关于配置 SAML 和 SCIM

您可以在身份域和外部身份提供者之间设置联合登录,以使用身份提供者管理的现有登录名和密码来登录和访问 OCI 资源。

在 Okta 中设置 SAML

将 Okta 设置为 IdP, OCI Identity and Access Management 充当服务提供商,允许用户使用经过 Okta 验证的用户凭证访问 OCI Identity and Access Management 中的服务和应用程序。

  1. 在 Okta 中,单击管理
  2. 在左侧窗格中,依次单击应用程序应用程序
  3. 应用程序下,单击浏览应用程序目录
  4. 在搜索字段中,输入 saml,然后选择 SAML 服务提供者
  5. 单击添加集成
  6. 应用程序标签字段中,输入 Okta SAML Provider
  7. 单击下一步
  8. 默认中继状态字段中,输入 https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
    1. 在 OCI 中,依次单击主菜单、身份与安全身份
    2. 记下租户名称和域名。
    3. 酌情替换 yourtenancynameyourdomainname

在 OCI 中设置 SAML

使用 Okta 中配置的 SAML 选项在 OCI 中配置 SAML IdP 设置。

在此设置期间,您将频繁在 OCI 和 Okta 之间切换。
  1. 在 OCI 控制台中,依次单击主菜单、身份与安全添加 SAML 身份提供者页和手动输入身份提供者元数据
  2. 在 Okta 中,在 Add SAML Service Provider(添加 SAML 服务提供者)页上,在 Metadata details(元数据详细信息)下,单击 More details(更多详细信息),然后在 Sign on URL(登录 URL)旁边,单击 Copy(复制)
  3. 在 OCI 中,在身份提供者发布者 URI 字段中,输入复制的文本。
  4. 在 Okta 中,在登录方法下,单击查看设置说明,然后在登录服务提供商下,复制身份提供者发布者 URI 的文本。
  5. 在 OCI 中,在每个 SSO 服务 URL 字段、身份提供者注销请求 URL 字段身份提供者注销响应 URL 字段中,输入从 Okta 保留的登录 URL。
  6. 注销绑定下,选择 POST
  7. 启用发送带有 SAML 消息的签名证书
  8. 单击下一步
  9. 请求的 NameID 格式下拉列表中,选择电子邮件地址
  10. 单击 创建 IdP
  11. 导出页上,单击断言使用者服务 URL 旁边的复制
  12. 在 Okta 中,在断言使用者服务 URL 字段中,输入复制的文本。
  13. 在 OCI 中,在导出页上,单击提供商 ID 旁边的复制
  14. 在 Okta 中,在服务提供商实体 ID 字段中,输入复制的文本。
  15. 单击完成
  16. Okta SAML 提供程序页上,依次单击分配分配给人员
  17. 单击每个被分配人姓名旁边的分配,提供用户名,然后单击保存并返回
  18. 单击完成
  19. 在 OCI 中,单击下一步
  20. (可选)单击测试登录
  21. 单击下一步
  22. 单击激活
  23. 单击完成
  24. 在“安全性”下,单击 IdP 策略
  25. 单击默认身份提供方策略
  26. 默认 IDP 规则行上,单击三个点,然后单击编辑 IdP 规则
  27. 分配身份提供者下,单击并选择 Okta-SAML-Setup
  28. 单击 Save changes
  29. 返回到 IdP 策略页,然后单击登录策略
  30. 单击默认登录策略
  31. 默认登录规则行上,依次单击三个点、编辑登录规则继续
  32. 分配 idenity 提供程序下,单击并选择 Okta-SAML-Setup
  33. 单击 Save changes
  34. 使用 Okta-SAML-Setup 选项登录您的 Oracle Cloud 租户。
  35. 登录到 Okta。
  36. 在验证屏幕上,选择获取推送通知

预配 SCIM

使用 SCIM 预配流程设置 SSO 以管理云中的用户身份。OCI Identity and Access Management 支持在 Okta 和 OCI Identity and Access Management 之间进行用户生命周期管理。

