關於設定 SAML 和 SCIM

您可以使用身分識別提供者所管理的現有登入帳戶和密碼，在識別網域與外部身分識別提供者之間建立同盟登入，以登入並存取 OCI 資源。

在 Okta 中設定 SAML

將 Okta 設定為 IdP，並將 OCI Identity and Access Management 作為服務提供者，讓使用者能夠使用 Okta 認證的使用者證明資料，存取 OCI Identity and Access Management 中的服務和應用程式。

1. 在 Okta 中，按一下管理。
2. 在左窗格中，按一下應用程式，然後按一下應用程式。
3. 在應用程式底下，按一下瀏覽應用程式目錄。
4. 在搜尋欄位中輸入 saml，然後選取 SAML 服務提供者。
5. 按一下新增整合。
6. 在應用程式標籤欄位中，輸入 Okta SAML Provider。
7. 按下一步。
8. 在預設中繼狀態欄位中，輸入 https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname。
   1. 在 OCI 中，依序按一下主功能表、身分識別與安全性、身分識別及網域。
   2. 請注意租用戶名稱和網域名稱。
   3. 視需要取代 yourtenancyname 和 yourdomainname。

在 OCI 中設定 SAML

使用 Okta 中設定的 SAML 選項，在 OCI 中設定 SAML IdP 設定。

您將會在此設定期間經常在 OCI 和 Okta 之間切換。

1. 在 OCI 主控台中，依序按一下主功能表、識別與安全性、新增 SAML 身分識別提供者頁面，然後選取手動輸入身分識別提供者描述資料。
2. 在 Okta 中，在新增 SAML 服務提供者頁面的描述資料詳細資訊下，按一下更多詳細資訊，然後按一下登入 URL 旁邊的複製。
3. 在 OCI 的識別提供者發照者 URI 欄位中，輸入複製的文字。
4. 在 Okta 的登入方法下，按一下檢視設定指示，然後在登入您的服務提供者下，複製識別提供者發出者 URI 的文字。
5. 在 OCI 的每個 SSO 服務 URL 欄位、識別提供者登出要求 URL 欄位以及識別提供者登出回應 URL 欄位，輸入您從 Okta 保留的登入 URL。
6. 在登出連結下，選取 POST 。
7. 啟用在 SAML 訊息中傳送簽署憑證。
8. 按下一步。
9. 在要求的 NameID 格式下拉式清單中，選取電子郵件地址。
10. 按一下 建立 IdP 。
11. 在匯出頁面上，按一下宣告用戶服務 URL 旁邊的複製。
12. 在 Okta 的宣告用戶服務 URL 欄位中，輸入複製的文字。
13. 在 OCI 的匯出頁面上，按一下提供者 ID 旁邊的複製。
14. 在 Okta 的服務提供者實體 ID 欄位中，輸入複製的文字。
15. 按一下「完成」。
16. 在「Okta SAML 提供者」頁上，依序按一下「指派」和「指派給人員」。
17. 按一下每個指派對象名稱旁邊的指派，提供使用者名稱，然後按一下儲存並返回。
18. 按一下「完成」。
19. 在 OCI 中，按一下下一步。
20. (選擇性) 按一下測試登入。
21. 按下一步。
22. 按一下啟用。
23. 按一下完成。
24. 在「安全性」下，按一下 IdP 原則。
25. 按一下預設識別提供者原則。
26. 在預設 IDP 規則資料列上，按一下三個點，然後按一下編輯 IdP 規則。
27. 在指派身分識別提供者下，按一下並選取 Okta-SAML-Setup 。
28. 按一下儲存變更。
29. 返回 IdP 原則頁面，然後按一下登入原則。
30. 按一下預設登入原則。
31. 在預設登入規則列上，按一下三個點，然後按一下編輯登入規則，再按一下繼續。
32. 在指派閒置提供者下，按一下並選取 Okta-SAML-Setup 。
33. 按一下儲存變更。
34. 使用 Okta-SAML-Setup 選項登入您的 Oracle Cloud 租用戶。
35. 登入 Okta。
36. 在驗證畫面上，選取取得推播通知。

佈建 SCIM

使用 SCIM 佈建程序設定 SSO 以管理雲端中的使用者識別。OCI Identity and Access Management 支援 Okta 與 OCI Identity and Access Management 之間的使用者生命週期管理。

