關於設定 SAML 和 SCIM

您可以使用身分識別提供者所管理的現有登入帳戶和密碼,在識別網域與外部身分識別提供者之間建立同盟登入,以登入並存取 OCI 資源。

在 Okta 中設定 SAML

將 Okta 設定為 IdP,並將 OCI Identity and Access Management 作為服務提供者,讓使用者能夠使用 Okta 認證的使用者證明資料,存取 OCI Identity and Access Management 中的服務和應用程式。

  1. 在 Okta 中,按一下管理
  2. 在左窗格中,按一下應用程式,然後按一下應用程式
  3. 應用程式底下,按一下瀏覽應用程式目錄
  4. 在搜尋欄位中輸入 saml,然後選取 SAML 服務提供者
  5. 按一下新增整合
  6. 應用程式標籤欄位中,輸入 Okta SAML Provider
  7. 下一步
  8. 預設中繼狀態欄位中,輸入 https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
    1. 在 OCI 中,依序按一下主功能表、身分識別與安全性身分識別網域
    2. 請注意租用戶名稱和網域名稱。
    3. 視需要取代 yourtenancynameyourdomainname

在 OCI 中設定 SAML

使用 Okta 中設定的 SAML 選項,在 OCI 中設定 SAML IdP 設定。

您將會在此設定期間經常在 OCI 和 Okta 之間切換。
  1. 在 OCI 主控台中,依序按一下主功能表、識別與安全性新增 SAML 身分識別提供者頁面,然後選取手動輸入身分識別提供者描述資料
  2. 在 Okta 中,在新增 SAML 服務提供者頁面的描述資料詳細資訊下,按一下更多詳細資訊,然後按一下登入 URL 旁邊的複製
  3. 在 OCI 的識別提供者發照者 URI 欄位中,輸入複製的文字。
  4. 在 Okta 的登入方法下,按一下檢視設定指示,然後在登入您的服務提供者下,複製識別提供者發出者 URI 的文字。
  5. 在 OCI 的每個 SSO 服務 URL 欄位、識別提供者登出要求 URL 欄位以及識別提供者登出回應 URL 欄位,輸入您從 Okta 保留的登入 URL。
  6. 登出連結下,選取 POST
  7. 啟用在 SAML 訊息中傳送簽署憑證
  8. 下一步
  9. 要求的 NameID 格式下拉式清單中,選取電子郵件地址
  10. 按一下 建立 IdP
  11. 匯出頁面上,按一下宣告用戶服務 URL 旁邊的複製
  12. 在 Okta 的宣告用戶服務 URL 欄位中,輸入複製的文字。
  13. 在 OCI 的匯出頁面上,按一下提供者 ID 旁邊的複製
  14. 在 Okta 的服務提供者實體 ID 欄位中,輸入複製的文字。
  15. 按一下「完成」
  16. 在「Okta SAML 提供者」頁上,依序按一下「指派」和「指派給人員」。
  17. 按一下每個指派對象名稱旁邊的指派,提供使用者名稱,然後按一下儲存並返回
  18. 按一下「完成」
  19. 在 OCI 中,按一下下一步
  20. (選擇性) 按一下測試登入
  21. 下一步
  22. 按一下啟用
  23. 按一下完成
  24. 在「安全性」下,按一下 IdP 原則
  25. 按一下預設識別提供者原則
  26. 預設 IDP 規則資料列上,按一下三個點,然後按一下編輯 IdP 規則
  27. 指派身分識別提供者下,按一下並選取 Okta-SAML-Setup
  28. 按一下儲存變更
  29. 返回 IdP 原則頁面,然後按一下登入原則
  30. 按一下預設登入原則
  31. 預設登入規則列上,按一下三個點,然後按一下編輯登入規則,再按一下繼續
  32. 指派閒置提供者下,按一下並選取 Okta-SAML-Setup
  33. 按一下儲存變更
  34. 使用 Okta-SAML-Setup 選項登入您的 Oracle Cloud 租用戶。
  35. 登入 Okta。
  36. 在驗證畫面上,選取取得推播通知

