注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

禁用使用 Okta 属性映射从 Okta 预配的用户的 OCI 本地密码功能

简介

Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 提供身份和访问管理功能，例如 OCI 以及 Oracle 和非 Oracle 应用（无论是 SaaS、云托管还是本地部署）的身份验证、单点登录 (SSO) 和身份生命周期管理。建议使用跨域身份管理 (System for Cross-domain Identity Management，SCIM) 预配从可信源（如 Okta 或 Microsoft Entra ID）预配身份。使用 SCIM，您可以定义 HTTP 端点，以创建、读取、更新和删除用户和组等实体的资源。假设已在 Okta 和 OCI IAM 之间设置了 SCIM 预配，并且用户/组将从 Okta 预配到 OCI IAM，但如果未设置，则可以对其进行配置。有关详细信息，请参阅 OCI 与 Okta 之间的身份生命周期管理。

在本教程中，我们将为从 Okta 推送的 OCI IAM 中的用户禁用本地密码功能，因为我们的目标是，从 Okta 预配的用户必须始终从 Okta 进行验证，并且不应使用 OCI IAM 的本地密码登录。

目标

• 禁用使用 Okta 属性映射从 Okta 预配的用户的 OCI 本地密码功能。

先决条件

• 在 OCI 和 Okta 之间设置身份生命周期管理。

• 具有管理员权限的 Okta 账户，用于配置预配属性。

任务 1：在 Okta 预配应用程序上创建定制属性

1. 登录到 Okta 实例，转到应用程序，然后单击已用于预配的应用程序。单击预配。

   

2. 单击转到概要文件编辑器。

   

3. 在 Attributes（属性）部分中，单击 Add Attribute（添加属性）。

   

4. 输入以下信息，然后单击保存。

   • 外部名称空间：外部名称空间值应为 urn:ietf:params:scim:schemas:oracle:idcs:extension:capabilities:User。

   

   现在将创建该属性，下一个任务是映射该属性。

任务 2：将要从 Okta 同步的属性映射到 OCI IAM

1. 转到用于预配的应用程序。在预配下，单击显示未映射的属性。

   

2. 您将能够看到您在任务 1 中创建的属性，但该属性当前将显示为未映射。要映射它，请单击编辑图标。

   

3. 在属性值中，为所有用户选择相同的值，并将该值设置为 false 。

   

4. 在应用日期中，选择创建和更新，然后单击保存。

   

5. 成功映射属性后，单击强制同步以强制在 OCI IAM 中更新此更改。

   

   几分钟后，您可以检查从 Okta 推送的所有用户的本地密码功能是否将被关闭，并且用户无法再使用其本地密码登录。

相关链接

• OCI 与 Okta 之间的身份生命周期管理

确认

• 作者 — Aqib Javid Bhat（高级云工程师）

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Disable the OCI Local Password Capability of Users Provisioned from Okta using Okta Attribute Mapping

G14617-01

September 2024

Copyright ©2024,

Oracle 和/或其关联公司。