關於設定 SAML 和 SCIM
您可以使用身分識別提供者所管理的現有登入帳戶和密碼,在識別網域與外部身分識別提供者之間建立同盟登入,以登入並存取 OCI 資源。
在 Okta 中設定 SAML
將 Okta 設定為 IdP,並將 OCI Identity and Access Management 作為服務提供者,讓使用者能夠使用 Okta 認證的使用者證明資料,存取 OCI Identity and Access Management 中的服務和應用程式。
- 在 Okta 中,按一下管理。
- 在左窗格中,按一下應用程式,然後按一下應用程式。
- 在應用程式底下,按一下瀏覽應用程式目錄。
- 在搜尋欄位中輸入
saml
,然後選取 SAML 服務提供者。 - 按一下新增整合。
- 在應用程式標籤欄位中,輸入
Okta SAML Provider
。 - 按下一步。
- 在預設中繼狀態欄位中,輸入
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
。- 在 OCI 中,依序按一下主功能表、身分識別與安全性、身分識別及網域。
- 請注意租用戶名稱和網域名稱。
- 視需要取代
yourtenancyname
和yourdomainname
。
在 OCI 中設定 SAML
使用 Okta 中設定的 SAML 選項,在 OCI 中設定 SAML IdP 設定。
您將會在此設定期間經常在 OCI 和 Okta 之間切換。
- 在 OCI 主控台中,依序按一下主功能表、識別與安全性、新增 SAML 身分識別提供者頁面,然後選取手動輸入身分識別提供者描述資料。
- 在 Okta 中,在新增 SAML 服務提供者頁面的描述資料詳細資訊下,按一下更多詳細資訊,然後按一下登入 URL 旁邊的複製。
- 在 OCI 的識別提供者發照者 URI 欄位中,輸入複製的文字。
- 在 Okta 的登入方法下,按一下檢視設定指示,然後在登入您的服務提供者下,複製識別提供者發出者 URI 的文字。
- 在 OCI 的每個 SSO 服務 URL 欄位、識別提供者登出要求 URL 欄位以及識別提供者登出回應 URL 欄位,輸入您從 Okta 保留的登入 URL。
- 在登出連結下,選取 POST 。
- 啟用在 SAML 訊息中傳送簽署憑證。
- 按下一步。
- 在要求的 NameID 格式下拉式清單中,選取電子郵件地址。
- 按一下 建立 IdP 。
- 在匯出頁面上,按一下宣告用戶服務 URL 旁邊的複製。
- 在 Okta 的宣告用戶服務 URL 欄位中,輸入複製的文字。
- 在 OCI 的匯出頁面上,按一下提供者 ID 旁邊的複製。
- 在 Okta 的服務提供者實體 ID 欄位中,輸入複製的文字。
- 按一下「完成」。
- 在「Okta SAML 提供者」頁上,依序按一下「指派」和「指派給人員」。
- 按一下每個指派對象名稱旁邊的指派,提供使用者名稱,然後按一下儲存並返回。
- 按一下「完成」。
- 在 OCI 中,按一下下一步。
- (選擇性) 按一下測試登入。
- 按下一步。
- 按一下啟用。
- 按一下完成。
- 在「安全性」下,按一下 IdP 原則。
- 按一下預設識別提供者原則。
- 在預設 IDP 規則資料列上,按一下三個點,然後按一下編輯 IdP 規則。
- 在指派身分識別提供者下,按一下並選取 Okta-SAML-Setup 。
- 按一下儲存變更。
- 返回 IdP 原則頁面,然後按一下登入原則。
- 按一下預設登入原則。
- 在預設登入規則列上,按一下三個點,然後按一下編輯登入規則,再按一下繼續。
- 在指派閒置提供者下,按一下並選取 Okta-SAML-Setup 。
- 按一下儲存變更。
- 使用 Okta-SAML-Setup 選項登入您的 Oracle Cloud 租用戶。
- 登入 Okta。
- 在驗證畫面上,選取取得推播通知。
佈建 SCIM
使用 SCIM 佈建程序設定 SSO 以管理雲端中的使用者識別。OCI Identity and Access Management 支援 Okta 與 OCI Identity and Access Management 之間的使用者生命週期管理。
設定 OCI SAML IdP
使用 Okta 設定選項來更新 SAML IdP 設定。
- 在 OCI 主控台的 IdP SAML 身分識別提供者底下,選取先前建立的 SAML IdP (例如 Okta)。
- 按一下動作功能表 (三個點),然後按一下編輯 IdP 。
- 複製並貼上發照者以更新身分識別提供者發照者 URI。
- 複製並貼上登入 URL,以更新身分識別提供者登出要求 URL 和身分識別提供者登出回應 URL 和 SSO 服務 URL。
- 在簽署憑證下,上傳先前下載的簽署憑證。
- 按一下「儲存」。
- 按一下動作功能表 (三個點),然後按一下啟動。
這應該設定您的 SCIM 佈建。您可以從此處透過 Okta 進行使用者佈建和同盟作業。