Federación con Microsoft Active Directory

En este tema, se describe cómo federarse con Microsoft Active Directory mediante Servicios de federación de Microsoft Active Directory (AD FS).

Nota

Antes de seguir los pasos de este tema, consulte Federación con proveedores de identidad para asegurarse de que comprende los conceptos generales sobre federación.

Acerca de la federación con Microsoft Active Directory

La organización puede tener varias cuentas de Active Directory (por ejemplo, una para cada división de la organización). Puede federar varias cuentas de la compañía Active Directory con Oracle Cloud Infrastructure, pero cada confianza de federación que configure debe ser para una única cuenta de la compañía Active Directory.

Para federarse con Active Directory, debe configurar una confianza entre Active Directory y Oracle Cloud Infrastructure. Para configurar esta confianza, debe realizar algunos pasos en la consola de Oracle Cloud Infrastructure y algunos pasos en los servicios de federación de Active Directory.

A continuación, se muestra el proceso general que debe seguir un administrador para configurar la federación con Active Directory. Los detalles de cada paso se proporcionan en las siguientes secciones.

Obtenga la información necesaria de Servicios de federación de Active Directory.
Federe Active Directory con Oracle Cloud Infrastructure:
1. Agregue el proveedor de identidad (AD FS) a su arrendamiento y proporcione la información necesaria.
2. Asigne los grupos de Active Directory a grupos de IAM.
En los servicios de federación de Active Directory, agregue Oracle Cloud Infrastructure como usuario de confianza.
En los servicios de federación de Active Directory, agregue las reglas de reclamación necesarias en la respuesta de autenticación de Oracle Cloud Infrastructure.
Pruebe la configuración; para ello, conéctese a Oracle Cloud Infrastructure con sus credenciales deActive Directory.

Federación con Active Directory

Requisitos

Ha instalado y configurado Servicios de federación de Microsoft Active Directory para su organización.

Ha configurado grupos de Active Directory para asignarlos a grupos de Oracle Cloud Infrastructure.

Tip

Consider naming Active Directory groups that you intend to map to Oracle Cloud Infrastructure groups with a common prefix, to make it easy to apply a filter rule. Por ejemplo, OCI_Administrators, OCI_NetworkAdmins, OCI_InstanceLaunchers.

Paso 1: Obtenga la información necesaria del servicio de federaciones de Active Directory

Resumen: obtenga el documento y los nombres de los grupos de metadatos SAML y Active Directory que desea asignar a grupos de de Oracle Cloud Infrastructure Identity and Access Management.

Localice el documento de metadatos SAML para el servidor de federación de AD FS. Por defecto, está en esta URL:
```
https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml
```
Descargue este documento y anote dónde lo ha guardado. Cargará este documento a la consola en el siguiente paso.
Anote todos los grupos de la base de datos de Active Directory que desea asignar a grupos de la base de datos de Oracle Cloud Infrastructure IAM. Tendrá que introducirlos en la consola en el siguiente paso.

Paso 2: Agregue Active Directory como proveedor de identidad en Oracle Cloud Infrastructure

Resumen: Agregue el proveedor de identidad a su arrendamiento. Puede configurar las asignaciones de grupo al mismo tiempo o configurarlas posteriormente.

Vaya a la consola y conéctese con su contraseña y conexión de Oracle Cloud Infrastructure.
Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Federación.
Seleccione Agregar proveedor de identidad.
Introduzca lo siguiente:
1. Nombre mostrado: un nombre exclusivo para esta confianza de federación. Este es el nombre de los usuarios federados al seleccionar qué proveedor de identidad se va a utilizar al conectarse a la consola. El nombre debe ser único en todos los proveedores de identidad que agregue al arrendamiento. No se puede cambiar más adelante.
2. Descripción: una descripción fácil de recordar.
3. Tipo: seleccione Proveedor de identidad compatible con los Servicios de federación de Active Directory (ADFS) de Microsoft o con SAML 2.0.
4. XML: Cargue el archivo FederationMetadata.xml que ha descargado de Azure AD.
5. Seleccione Mostrar opciones avanzadas.
6. Cifrar afirmación: al seleccionar la Casilla de Control, el servicio IAM esperará el cifrado desde IdP. No active esta casilla de verificación a menos que haya activado el cifrado de afirmaciones en Azure AD.
  
  Para activar el cifrado de afirmaciones para esta aplicación de conexión única en Azure AD, configure el certificado de firma SAML en Azure AD para firmar la afirmación y respuesta SAML. Para obtener más información, consulte la documentación de Azure AD.
7. Forzar autenticación: seleccionado por defecto. Cuando se selecciona esta opción, los usuarios deben proporcionar sus credenciales a IdP (volver a autenticarse) aunque ya estén conectados en otra sesión.
8. Referencias de clase de contexto de Autenticación: este campo es necesario para los clientes de Government Cloud. Cuando se especifican uno o más valores, Oracle Cloud Infrastructure (la parte de confianza) espera de que el proveedor del identidad utilice uno de los mecanismos especificados al autenticar el usuario. La respuesta SAML que devuelve el IdP debe contener una sentencia de autenticación con esa referencia de clase de contexto de autenticación. Si el contexto para la respuesta de SAML no coincide con lo especificado aquí, el servicio de autentificación de Oracle Cloud Infrastructure rechaza la respuesta SAML con un 400. En el menú, se muestran varias referencias de clase de contexto de autenticación comunes. Para utilizar una clase de contexto diferente, seleccione Personalizada y, a continuación, introduzca manualmente la referencia de clase.
9. Si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta defined, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
Seleccione Continuar.
Configure las asignaciones entre grupos de Active Directory y grupos de IAM en Oracle Cloud Infrastructure. Un grupo determinado de Active Directory se puede asignar a cero, uno o varios grupos de la IAM y viceversa. Sin embargo, cada asignación individual se realiza entre un solo grupo de los Active Directory y un solo grupo de los IAM. Los cambios en las asignaciones de grupo se aplicarán normalmente en cuestión de segundos en la región principal, pero pueden tardar varios minutos en propagarse a todas las regiones.