佈建 SCIM

使用 SCIM 佈建程序設定 SSO 以管理雲端中的使用者識別。OCI Identity and Access Management 支援 Okta 與 OCI Identity and Access Management 之間的使用者生命週期管理。

  1. 在 Okta 中,按一下管理
  2. 在左窗格中,按一下應用程式,然後按一下應用程式
  3. 按一下建立應用程式整合
  4. 選取 SAML 2.0 ,然後按一下下一步
  5. 應用程式名稱欄位中,輸入 OCI OKTA SCIM Integration,然後按下一步
  6. 在 OCI 中,依序按一下功能表、識別與安全性網域
  7. 網域頁面上,按一下預設
  8. 在左窗格中,按一下安全性,然後按一下身分識別提供者
  9. Okta-SAML-Setup 列上,按一下三個點,然後按一下編輯 IdP
  10. 匯出詳細資訊底下,在宣告使用服務 URL 列上,按一下複製
  11. 在 Okta 的單一登入 URL 欄位中,輸入複製的文字。
  12. 在 OCI 的匯出詳細資訊下,在提供者 ID 資料列上,按一下複製
  13. 在 Okta 的受眾 URI (SP 實體 ID) 欄位中,輸入複製的文字。
  14. 預設 RelayState 欄位中,輸入 https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname
  15. 下一步
  16. 除了您是客戶還是合作夥伴?之外,選取我是軟體廠商 ... ,然後按一下完成
  17. 按一下一般標籤。
  18. 應用程式設定值旁邊,按一下編輯
  19. 啟動設定旁,選取 SCIM ,然後按一下儲存
  20. 按一下啟動設定頁籤。
  21. SCIM 連線旁,按一下編輯
  22. 輸入網域 URL:
    1. 在 OCI 中,瀏覽至網域,然後按一下預設
    2. 網域 URL 之外,按一下顯示,然後複製 URL。
    3. 在 Okta 的 SCIM 連接器基礎 URL 欄位中,輸入複製的 URL。
    4. 將訓練 :433 取代為 /admin/v1
  23. 在使用者的唯一 ID 欄位中,輸入您的使用者名稱。
  24. 除了支援的啟動設定動作之外,選取:
    • 匯入新使用者與設定檔更新
    • 推送新使用者
    • 推播設定檔更新
    • 推送群組
  25. 認證模式下拉式清單中,選取 HTTP 標頭
  26. 請輸入授權 token:
    1. 在 OCI 中,瀏覽至網域,然後按一下預設
    2. 按一下整合的應用程式,然後按一下新增應用程式
    3. 選取機密應用程式,然後按一下啟動工作流程
    4. 名稱欄位中,輸入 Okta-SCIM-OCI
    5. 認證和授權下,啟用強制授權作為授權,然後按下一步
    6. 用戶端組態下,選取立即將此應用程式設定為用戶端
    7. 授權下,啟用從屬端證明資料
    8. 在底部啟用新增應用程式角色,然後按一下新增角色
    9. 啟用使用者管理員,然後依序按一下新增下一步完成
    10. 依序按一下啟動啟動應用程式
    11. 一般資訊下,複製從屬端 ID
    12. 開啟 Base64 編碼器,然後輸入用戶端 ID,並在結尾附加冒號。
    13. 一般資訊底下的從屬端加密密碼下,按一下顯示加密密碼,然後按一下複製
    14. 在 Base64 編碼器中,將用戶端密碼附加至結尾。
    15. 執行編碼器,然後複製編碼的文字 。
    16. 在 Okta 的 HTTP 標頭底下的認證欄位中,輸入編碼的文字。
    17. (選擇性) 按一下測試連線器組態
    18. 按一下「儲存」
  27. 啟動設定至應用程式旁,按一下編輯
  28. 啟用:
    • 建立使用者
    • 更新使用者屬性
    • 停止使用者
  29. 按一下「儲存」
  30. 按一下指派頁籤,然後展開指派下拉式清單,接著按一下指派給人員,設定指派,然後按一下完成
    新使用者應顯示在 OCI 的預設網域使用者清單中。

