注意:

整合 Okta 與單一登入和使用者佈建的識別網域

簡介

在實際情況中,客戶可能會將 Okta 作為其公司身分識別提供者,但使用者也需要存取由 Oracle Cloud 代管的服務。在這類情況下,建議您設定同盟,將使用者和群組自動從 Okta 佈建到識別網域,以獲得更佳的使用者生命週期管理。此設定可讓使用者使用其 Okta SSO 證明資料登入由 Oracle 識別網域代管的服務。

識別網域是一個容器,可透過 Oracle Single Sign-On (SSO) 組態和以 SAML/OAuth 為基礎的身分識別提供者管理,管理使用者和角色、同盟及佈建使用者、保護應用程式整合。有鑑於近期將 Oracle Cloud Infrastructure (OCI) 和 Oracle Identity Cloud Service 合併至識別網域,客戶必須瞭解主控台上用來將 Okta 與識別網域整合的導覽。

主要優點

  1. 自動建立 / 更新及停用 / 刪除使用者和群組。
  2. 自動化使用者與群組同步化。

必要條件

Okta 和識別網域的管理帳戶

目標

使用此聯合的 Okta 目錄應用程式來設定以 SAML 為基礎的單一登入和 SCIM 為基礎的自動化使用者和群組佈建。張貼此組態後,Okta 將會設定為識別網域的身分識別提供者。

作業 1:在 Okta 中建立應用程式

我們必須在 Okta 市集中提供的 Okta 中建立應用程式,以設定識別網域的 SSO 和 SCIM 佈建。

  1. 以管理員身分登入 Okta,從左側功能表瀏覽至應用程式,並找出瀏覽應用程式目錄選項,如下列影像所示。

    影像 1

  2. 搜尋 Oracle Identity Cloud Service 並新增應用程式。

    影像 2

    圖像 3

  3. 在「應用程式」精靈中以必要的詳細資訊完成需要一般設定值,然後按一下完成

    秘訣:若要尋找您的子網域,請登入想要與 Okta 整合的識別網域,然後透過下列選項進行瀏覽。

    • 從主功能表前往識別與安全性網域,選取適當的網域:概要網域 URL

      圖像 4

  4. 瀏覽至新增之應用程式的「登入」頁籤,更新下列詳細資訊,然後按一下儲存

    • 預設中繼狀態:https://idcs-$DOMAIN_INSTANCE_ID.identity.oraclecloud.com/ui/v1/myconsole。這是使用者使用 Oracle Identity Domains 進行單一登入之後,使用者登入的 URL。如果需要,也可以是受 Oracle Identity Domains 保護的應用程式 URL。

      影像 5

    • 提供者 ID: https://idcs-$DOMAIN_INSTANCE_ID.identity.oraclecloud.com:443/fed

    • 應用程式使用者名稱格式:電子郵件 (假設 Okta 和 Oracle Identity Domains 中的使用者電子郵件地址相同)

    • 更新應用程式使用者名稱:建立與更新

      影像 6

注意: 從識別網域取得簽署憑證之後,我們將會重新瀏覽此步驟以啟用單一登出。

作業 2:設定 Okta 作為 Oracle 識別網域中的身分識別提供者

  1. 以管理員使用者身分登入您的 Oracle Identity Infrastructure 租用戶,然後瀏覽至「身分識別提供者」設定值,然後按一下新增 SAML IDP

    影像 7

  2. 從啟動的精靈中,新增畫面上的基本詳細資訊,然後按下一步

    影像 8

  3. 交換描述資料頁面中,選取輸入 IDP 描述資料 - 手動輸入參數選項,更新下列詳細資訊,然後按一下下一步

    提示:在您所設定之「Okta 應用程式」的「登入」頁籤上,向下捲動以尋找所需詳細資訊的檢視 SAML 設定指示連結。

    影像 9

    影像 10

    影像 11

  4. 對應使用者識別頁面中,更新下列詳細資訊,然後按一下下一步

    圖像 12

  5. 複查與建立頁面上,複查設定值,然後按一下建立 IdP

    圖像 13

  6. 下一步頁面上,按一下測試登入以驗證組態。您應該會看到如下所示的成功訊息。

    圖像 14

    影像 15

    注意:測試此整合的使用者應該在 Okta 應用程式上指派,如下所示。

    圖像 16

  7. 按一下啟用 IdP ,然後將它加到您需求的「身分識別提供者規則」,如下所示。

    圖像 17

    圖像 18

    影像 19

作業 3:在識別網域中設定 SCIM 佈建的機密應用程式

跨網域身分識別管理 (SCIM) 系統是開放標準,可讓使用者進行佈建自動化。SCIM 可在身分識別提供者與需要使用者身分識別資訊的服務提供者之間通訊使用者身分識別資料。

  1. 瀏覽至您「識別網域」下的應用程式頁籤,按一下新增應用程式,然後按一下機密應用程式,然後按一下啟動工作流程

    影像 20

  2. 輸入應用程式名稱,然後按一下下一步

    影像 21

  3. 將下列詳細資訊新增至應用程式,然後按一下下一步

    影像 22

    影像 23

  4. 啟用應用程式,並且記下從屬端 ID 和加密密碼。

作業 4:從 Okta 啟用 SCIM 啟動設定至識別網域

  1. 瀏覽至「Okta 管理」主控台以設定 SCIM 佈建。按一下已設定的應用程式,然後按一下啟動設定頁籤。

  2. 在已設定應用程式的佈建區段中新增下列詳細資訊。

    • 基礎 URL: https://$IDCS_SUBDOMAIN.identity.oraclecloud.com/admin/v1

    • API 記號: Base64encoded (ClientID:ClientSecret) (從上一步)

      影像 24

    • 按一下測試 API 證明資料 (Test API Credentials)

    • 您應該能夠在畫面上看到「成功」訊息。按一下儲存

  3. 按一下編輯,選取所有啟用選項,然後按一下儲存以啟用使用者佈建選項。

    影像 26

  4. 指定區段,新增要同步至識別網域的使用者和群組。

    影像 25

    影像 27

完成設定步驟之後,您的使用者和群組就會從 Okta 同步至識別網域。

確認書

作者 - Chetan Soni (雲端解決方案工程師)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室,或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外,請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件,請造訪 Oracle Help Center