关于配置 SAML 和 SCIM
您可以在身份域和外部身份提供者之间设置联合登录,以使用身份提供者管理的现有登录名和密码来登录和访问 OCI 资源。
在 Okta 中设置 SAML
将 Okta 设置为 IdP, OCI Identity and Access Management 充当服务提供商,允许用户使用经过 Okta 验证的用户凭证访问 OCI Identity and Access Management 中的服务和应用程序。
- 在 Okta 中,单击管理。
- 在左侧窗格中,依次单击应用程序和应用程序。
- 在应用程序下,单击浏览应用程序目录。
- 在搜索字段中,输入
saml
,然后选择 SAML 服务提供者。 - 单击添加集成。
- 在应用程序标签字段中,输入
Okta SAML Provider
。 - 单击下一步。
- 在默认中继状态字段中,输入
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
。- 在 OCI 中,依次单击主菜单、身份与安全、身份和域。
- 记下租户名称和域名。
- 酌情替换
yourtenancyname
和yourdomainname
。
在 OCI 中设置 SAML
使用 Okta 中配置的 SAML 选项在 OCI 中配置 SAML IdP 设置。
在此设置期间,您将频繁在 OCI 和 Okta 之间切换。
- 在 OCI 控制台中,依次单击主菜单、身份与安全、添加 SAML 身份提供者页和手动输入身份提供者元数据。
- 在 Okta 中,在 Add SAML Service Provider(添加 SAML 服务提供者)页上,在 Metadata details(元数据详细信息)下,单击 More details(更多详细信息),然后在 Sign on URL(登录 URL)旁边,单击 Copy(复制)。
- 在 OCI 中,在身份提供者发布者 URI 字段中,输入复制的文本。
- 在 Okta 中,在登录方法下,单击查看设置说明,然后在登录服务提供商下,复制身份提供者发布者 URI 的文本。
- 在 OCI 中,在每个 SSO 服务 URL 字段、身份提供者注销请求 URL 字段和身份提供者注销响应 URL 字段中,输入从 Okta 保留的登录 URL。
- 在注销绑定下,选择 POST 。
- 启用发送带有 SAML 消息的签名证书。
- 单击下一步。
- 在请求的 NameID 格式下拉列表中,选择电子邮件地址。
- 单击 创建 IdP 。
- 在导出页上,单击断言使用者服务 URL 旁边的复制。
- 在 Okta 中,在断言使用者服务 URL 字段中,输入复制的文本。
- 在 OCI 中,在导出页上,单击提供商 ID 旁边的复制。
- 在 Okta 中,在服务提供商实体 ID 字段中,输入复制的文本。
- 单击完成。
- 在 Okta SAML 提供程序页上,依次单击分配和分配给人员。
- 单击每个被分配人姓名旁边的分配,提供用户名,然后单击保存并返回。
- 单击完成。
- 在 OCI 中,单击下一步。
- (可选)单击测试登录。
- 单击下一步。
- 单击激活。
- 单击完成。
- 在“安全性”下,单击 IdP 策略。
- 单击默认身份提供方策略。
- 在默认 IDP 规则行上,单击三个点,然后单击编辑 IdP 规则。
- 在分配身份提供者下,单击并选择 Okta-SAML-Setup 。
- 单击 Save changes 。
- 返回到 IdP 策略页,然后单击登录策略。
- 单击默认登录策略。
- 在默认登录规则行上,依次单击三个点、编辑登录规则和继续。
- 在分配 idenity 提供程序下,单击并选择 Okta-SAML-Setup 。
- 单击 Save changes 。
- 使用 Okta-SAML-Setup 选项登录您的 Oracle Cloud 租户。
- 登录到 Okta。
- 在验证屏幕上,选择获取推送通知。
预配 SCIM
使用 SCIM 预配流程设置 SSO 以管理云中的用户身份。OCI Identity and Access Management 支持在 Okta 和 OCI Identity and Access Management 之间进行用户生命周期管理。
设置 OCI SAML IdP
使用 Okta 设置选项更新 SAML IdP 设置。
- 在 OCI 控制台的 IdP SAML 身份提供程序下,选择以前创建的 SAML IdP(例如 Okta)。
- 单击操作菜单(三个点),然后单击编辑 IdP 。
- 复制并粘贴发布者以更新身份提供者的发布者 URI。
- 复制并粘贴登录 URL 以更新身份提供者注销请求 URL 和身份提供者注销响应 URL 以及 SSO 服务 URL。
- 在签名证书下,上载以前下载的签名证书。
- 单击保存。
- 单击操作菜单(三个点),然后单击激活。
这应配置 SCIM 预配。从这里开始,应该可以通过 Okta 进行用户预配和联合。
解决 SCIM 推送组错误
如果遇到 SCIM 推送组错误,请解决该错误。
在此修复中,您必须停用并删除以前的 SCIM 配置。
- 在 Okta 中,单击应用程序 > 应用程序 > 浏览应用程序目录。
- 搜索并选择 Oracle Identity Cloud Service 。
- 单击添加集成。
- 在子域字段中,输入任何内容(例如 idcs-a1b2c3d4 )。
- 单击完成。
- 单击预配选项卡,然后单击配置 API 集成。
- 单击启用 API 集成。
- 在基本 URL 字段中,输入保存的域 URL:
- 在 OCI 中,转至身份 > 域。
- 单击默认。
- 展开域 URL 字段,然后单击复制。
- 在 Okta 中,将其粘贴到基本 URL 字段中,然后附加:/admin/v1
- 删除现有的应用程序。
- 在 OCI 中,转至身份 > 域 > 默认域 > 集成应用程序。
- 单击应用程序 > 停用 > 停用应用程序的菜单(三个点)。
- 再次单击菜单 > 删除 > 删除应用程序。
- 创建新应用程序。
- 单击添加应用程序 > 机密应用程序 > 启动工作流。
- 在名称字段中,输入 Okta_IDCS ,然后单击下一步。
- 单击客户端配置。
- 启用客户端身份证明。
- 启用添加应用程序角色。
- 单击添加角色。
- 启用用户管理员,然后单击添加。
- 单击下一步,然后单击完成。
- 在应用程序页上,单击激活 > 激活应用程序。
- 生成令牌。
- 在应用程序页上,在一般信息下,复制客户端 ID 。
- 将客户端 ID 粘贴到 base64 令牌生成器的输入字段中。
- 在应用程序页上,在一般信息下,单击显示密钥,然后单击复制。
- 将密钥附加到客户端 ID,然后对 API 标记进行编码和复制。
- 在 Okta 中,在 API 标记字段中,粘贴 API 标记。
- 单击测试 API 身份证明,然后单击保存(如果成功)。
- 完成预配。
- 在 Okta 中,在预配选项卡的预配到应用程序旁边,单击编辑。
- 启用创建用户、更新用户属性和停用用户,然后单击保存。
- 创建测试组。
- 在 Okta 中,单击推送组选项卡。
- 单击推送组 > 按名称查找组。
- 在按名称字段中,输入 test_group ,然后单击保存。
- 分配测试组。
- 在 Okta 中,单击分配选项卡。
- 单击分配 > 分配给人员。
- 在 Test_user_SCIM_Prov 旁边,单击分配。
- 单击完成 > 保存并返回 > 完成。
- 单击推送组选项卡。
- 在推送状态下,将下拉列表设置为立即推送。
- 在 OCI 中,应显示刷新和测试组。