Federación con proveedores de identidad

Las empresas suelen utilizar un proveedor de identidad (IdP) para gestionar las conexiones/contraseñas de usuarios y para autenticar usuarios para acceder a sitios web, servicios y recursos seguros.

Cuando alguien de su compañía desea utilizar recursos de Oracle Cloud Infrastructure en la consola, debe conectarse con un usuario y una contraseña. Los administradores pueden federarse con un IdP soportado, de modo que cada empleado pueda utilizar una conexión existente y una contraseña, y no tener que crear un nuevo juego para utilizar los recursos deOracle Cloud Infrastructure.

Para federar, un administrador pasa por un proceso corto para configurar una relación entre el IdP y Oracle Cloud Infrastructure (normalmente denominada confianza de feudal). Una vez que un administrador configura esa relación, a cualquier persona de su compañía que vaya a la consola de Oracle Cloud Infrastructure se le muestra una experiencia de "conexión única" proporcionada por el IdP. El usuario se conecta con la conexión/contraseña que ya ha configurado con el IdP. IdP autentica al usuario y, a continuación, ese usuario puede acceder a Oracle Cloud Infrastructure.

Al trabajar con su IdP, el administrador define grupos y asigna cada usuario a uno o más grupos en función del tipo de acceso que necesite el usuario. Oracle Cloud Infrastructure también utiliza el concepto de grupos (junto con la política de IAM) para definir el tipo de acceso con el que tiene un usuario. Como parte de su configuración de relación con IdP, el administrador puede asignar cada grupo IdP a un grupo IAM definido como de forma similar, para que su compañía pueda reutilizar sus definiciones de grupo IdP al autorizar el acceso de usuario a recursos Oracle Cloud Infrastructure. A continuación, se muestra una captura de pantalla del proceso de asignación:

Para obtener información sobre el número de federaciones y asignaciones del grupo que puede tener, consulte Límites por servicio. No hay límite en el número de usuarios federados.

A continuación, se muestra una lista de los conceptos básicos con los que necesita estar familiarizado.

IDP

IdP es la abreviatura de proveedor de identidad, un servicio que proporciona credenciales de identificación y autenticación para los usuarios.

Los arrendamientos creados después del 18 de diciembre de 2017 están federados automáticamente con Oracle Identity Cloud Service como IdP. Oracle Cloud Infrastructure se puede federar con cualquier IdP que soporte el protocolo SLAML 2.0.

PROVEEDOR DE SERVICIOS (SP)

Un servicio (como una aplicación, un sitio web, etc.) que llama a un IdP para autenticar usuarios. En este caso, Oracle Cloud Infrastructure es el SP.

CONFIANZA DE FEDERACIÓN

Una relación que un administrador configura entre un IdP y un SP. Puede utilizar la consola o el API de Oracle Cloud Infrastructure para configurar esa relación. A continuación, el IdP específico se "federa" con ese SP. En la consola y la API, el proceso de federación se entiende como agregar un proveedor de identidad al arrendamiento.

DOCUMENTO DE METADATOS SAML

Documento basado en XML proporcionado por IdP que proporciona a un SP la información necesaria para federarse con ese IdP. Oracle Cloud Infrastructure soporta el protocolo SAML 2.0, que es un estándar basado en XML para compartir los datos necesarios entre el IdP y la SP. Según el idP con el que se esté federando, debe proporcionar la URL de metadatos (consulte a continuación) en este documento o cargar el documento en Oracle Cloud Infrastructure.

URL DE METADATOS

Dirección URL proporcionada por IdP que permite a un SP obtener la información necesaria para federar con ese IdP. Oracle Cloud Infrastructure soporta el protocolo SAML 2.0, que es un estándar basado en XML para compartir los datos necesarios entre el IdP y la SP. La dirección URL de metadatos apunta al documento de metadatos SAML que necesita el SP.

USUARIO FEDERADO

Alguien que se conecte para utilizar la Consola de Oracle Cloud Infrastructure por medio de un IdP federado.