  1. 在 Okta 中,单击管理
  2. 在左侧窗格中,依次单击应用程序应用程序
  3. 单击创建应用程序集成
  4. 选择 SAML 2.0 ,然后单击下一步
  5. 应用程序名称字段中,输入 OCI OKTA SCIM Integration,然后单击下一步
  6. 在 OCI 中,依次单击菜单、身份与安全
  7. 页上,单击默认
  8. 在左侧窗格中,依次单击安全性身份提供者
  9. Okta-SAML-Setup 行上,依次单击三个点和编辑 IdP
  10. 导出详细信息下,在断言使用服务 URL 行上,单击复制
  11. 在 Okta 中,在 Sinle 登录 URL 字段中,输入复制的文本。
  12. 在 OCI 中,在导出详细信息下的提供商 ID 行上,单击复制
  13. 在 Okta 中,在受众 URI(SP 实体 ID) 字段中,输入复制的文本。
  14. 默认 RelayState 字段中,输入 https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
  15. 单击下一步
  16. 您是客户还是合作伙伴?旁边,选择我是软件供应商 ... ,然后单击完成
  17. 单击常规选项卡。
  18. 应用程序设置旁边,单击编辑
  19. 预配旁边,选择 SCIM ,然后单击保存
  20. 单击预配选项卡。
  21. SCIM 连接旁边,单击编辑
  22. 输入域 URL:
    1. 在 OCI 中,导航到,然后单击默认
    2. 域 URL 旁边,单击显示,然后复制 URL。
    3. 在 Okta 中,在 SCIM 连接器基本 URL 字段中,输入复制的 URL。
    4. 将培训 :433 替换为 /admin/v1
  23. 在用户的唯一标识符字段中,输入用户名。
  24. 支持的预配操作旁边,选择:
    • 导入新用户和概要信息更新
    • 推送新用户
    • 推送概要文件更新
    • 推送组
  25. 验证模式下拉列表中,选择 HTTP 标头
  26. 输入授权令牌:
    1. 在 OCI 中,导航到,然后单击默认
    2. 依次单击集成应用程序添加应用程序
    3. 选择机密应用程序,然后单击启动工作流
    4. 名称字段中,输入 Okta-SCIM-OCI
    5. 验证和授权下,启用将授权强制用作授权,然后单击下一步
    6. 客户端配置下,选择立即将此应用程序配置为客户端
    7. 授权下,启用客户机凭证
    8. 在底部附近,启用添加应用程序角色,然后单击添加角色
    9. 启用用户管理员,然后依次单击添加下一步完成
    10. 单击激活,然后单击激活应用程序
    11. 一般信息下,复制文件 ID
    12. 打开 Base64 编码器,然后输入客户机 ID,并在结尾附加冒号。
    13. 一般信息下,在客户端密钥下,单击显示密钥,然后单击复制
    14. 在 Base64 编码器中,将客户端密钥附加到末尾。
    15. 运行编码器,然后复制编码文本。
    16. 在 Okta 中,在 HTTP Header 下,在 Authentication 字段中,输入编码文本。
    17. (可选)单击测试连接器配置
    18. 单击保存
  27. 预配到应用程序旁边,单击编辑
  28. 启用:
    • 创建用户
    • 更新用户属性
    • 停用用户
  29. 单击保存
  30. 单击分配选项卡,展开分配下拉列表,然后单击分配给人员,设置分配,然后单击完成
    新用户应显示在 OCI 中的默认域的用户列表中。

设置 OCI SAML IdP

使用 Okta 设置选项更新 SAML IdP 设置。

  1. 在 OCI 控制台的 IdP SAML 身份提供程序下,选择以前创建的 SAML IdP(例如 Okta)。
  2. 单击操作菜单(三个点),然后单击编辑 IdP
  3. 复制并粘贴发布者以更新身份提供者的发布者 URI。
  4. 复制并粘贴登录 URL 以更新身份提供者注销请求 URL 和身份提供者注销响应 URL 以及 SSO 服务 URL。
  5. 签名证书下,上载以前下载的签名证书。
  6. 单击保存
  7. 单击操作菜单(三个点),然后单击激活
这应配置 SCIM 预配。从这里开始,应该可以通过 Okta 进行用户预配和联合。

解决 SCIM 推送组错误

如果遇到 SCIM 推送组错误,请解决该错误。

在此修复中,您必须停用并删除以前的 SCIM 配置。

  1. 在 Okta 中,单击应用程序 > 应用程序 > 浏览应用程序目录
  2. 搜索并选择 Oracle Identity Cloud Service
  3. 单击添加集成
  4. 子域字段中,输入任何内容(例如 idcs-a1b2c3d4 )。
  5. 单击完成
  6. 单击预配选项卡,然后单击配置 API 集成
  7. 单击启用 API 集成
  8. 基本 URL 字段中,输入保存的域 URL:
    1. 在 OCI 中,转至身份 >
    2. 单击默认
    3. 展开域 URL 字段,然后单击复制
    4. 在 Okta 中,将其粘贴到基本 URL 字段中,然后附加:/admin/v1
  9. 删除现有的应用程序。
    1. 在 OCI 中,转至身份 > > 默认域 > 集成应用程序
    2. 单击应用程序 > 停用 > 停用应用程序的菜单(三个点)。
    3. 再次单击菜单 > 删除 > 删除应用程序
  10. 创建新应用程序。
    1. 单击添加应用程序 > 机密应用程序 > 启动工作流
    2. 名称字段中,输入 Okta_IDCS ,然后单击下一步
    3. 单击客户端配置
    4. 启用客户端身份证明
    5. 启用添加应用程序角色
    6. 单击添加角色
    7. 启用用户管理员,然后单击添加
    8. 单击下一步,然后单击完成
    9. 在应用程序页上,单击激活 > 激活应用程序
  11. 生成令牌。
    1. 在应用程序页上,在一般信息下,复制客户端 ID
    2. 将客户端 ID 粘贴到 base64 令牌生成器的输入字段中。
    3. 在应用程序页上,在一般信息下,单击显示密钥,然后单击复制
    4. 将密钥附加到客户端 ID,然后对 API 标记进行编码和复制。
    5. 在 Okta 中,在 API 标记字段中,粘贴 API 标记。
    6. 单击测试 API 身份证明,然后单击保存(如果成功)。
  12. 完成预配。
    1. 在 Okta 中,在预配选项卡的预配到应用程序旁边,单击编辑
    2. 启用创建用户更新用户属性停用用户,然后单击保存
  13. 创建测试组。
    1. 在 Okta 中,单击推送组选项卡。
    2. 单击推送组 > 按名称查找组
    3. 按名称字段中,输入 test_group ,然后单击保存
  14. 分配测试组。
    1. 在 Okta 中,单击分配选项卡。
    2. 单击分配 > 分配给人员
    3. Test_user_SCIM_Prov 旁边,单击分配
    4. 单击完成 > 保存并返回 > 完成
    5. 单击推送组选项卡。
    6. 推送状态下,将下拉列表设置为立即推送
    7. 在 OCI 中,应显示刷新和测试组。