設定 OCI SAML IdP

使用 Okta 設定選項來更新 SAML IdP 設定。

  1. 在 OCI 主控台的 IdP SAML 身分識別提供者底下,選取先前建立的 SAML IdP (例如 Okta)。
  2. 按一下動作功能表 (三個點),然後按一下編輯 IdP
  3. 複製並貼上發照者以更新身分識別提供者發照者 URI。
  4. 複製並貼上登入 URL,以更新身分識別提供者登出要求 URL 和身分識別提供者登出回應 URL 和 SSO 服務 URL。
  5. 簽署憑證下,上傳先前下載的簽署憑證。
  6. 按一下「儲存」
  7. 按一下動作功能表 (三個點),然後按一下啟動
這應該設定您的 SCIM 佈建。您可以從此處透過 Okta 進行使用者佈建和同盟作業。

解決 SCIM 推送群組錯誤

如果您遇到 SCIM 推送群組錯誤,請解決此問題。

在這項修正中,您必須停用並刪除先前的 SCIM 組態。

  1. 在 Okta 中,按一下應用程式 > 應用程式 > 瀏覽應用程式目錄
  2. 搜尋並選取 Oracle Identity Cloud Service
  3. 按一下新增整合
  4. 子網域欄位中,輸入任何項目 (例如, idcs-a1b2c3d4)。
  5. 按一下「完成」
  6. 按一下「啟動設定」頁籤,然後按一下「設定 API 整合」。
  7. 按一下啟用 API 整合
  8. 基礎 URL 欄位中,輸入儲存的網域 URL:
    1. 在 OCI 中,請前往識別 > 網域
    2. 按一下預設
    3. 展開「網域 URL 」欄位,然後按一下「複製」。
    4. 在 Okta 中,將其貼到基礎 URL 欄位中,然後附加:/admin/v1
  9. 刪除現有的應用程式。
    1. 在 OCI 中,請前往識別 > 網域 > 預設網域 > 整合的應用程式
    2. 按一下應用程式 > 停用 > 停用應用程式的功能表 (三個點)。
    3. 再次按一下功能表 > 刪除 > 刪除應用程式
  10. 建立新應用程式。
    1. 按一下新增應用程式 > 機密應用程式 > 啟動工作流程
    2. 在「名稱」欄位中,輸入 Okta_IDCS ,然後按「下一步」。
    3. 按一下從屬端組態
    4. 啟用從屬端證明資料
    5. 啟用新增 App 角色
    6. 按一下新增角色
    7. 啟用使用者管理員,然後按一下新增
    8. 按一下下一步,然後按一下完成
    9. 在應用程式頁面中,按一下啟動 > 啟動應用程式
  11. 產生權杖。
    1. 在應用程式頁面的一般資訊下,複製從屬端 ID
    2. 將從屬端 ID 貼到 base64 記號產生器的輸入欄位中。
    3. 在應用程式頁面的一般資訊底下,按一下顯示加密密碼,然後按一下複製
    4. 將加密密碼附加至從屬端 ID,然後編碼並複製 API 權杖。
    5. 在 Okta 中,在 API 權杖欄位中貼上 API 權杖。
    6. 按一下測試 API 證明資料,然後按一下 (如果成功) 儲存
  12. 完成佈建。
    1. 在 Okta 中,在「啟動設定」頁籤的「啟動設定至應用程式」旁,按一下「編輯」。
    2. 啟用建立使用者更新使用者屬性停用使用者,然後按一下儲存
  13. 建立測試群組。
    1. 在 Okta 中,按一下推播群組頁籤。
    2. 按一下推播群組 > 依名稱尋找群組
    3. 在「依名稱」欄位中,輸入 test_group ,然後按一下「儲存」。
  14. 指定測試群組。
    1. 在 Okta 中,按一下指派頁籤。
    2. 按一下指派 > 指派至人員
    3. Test_user_SCIM_Prov 旁邊,按一下指派
    4. 按一下完成 > 儲存並返回 > 完成
    5. 按一下推播群組頁籤。
    6. 在「推播狀態」下,將下拉式清單設為「立即推播」。
    7. 在 OCI 中,應顯示重新整理和測試群組。