附註:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
- 使用 Oracle Cloud Infrastructure 證明資料、租用戶以及區間的範例值。完成實驗室時,請將這些值替代為雲端環境特定的值。
使用 Okta 設定 OCI Search with OpenSearch SAML 認證
簡介
在現代化的企業環境中,Single Sign-On (SSO) 可簡化使用者存取管理並增強安全性。Oracle Cloud Infrastructure OCI Search with OpenSearch 支援 SAML 2.0 認證,可與身分識別提供者 (例如 Okta) 緊密整合。
本教學課程將引導您使用 SAML 2.0 認證,將 Okta 設定為 OCI Search with OpenSearch Dashboard 的 SSO 提供者。
目標
在本教學課程結束之前,您將能夠:
- 設定 OCI Search with OpenSearch 的 Okta SAML 2.0 應用程式
- 在 OCI Search with OpenSearch 叢集中啟用 SAML 認證
- 啟用 OpenSearch Dashboard 存取的 Okta 群組式角色對應
- 透過 Okta 測試並驗證 SSO 登入
必備條件
在開始之前,請參閱下列資訊:
- 使用 OpenSearch 叢集進行 OCI Search 作業
- Okta 管理存取
- 一個名為
opensearch-admins的 Okta 群組 - 指派給
opensearch-admins群組的 Okta 使用者
提示:讓您的
<DS_URL>方便使用,您可以跨多個步驟重複使用。
作業 1:使用 OpenSearch Dashboard URL 擷取您的 OCI 搜尋
- 登入 OCI 主控台。
- 瀏覽至您的 OCI Search with OpenSearch 叢集詳細資訊頁面。
-
複製儀表板 URL — 在本教學課程中將它稱為
<DS_URL>。
工作 2:設定 Okta SAML 應用程式
步驟 1:建立 SAML 2.0 應用程式
- 登入 Okta 管理主控台。
- 按一下建立應用程式整合。
- 選取 SAML 2.0 作為應用程式類型。
- 提供描述性的應用程式名稱。
步驟 2:設定 SAML 設定值
輸入下列值:
- 單一登入 URL:
<DS_URL>/_opendistro/_security/saml/acs - 對象 URI (SP 實體 ID):
<DS_URL> - 預設中繼狀態:保留空白
- 姓名 ID 格式: EmailAddress
- 應用程式使用者名稱:電子郵件
- 更新應用程式使用者名稱:建立並更新 (預設)
步驟 3:設定屬性
使用者屬性
- 名稱:NameID
- 名稱格式:未指定
- 值:
user.email
群組屬性
- 名稱:群組
- 名稱格式:未指定
- 篩選:開頭 → opensearch
步驟 4:指派使用者並取得描述資料
- 將應用程式指派給
opensearch-admins群組。 - 瀏覽至登入頁籤。
- 按一下檢視 SAML 設定指示。
- 讓此頁面繼續開啟,進行下一個步驟。
步驟 5:使用 OpenSearch SAML 設定 OCI 搜尋
-
確定您的 OpenSearch 叢集已設為
ENFORCING安全模式。
- 在 OCI 主控台中,開啟您的 OpenSearch 叢集,然後按一下其他動作。
-
選取新增 SAML 驗證。
-
設定下列參數:
- 停用 SAML 認證:設為 OFF
- 中繼資料內容:從 Okta 複製 XML 設定指示
- 實體 ID:從 Okta 中的身分識別提供者發照者複製
- 儀表板 URL:
<DS_URL> - 管理後端角色:
opensearch-admins - 角色索引鍵:
group
工作 3:測試整合
- 開啟您的 OCI Search with OpenSearch Dashboard URL (
<DS_URL>)。 - 系統會將您重新導向至 Okta 進行登入。
- 使用
opensearch-admins群組中的使用者登入。 - 認證成功後,您將獲得 OCI Search with OpenSearch Dashboard 的管理員存取權。
疑難排解與秘訣
注意:如果您遇到「此使用者沒有可用的角色」錯誤,請確認:
opensearch-admins群組已指派給 Okta 應用程式- 使用者屬於此群組
- 群組名稱與 OCI Search with OpenSearch 組態中的名稱完全相符
- 「角色索引鍵」設為
group
提示:啟用 SAML 之後,OCI Search with OpenSearch Dashboard 可能會重新啟動。請稍候幾分鐘再重試。如果問題持續存在,請清除瀏覽器快取或使用無痕視窗。
注意: SAML 設定重設現有組態之後,將 OCI Search with OpenSearch 安全模式切換至
ENFORCING。在與 Okta 整合之前,請一律啟用此模式。
接下來的步驟
順利在 Okta 與 OCI Search with OpenSearch 之間設定 SAML 認證之後,請考慮下列事項:
- 定義多個使用者群組的其他角色式存取控制
- 啟用監督使用者活動的稽核記錄日誌
- 整合 Okta 生命週期管理,實現自動化佈建
- 組態變更之後,定期驗證 SSO 功能
相關連結
- Oracle Cloud Infrastructure Search with OpenSearch
- 使用 OpenSearch 儀表板和 VCN 以外的 REST API 存取 OCI Search
致謝
- Authors - Pavan Upadhyay (首席雲端工程師)、Saket Bihari (首席雲端工程師)
其他學習資源
您可以在 docs.oracle.com/learn 上探索其他實驗室,或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Configure OCI Search with OpenSearch SAML Authentication Using Okta
G55789-01