1. 在 Okta 中，按一下管理。
2. 在左窗格中，按一下應用程式，然後按一下應用程式。
3. 按一下建立應用程式整合。
4. 選取 SAML 2.0 ，然後按一下下一步。
5. 在應用程式名稱欄位中，輸入 OCI OKTA SCIM Integration，然後按下一步。
6. 在 OCI 中，依序按一下功能表、識別與安全性及網域。
7. 在網域頁面上，按一下預設。
8. 在左窗格中，按一下安全性，然後按一下身分識別提供者。
9. 在 Okta-SAML-Setup 列上，按一下三個點，然後按一下編輯 IdP 。
10. 在匯出詳細資訊底下，在宣告使用服務 URL 列上，按一下複製。
11. 在 Okta 的單一登入 URL 欄位中，輸入複製的文字。
12. 在 OCI 的匯出詳細資訊下，在提供者 ID 資料列上，按一下複製。
13. 在 Okta 的受眾 URI (SP 實體 ID) 欄位中，輸入複製的文字。
14. 在預設 RelayState 欄位中，輸入 https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
15. 按下一步。
16. 除了您是客戶還是合作夥伴？之外，選取我是軟體廠商 ... ，然後按一下完成。
17. 按一下一般標籤。
18. 在應用程式設定值旁邊，按一下編輯。
19. 在啟動設定旁，選取 SCIM ，然後按一下儲存。
20. 按一下啟動設定頁籤。
21. 在 SCIM 連線旁，按一下編輯。
22. 輸入網域 URL：
    1. 在 OCI 中，瀏覽至網域，然後按一下預設。
    2. 在網域 URL 之外，按一下顯示，然後複製 URL。
    3. 在 Okta 的 SCIM 連接器基礎 URL 欄位中，輸入複製的 URL。
    4. 將訓練 :433 取代為 /admin/v1。
23. 在使用者的唯一 ID 欄位中，輸入您的使用者名稱。
24. 除了支援的啟動設定動作之外，選取：
    • 匯入新使用者與設定檔更新
    • 推送新使用者
    • 推播設定檔更新
    • 推送群組
25. 在認證模式下拉式清單中，選取 HTTP 標頭。
26. 請輸入授權 token：
    1. 在 OCI 中，瀏覽至網域，然後按一下預設。
    2. 按一下整合的應用程式，然後按一下新增應用程式。
    3. 選取機密應用程式，然後按一下啟動工作流程。
    4. 在名稱欄位中，輸入 Okta-SCIM-OCI。
    5. 在認證和授權下，啟用強制授權作為授權，然後按下一步。
    6. 在用戶端組態下，選取立即將此應用程式設定為用戶端。
    7. 在授權下，啟用從屬端證明資料。
    8. 在底部啟用新增應用程式角色，然後按一下新增角色。
    9. 啟用使用者管理員，然後依序按一下新增、下一步、完成。
    10. 依序按一下啟動和啟動應用程式。
    11. 在一般資訊下，複製從屬端 ID 。
    12. 開啟 Base64 編碼器，然後輸入用戶端 ID，並在結尾附加冒號。
    13. 在一般資訊底下的從屬端加密密碼下，按一下顯示加密密碼，然後按一下複製。
    14. 在 Base64 編碼器中，將用戶端密碼附加至結尾。
    15. 執行編碼器，然後複製編碼的文字 。
    16. 在 Okta 的 HTTP 標頭底下的認證欄位中，輸入編碼的文字。
    17. (選擇性) 按一下測試連線器組態。
    18. 按一下「儲存」。
27. 在啟動設定至應用程式旁，按一下編輯。
28. 啟用：
    • 建立使用者
    • 更新使用者屬性
    • 停止使用者
29. 按一下「儲存」。
30. 按一下指派頁籤，然後展開指派下拉式清單，接著按一下指派給人員，設定指派，然後按一下完成。
    新使用者應顯示在 OCI 的預設網域使用者清單中。

設定 OCI SAML IdP

使用 Okta 設定選項來更新 SAML IdP 設定。

1. 在 OCI 主控台的 IdP SAML 身分識別提供者底下，選取先前建立的 SAML IdP (例如 Okta)。
2. 按一下動作功能表 (三個點)，然後按一下編輯 IdP 。
3. 複製並貼上發照者以更新身分識別提供者發照者 URI。
4. 複製並貼上登入 URL，以更新身分識別提供者登出要求 URL 和身分識別提供者登出回應 URL 和 SSO 服務 URL。
5. 在簽署憑證下，上傳先前下載的簽署憑證。
6. 按一下「儲存」。
7. 按一下動作功能表 (三個點)，然後按一下啟動。

這應該設定您的 SCIM 佈建。您可以從此處透過 Okta 進行使用者佈建和同盟作業。