注意：

• 本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间的示例值。完成实验室时，请将这些值替换为特定于云环境的值。

使用 Okta 配置 OCI Search with OpenSearch SAML Authentication

简介

在现代企业环境中，单点登录 (SSO) 简化了用户访问管理并增强了安全性。Oracle Cloud Infrastructure OCI Search with OpenSearch 支持 SAML 2.0 验证，可与 Okta 等身份提供商无缝集成。

本教程将引导您通过 SAML 2.0 验证将 Okta 配置为 OCI Search with OpenSearch Dashboard 的 SSO 提供方。

目标

在本教程结束时，您将能够：

• 为 OCI Search with OpenSearch 配置 Okta SAML 2.0 应用
• 在 OCI Search with OpenSearch 集群中启用 SAML 验证
• 为 OpenSearch 仪表盘访问启用基于 Okta 组的角色映射
• 通过 Okta 测试和验证 SSO 登录

Prerequisites

开始之前，请确保符合以下要求：

• 使用 OpenSearch 集群执行 OCI 搜索
• Okta 管理员访问权限
• 名为 opensearch-admins 的 Okta 组
• 分配给 opensearch-admins 组的 Okta 用户

提示：让 <DS_URL> 变得方便—您可以在多个步骤中重复使用它。

任务 1：使用 OpenSearch 仪表盘 URL 检索 OCI 搜索

1. 登录到 OCI 控制台。
2. 导航到您的 OCI Search with OpenSearch 集群详细信息页面。

3. 复制仪表盘 URL —在本教程中，将此项称为 <DS_URL>。

   

任务 2：配置 Okta SAML 应用程序

步骤 1：创建 SAML 2.0 应用程序

1. 登录到 Okta 管理控制台。
2. 单击创建应用程序集成。
3. 选择 SAML 2.0 作为应用程序类型。
4. 提供描述性的应用程序名称。

步骤 2：配置 SAML 设置

输入以下值：

• 单点登录 URL：<DS_URL>/_opendistro/_security/saml/acs
• 受众 URI（SP 实体 ID）：<DS_URL>
• 默认中继状态：留空
• 名称标识格式： EmailAddress
• 应用程序用户名：电子邮件
• 更新应用程序用户名：创建和更新（默认值）

步骤 3：配置属性

用户属性

• 名称：NameID
• 名称格式：未指定
• 值：user.email

组属性

• 名称：组
• 名称格式：未指定
• 过滤器：开头→ opensearch

步骤 4：分配用户和获取元数据

1. 将应用程序分配给 opensearch-admins 组。
2. 定位至登录标签。
3. 单击查看 SAML 设置说明。
4. 保持此页面处于打开状态以执行下一步。

步骤 5：使用 OpenSearch SAML 配置 OCI 搜索

• 确保您的 OpenSearch 集群设置为 ENFORCING 安全模式。

  

• 在 OCI 控制台中，打开 OpenSearch 集群，然后单击更多操作。

• 选择 Add SAML Authentication 。

  

• 配置以下参数：

  • 禁用 SAML 验证：设置为 OFF
  • 元数据内容：从 Okta 设置说明复制 XML
  • 实体 ID：从 Okta 中的身份提供者颁发者复制
  • 仪表盘 URL：<DS_URL>
  • 管理后端角色：opensearch-admins
  • 角色关键字：group

任务 3：测试集成

1. 打开 OCI Search with OpenSearch Dashboard URL (<DS_URL>)。
2. 您将被重定向到 Okta 进行登录。
3. 使用 opensearch-admins 组中的用户登录。
4. 验证成功后，您将获得对 OCI Search with OpenSearch Dashboard 的管理员访问权限。

故障排除和技巧

注：如果遇到错误“没有可供此用户使用的角色”，请验证：

• opensearch-admins 组已分配给 Okta 应用程序
• 用户属于此组
• 组名与 OCI Search 中的 OpenSearch 配置完全匹配
• 角色关键字设置为 group

提示：启用 SAML 后，OCI Search with OpenSearch Dashboard 可能会重新启动。请等待几分钟，然后重试。如果问题仍然存在，请清除浏览器缓存或使用隐身窗口。

注：在 SAML 设置重置现有配置后，将 OCI Search with OpenSearch 安全模式切换到 ENFORCING。在与 Okta 集成之前，请始终启用此模式。

后续步骤

在成功配置 Okta 与 OCI Search with OpenSearch 之间的 SAML 验证后，请考虑以下事项：

• 为多个用户组定义其他基于角色的访问控制
• 为监视用户活动启用审计日志记录
• 集成 Okta 生命周期管理，实现自动预配
• 配置更改后定期验证 SSO 功能

相关链接

• Oracle Cloud Infrastructure Search with OpenSearch
• 在 VCN 外部使用 OpenSearch 仪表盘和 REST API 访问 OCI 搜索

致谢

• 作者 — Pavan Upadhyay（首席云工程师），Saket Bihari（首席云工程师）

更多学习资源

通过 docs.oracle.com/learn 浏览其他实验室，或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Configure OCI Search with OpenSearch SAML Authentication Using Okta

G55788-01

Copyright ©2026,

Oracle 和/或其关联公司。