头为、结尾为和包含。

    布偶

后续步骤

将组及其成员资格从 Okta 推送到 OCI IAM 域,通过将这些组分配给应用程序,可帮助您轻松维护对最终应用程序的访问。此外,您可以通过简单地更新 Okta 上的成员资格来更新成员资格,以允许或禁止对最终应用程序的访问。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心