Federación con proveedores de identidad

Las empresas suelen utilizar un proveedor de identidad (IdP) para gestionar las conexiones/contraseñas de usuarios y para autenticar usuarios para acceder a sitios web, servicios y recursos seguros.

Cuando alguien de su compañía desea utilizar recursos de Oracle Cloud Infrastructure en la consola, debe conectarse con un usuario y una contraseña. Los administradores pueden federar con un IdP soportado para que cada empleado pueda utilizar una conexión y una contraseña existentes y no tenga que crear un nuevo juego para utilizar los recursos de Oracle Cloud Infrastructure.

Para federar, un administrador pasa por un proceso corto para configurar una relación entre el IdP y Oracle Cloud Infrastructure (normalmente denominada confianza de federación). Después de que un administrador configure esa relación, a cualquier persona de la compañía que vaya a la consola de Oracle Cloud Infrastructure se le mostrará una solicitud de "conexión única" proporcionada por el IdP. El usuario se conecta con la conexión/contraseña que ya ha configurado con el IdP. El IdP autentica al usuario y, a continuación, ese usuario puede acceder a Oracle Cloud Infrastructure.

Al trabajar con su IdP, el administrador define grupos y asigna cada usuario a uno o más grupos en función del tipo de acceso que necesite el usuario. Oracle Cloud Infrastructure también utiliza el concepto de grupos (junto con las políticas de IAM) para definir el tipo de acceso que tiene un usuario. Como parte de la configuración de la relación con el IdP, el administrador puede asignar cada grupo de IdP a un grupo de IAM definido de forma similar, para que su compañía pueda reutilizar las definiciones de grupos de IdP al autorizar el acceso de usuarios a recursos de Oracle Cloud Infrastructure. A continuación, se muestra una captura de pantalla del proceso de asignación:

Para obtener más información sobre el número de federaciones y asignaciones de grupo que puede tener, consulte Límites de servicio. No hay límite en el número de usuarios federados.

A continuación, se muestra una lista de los conceptos básicos con los que necesita estar familiarizado.

IDP

IdP es la abreviatura de proveedor de identidad, un servicio que proporciona credenciales de identificación y autenticación para los usuarios.

Los arrendamientos creados después del 18 de diciembre de 2017 están federados automáticamente con Oracle Identity Cloud Service como IdP. Oracle Cloud Infrastructure se puede federar con cualquier IdP que soporte el protocolo SAML (Security Assertion Markup Language) 2.0.

PROVEEDOR DE SERVICIOS (SP)

Un servicio (como una aplicación, un sitio web, etc.) que llama a un IdP para autenticar usuarios. En este caso, Oracle Cloud Infrastructure es el SP.

CONFIANZA DE FEDERACIÓN

Una relación que un administrador configura entre un IdP y un SP. Puede utilizar la consola o la API de Oracle Cloud Infrastructure para configurar esa relación. A continuación, el IdP específico se "federa" con ese SP. En la consola y la API, el proceso de federación se entiende como agregar un proveedor de identidad al arrendamiento.

DOCUMENTO DE METADATOS SAML

Documento basado en XML proporcionado por IdP que proporciona a un SP la información necesaria para federarse con ese IdP. Oracle Cloud Infrastructure soporta el protocolo SAML 2.0, que es un estándar basado en XML para compartir la información necesaria entre el IdP y el SP. Según el idP con el que se esté federando, debe proporcionar la dirección URL de metadatos (consulte a continuación) en este documento o cargar el documento en Oracle Cloud Infrastructure.

URL DE METADATOS

Dirección URL proporcionada por IdP que permite a un SP obtener la información necesaria para federar con ese IdP. Oracle Cloud Infrastructure soporta el protocolo SAML 2.0, que es un estándar basado en XML para compartir la información necesaria entre el IdP y el SP. La dirección URL de metadatos apunta al documento de metadatos SAML que necesita el SP.

USUARIO FEDERADO

Alguien que se conecte para utilizar la consola de Oracle Cloud Infrastructure por medio de un IdP federado.

