關於設定 SAML 和 SCIM
您可以使用身分識別提供者所管理的現有登入帳戶和密碼,在識別網域與外部身分識別提供者之間建立同盟登入,以登入並存取 OCI 資源。
在 Okta 中設定 SAML
將 Okta 設定為 IdP,並將 OCI Identity and Access Management 作為服務提供者,讓使用者能夠使用 Okta 認證的使用者證明資料,存取 OCI Identity and Access Management 中的服務和應用程式。
- 在 Okta 中,按一下管理。
- 在左窗格中,按一下應用程式,然後按一下應用程式。
- 在應用程式底下,按一下瀏覽應用程式目錄。
- 在搜尋欄位中輸入
saml
,然後選取 SAML 服務提供者。 - 按一下新增整合。
- 在應用程式標籤欄位中,輸入
Okta SAML Provider
。 - 按下一步。
- 在預設中繼狀態欄位中,輸入
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
。- 在 OCI 中,依序按一下主功能表、身分識別與安全性、身分識別及網域。
- 請注意租用戶名稱和網域名稱。
- 視需要取代
yourtenancyname
和yourdomainname
。
在 OCI 中設定 SAML
使用 Okta 中設定的 SAML 選項,在 OCI 中設定 SAML IdP 設定。
您將會在此設定期間經常在 OCI 和 Okta 之間切換。
- 在 OCI 主控台中,依序按一下主功能表、識別與安全性、新增 SAML 身分識別提供者頁面,然後選取手動輸入身分識別提供者描述資料。
- 在 Okta 中,在新增 SAML 服務提供者頁面的描述資料詳細資訊下,按一下更多詳細資訊,然後按一下登入 URL 旁邊的複製。
- 在 OCI 的識別提供者發照者 URI 欄位中,輸入複製的文字。
- 在 Okta 的登入方法下,按一下檢視設定指示,然後在登入您的服務提供者下,複製識別提供者發出者 URI 的文字。
- 在 OCI 的每個 SSO 服務 URL 欄位、識別提供者登出要求 URL 欄位以及識別提供者登出回應 URL 欄位,輸入您從 Okta 保留的登入 URL。
- 在登出連結下,選取 POST 。
- 啟用在 SAML 訊息中傳送簽署憑證。
- 按下一步。
- 在要求的 NameID 格式下拉式清單中,選取電子郵件地址。
- 按一下 建立 IdP 。
- 在匯出頁面上,按一下宣告用戶服務 URL 旁邊的複製。
- 在 Okta 的宣告用戶服務 URL 欄位中,輸入複製的文字。
- 在 OCI 的匯出頁面上,按一下提供者 ID 旁邊的複製。
- 在 Okta 的服務提供者實體 ID 欄位中,輸入複製的文字。
- 按一下「完成」。
- 在「Okta SAML 提供者」頁上,依序按一下「指派」和「指派給人員」。
- 按一下每個指派對象名稱旁邊的指派,提供使用者名稱,然後按一下儲存並返回。
- 按一下「完成」。
- 在 OCI 中,按一下下一步。
- (選擇性) 按一下測試登入。
- 按下一步。
- 按一下啟用。
- 按一下完成。
- 在「安全性」下,按一下 IdP 原則。
- 按一下預設識別提供者原則。
- 在預設 IDP 規則資料列上,按一下三個點,然後按一下編輯 IdP 規則。
- 在指派身分識別提供者下,按一下並選取 Okta-SAML-Setup 。
- 按一下儲存變更。
- 返回 IdP 原則頁面,然後按一下登入原則。
- 按一下預設登入原則。
- 在預設登入規則列上,按一下三個點,然後按一下編輯登入規則,再按一下繼續。
- 在指派閒置提供者下,按一下並選取 Okta-SAML-Setup 。
- 按一下儲存變更。
- 使用 Okta-SAML-Setup 選項登入您的 Oracle Cloud 租用戶。
- 登入 Okta。
- 在驗證畫面上,選取取得推播通知。
佈建 SCIM