USUARIO LOCAL

Un usuario no federado. Es decir, alguien que conecta para utilizar la consola de Oracle Cloud Infrastructure con conexión y contraseña creados en Oracle Cloud Infrastructure.

ASIGNACIÓN DE GRUPO

Una asignación entre un grupo IdP y uno de Oracle Cloud Infrastructure utilizada con fines de autorización de usuarios.

SCIM

SCIM (System for Cross-domain Identity Management) es un protocolo estándar IETF que permite el aprovisionamiento de usuarios entre sistemas de identidad. Oracle Cloud Infrastructure aloja un punto final del SCIM para aprovisionar usuarios federados en Oracle Cloud Infrastructure. El uso de un cliente SCIM para aprovisionar usuarios en Oracle Cloud Infrastructure le permite asignar credenciales a los usuarios en Oracle Cloud Infrastructure.

USUARIO APROVISIONADO (O SINCRONIZADO)

Usuario aprovisionado por el cliente SCIM del proveedor del identidad en Oracle Cloud Infrastructure. Estos usuarios se pueden mostrar en la consola de Oracle Cloud Infrastructure y pueden tener todas las credenciales del usuario de Oracle Cloud Infrastructure, excepto la contraseña de la consola.

Cifrar afirmación

Algunos IdP soportan el cifrado de la afirmación de SAML. Si se activa, el proveedor de servicios espera que el proveedor de identidad cifre la afirmación de SAML mediante la clave de cifrado de dicho proveedor. En este caso, el proveedor de servicio es un servicio de autenticación de la Oracle Cloud Infrastructure. Si decide activar esta función de IdP, también debe activar la función al configurar el proveedor de federaciones en el servicio IAM. Tenga en cuenta que Microsoft AD FS activa el cifrado de la afirmación de SAML por defecto. Si su IdP es Microsoft AD FS, debe activar esta función en IAM o desactivarla para Microsoft AD FS.

Los usuarios federados pueden utilizar la consola para acceder a Oracle Cloud Infrastructure (según las políticas de IAM para los grupos en los que están los usuarios).

Se les solicitará que introduzcan su inquilino de Oracle Cloud Infrastructure (por ejemplo, ABCCorp).

A continuación, se les muestra una página con dos juegos de instrucciones de inicio de sesión: una para usuarios federados y otra para usuarios no federados (de Oracle Cloud Infrastructure). Consulte la captura de pantalla siguiente.

El nombre del arrendatario se muestra a la izquierda. Justo debajo se encuentra el área de conexión para usuarios federados. A la derecha está el área de conexión para usuarios no federados.

Los usuarios federados seleccionan qué proveedor de identidad utilizar para la conexión y, a continuación, se les redirige a la experiencia de conexión del proveedor de identidad para su autenticación. Después de introducir su conexión y contraseña, IdP los autentica y se redirige de nuevo a la Consola de Oracle Cloud Infrastructure.

Los usuarios federados (sin configuración de SCIM) no pueden acceder a la página "Configuración de usuario" en la consola. En esta página, un usuario puede cambiar o restablecer su contraseña de consola y gestionar otras credenciales de la consola de Oracle Cloud Infrastructure como claves para firmar API y tokens de autentificación.

Para agregar y gestionar proveedores de identidad en su arrendamiento, debe estar autorizado por una política de IAM. Si está en el grupo Administradores, tiene el acceso necesario.

A continuación, se muestra una política más limitada que restringe el acceso a los recursos relacionados con proveedores de identidad y asignaciones de grupo:

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea profundizar en la escritura de políticas para grupos u otros componentes de de IAM, consulte Detalles de IAM sin dominios de identidad.

Para obtener instrucciones sobre la federación con otros proveedores de identidad, consulte lo siguiente:

Federación con Microsoft Active Directory

Federación con Microsoft Azure Active Directory

Configuración de Cloud Infrastructure para federación y aprovisionamiento con Okta (documento técnico)

Federación con proveedores de identidad SAML 2.0