USUARIO LOCAL

Un usuario no federado. Es decir, alguien que se conecte para utilizar la consola de Oracle Cloud Infrastructure con conexión y contraseña creados en Oracle Cloud Infrastructure.

ASIGNACIÓN DE GRUPO

Una asignación entre un grupo de IdP y un grupo de Oracle Cloud Infrastructure utilizada con fines de autorización de usuarios.

SCIM

SCIM (System for Cross-domain Identity Management) es un protocolo estándar IETF que permite el aprovisionamiento de usuarios entre sistemas de identidad. Oracle Cloud Infrastructure aloja un punto final de SCIM para aprovisionar usuarios federados a Oracle Cloud Infrastructure. El uso de un cliente SCIM para aprovisionar usuarios en Oracle Cloud Infrastructure le permite asignar credenciales a los usuarios en Oracle Cloud Infrastructure.

USUARIO APROVISIONADO (O SINCRONIZADO)

Usuario aprovisionado por el cliente SCIM del proveedor de identidad en Oracle Cloud Infrastructure. Estos usuarios se pueden mostrar en la consola de Oracle Cloud Infrastructure y pueden tener todas las credenciales de usuario de Oracle Cloud Infrastructure, excepto la contraseña de la consola.

Cifrar afirmación

Algunos IdP soportan el cifrado de la afirmación de SAML. Si se activa, el proveedor de servicios espera que el proveedor de identidad cifre la afirmación de SAML mediante la clave de cifrado de dicho proveedor. En este caso, el proveedor de servicios es un servicio de autenticación de Oracle Cloud Infrastructure. Si decide activar esta función de IdP, también debe activar la función al configurar el proveedor de federación en el servicio IAM. Tenga en cuenta que Microsoft AD FS activa el cifrado de la afirmación de SAML por defecto. Si su IdP es Microsoft AD FS, debe activar esta función en IAM o desactivarla para Microsoft AD FS.

Los usuarios federados pueden utilizar la consola para acceder a Oracle Cloud Infrastructure (según las políticas de IAM para los grupos en los que están los usuarios).

Se les solicitará que introduzcan su arrendatario de Oracle Cloud Infrastructure (por ejemplo, ABCCorp).

A continuación, se les muestra una página con dos juegos de instrucciones de conexión: una para usuarios federados y otra para usuarios no federados (de Oracle Cloud Infrastructure). Consulte la captura de pantalla siguiente.

El nombre del arrendatario se muestra a la izquierda. Justo debajo se encuentra el área de conexión para usuarios federados. A la derecha está el área de conexión para usuarios no federados.

Los usuarios federados seleccionan qué proveedor de identidad utilizar para la conexión y, a continuación, se les redirige a la experiencia de conexión del proveedor de identidad para su autenticación. Después de introducir su conexión y contraseña, el IdP los autentica y los redirige a la consola de Oracle Cloud Infrastructure.

Los usuarios federados (sin configuración de SCIM) no pueden acceder a la página "Configuración de usuario" en la consola. Esta es la página en la que un usuario puede cambiar o restablecer su contraseña de consola y gestionar otras credenciales de Oracle Cloud Infrastructure como claves de firma de API y tokens de autenticación.

Para agregar y gestionar proveedores de identidad en su arrendamiento, debe estar autorizado por una política de IAM. Si está en el grupo Administradores, tiene el acceso necesario.

A continuación, se muestra una política más limitada que restringe el acceso a los recursos relacionados con proveedores de identidad y asignaciones de grupo:

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Si desea obtener más información sobre la escritura de políticas para grupos u otros componentes de IAM, consulte Detalles de IAM sin dominios de identidad.

Para obtener instrucciones sobre la federación con otros proveedores de identidad, consulte lo siguiente:

Federación con Microsoft Active Directory

Federación con Microsoft Azure Active Directory

Oracle Cloud Infrastructure Okta Configuration for Federation and Provisioning (documento técnico)

Federación con proveedores de identidad SAML 2.0