使用 SCIM 佈建程序設定 SSO 以管理雲端中的使用者識別。OCI Identity and Access Management 支援 Okta 與 OCI Identity and Access Management 之間的使用者生命週期管理。
設定 OCI SAML IdP
使用 Okta 設定選項來更新 SAML IdP 設定。
- 在 OCI 主控台的 IdP SAML 身分識別提供者底下,選取先前建立的 SAML IdP (例如 Okta)。
- 按一下動作功能表 (三個點),然後按一下編輯 IdP 。
- 複製並貼上發照者以更新身分識別提供者發照者 URI。
- 複製並貼上登入 URL,以更新身分識別提供者登出要求 URL 和身分識別提供者登出回應 URL 和 SSO 服務 URL。
- 在簽署憑證下,上傳先前下載的簽署憑證。
- 按一下「儲存」。
- 按一下動作功能表 (三個點),然後按一下啟動。
這應該設定您的 SCIM 佈建。您可以從此處透過 Okta 進行使用者佈建和同盟作業。
解決 SCIM 推送群組錯誤
如果您遇到 SCIM 推送群組錯誤,請解決此問題。
在這項修正中,您必須停用並刪除先前的 SCIM 組態。
- 在 Okta 中,按一下應用程式 > 應用程式 > 瀏覽應用程式目錄。
- 搜尋並選取 Oracle Identity Cloud Service 。
- 按一下新增整合。
- 在子網域欄位中,輸入任何項目 (例如, idcs-a1b2c3d4)。
- 按一下「完成」。
- 按一下「啟動設定」頁籤,然後按一下「設定 API 整合」。
- 按一下啟用 API 整合。
- 在基礎 URL 欄位中,輸入儲存的網域 URL:
- 在 OCI 中,請前往識別 > 網域。
- 按一下預設。
- 展開「網域 URL 」欄位,然後按一下「複製」。
- 在 Okta 中,將其貼到基礎 URL 欄位中,然後附加:/admin/v1
- 刪除現有的應用程式。
- 在 OCI 中,請前往識別 > 網域 > 預設網域 > 整合的應用程式。
- 按一下應用程式 > 停用 > 停用應用程式的功能表 (三個點)。
- 再次按一下功能表 > 刪除 > 刪除應用程式。
- 建立新應用程式。
- 按一下新增應用程式 > 機密應用程式 > 啟動工作流程。
- 在「名稱」欄位中,輸入 Okta_IDCS ,然後按「下一步」。
- 按一下從屬端組態。
- 啟用從屬端證明資料。
- 啟用新增 App 角色。
- 按一下新增角色。
- 啟用使用者管理員,然後按一下新增。
- 按一下下一步,然後按一下完成。
- 在應用程式頁面中,按一下啟動 > 啟動應用程式。
- 產生權杖。
- 在應用程式頁面的一般資訊下,複製從屬端 ID 。
- 將從屬端 ID 貼到 base64 記號產生器的輸入欄位中。
- 在應用程式頁面的一般資訊底下,按一下顯示加密密碼,然後按一下複製。
- 將加密密碼附加至從屬端 ID,然後編碼並複製 API 權杖。
- 在 Okta 中,在 API 權杖欄位中貼上 API 權杖。
- 按一下測試 API 證明資料,然後按一下 (如果成功) 儲存。
- 完成佈建。
- 在 Okta 中,在「啟動設定」頁籤的「啟動設定至應用程式」旁,按一下「編輯」。
- 啟用建立使用者、更新使用者屬性及停用使用者,然後按一下儲存。
- 建立測試群組。
- 在 Okta 中,按一下推播群組頁籤。
- 按一下推播群組 > 依名稱尋找群組。
- 在「依名稱」欄位中,輸入 test_group ,然後按一下「儲存」。
- 指定測試群組。
- 在 Okta 中,按一下指派頁籤。
- 按一下指派 > 指派至人員。
- 在 Test_user_SCIM_Prov 旁邊,按一下指派。
- 按一下完成 > 儲存並返回 > 完成。
- 按一下推播群組頁籤。
- 在「推播狀態」下,將下拉式清單設為「立即推播」。
- 在 OCI 中,應顯示重新整理和測試群組。