Nota

Si no desea configurar las asignaciones de grupo ahora, simplemente puede seleccionar Crear y volver para agregarlas posteriormente.

Para crear una asignación de grupo:
1. En Grupo de proveedores de identidad, introduzca el nombre del grupo de Active Directory. Debe introducir el nombre de manera exacta, incluidas las mayúsculas y minúsculas.
  
  Seleccione el grupo de IAM al que desea asignar este grupo en la lista de Grupo de OCI.
  
  Consejo
  
  Requisitos para el nombre del grupo de IAM: sin espacios. Caracteres permitidos: letras, números, guiones, puntos, guiones bajos y signos más (+). El nombre no se puede cambiar posteriormente.
2. Repita los pasos anteriores para cada asignación que desee crear y, a continuación, seleccione Crear.

El proveedor de identidad queda agregado a su arrendamiento y aparece en la lista de la página Federación. Seleccione el proveedor de identidad para ver sus detalles y las asignaciones de grupo que acaba de configurar.

Oracle asigna al proveedor de identidad y a cada asignación de grupo un ID único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.

En el futuro, vaya a la página Federación si desea editar las asignaciones de grupo o suprimir el proveedor de identidad de su arrendamiento.

Paso 3: Copie la URL del documento de metadatos de federación de Oracle Cloud Infrastructure

Resumen: La página Federación muestra un enlace al documento de metadatos de federación de Oracle Cloud Infrastructure. Antes de continuar con la configuración de los servicios de federación de Active Directory, debe copiar la URL.

En la página Federación, seleccione Descargar este documento.

Copie la URL. La URL tiene un aspecto similar al siguiente:

https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Paso 4: En servicios de federación de Active Directory, agregue Oracle Cloud Infrastructure como usuario de confianza.

Vaya a la consola de gestión de AD FS y conéctese a la cuenta que desea federar.
Agregue Oracle Cloud Infrastructure como usuario de confianza:
1. Desde la consola de gestión de AD FS, haga clic con el botón derecho en AD FS y seleccione Agregar veracidad del usuario de confianza.
2. En el Asistente para agregar veracidad del servicio de confianza, seleccione Iniciar.
3. Seleccione Importar los datos sobre el usuario de confianza publicado en línea o en una red local.
  
  Pegue la URL de metadatos de federación de Oracle Cloud Infrastructure que ha copiado en el paso 3. Seleccione Next (Siguiente).
  
  AD FS se conectará a la URL. Si obtiene un error durante el intento de leer los metadatos de federación, puede optar por cargar el documento XML de metadatos de federación de Oracle Cloud Infrastructure.
  Para cargar el documento de metadatos de federación
  En un explorador web, pegue la URL de metadatos de federación de Oracle Cloud Infrastructure en la barra de direcciones.
  
  Guarde el documento XML en una ubicación a la que pueda acceder desde la consola de gestión de AD FS.
  
  En el paso Seleccionar origen de datos del Asistente para agregar veracidad del usuario de confianza, seleccione Importar datos sobre el usuario de confianza de un archivo.
  
  Seleccione Examinar y seleccione el archivo metadata.xml que ha guardado.
  
  Seleccione Next (Siguiente).
4. Defina el nombre mostrado para el usuario de base (por ejemplo, Oracle Cloud Infrastructure) y, a continuación, seleccione Siguiente.
5. Seleccione No deseo configurar los valores de autenticación multifactores para esta confianza de parte de confianza en este momento.
6. Seleccione las reglas de autorización de emisión adecuadas para permitir o denegar a todos los usuarios el acceso al usuario de confianza. Tenga en cuenta que si selecciona "Denegar", deberá agregar posteriormente las reglas de autorización para habilitar el acceso a los usuarios pertinentes.
  
  Seleccione Next (Siguiente).
7. Revise la configuración y seleccione Siguiente.
8. Marque Abrir el recuadro de diálogo Editar Reglas de Reclamación para esta confianza de partes de confianza cuando el asistente se cierre y, a continuación, seleccione Cerrar.

Paso 5: Agregar las reglas de reclamación para el usuario de federación de Oracle Cloud Infrastructure

Resumen: Agregue las reglas del reclamo para que los elementos que necesita Oracle Cloud Infrastructure (ID de nombres y grupos) se agreguen a la respuesta del autenticación SAML.

Agregue la regla de ID de nombre:

En el Asistente para añadir regla de notificación de transformación, seleccione Transformar una notificación entrante y haga clic en Siguiente .
Introduzca lo siguiente:
- Nombre de regla de reclamación: introduzca un nombre para esta regla, por ejemplo, nameid.
- Tipo de notificación entrante: seleccione Nombre de cuenta de Windows.
- Tipo de notificación saliente: seleccione ID de nombre.
- Formato de ID de nombre saliente: seleccione Identificador persistente.
- Seleccione Pasar a través todos los valores de notificaciones.
- Haga clic en Terminar.
La regla se muestra en la lista de reglas. Seleccione Agregar regla.

Agregue la regla de grupos:

Importante

Los usuarios que estén en más de100 grupos de IdP no se pueden autenticar para utilizar Oracle Cloud InfrastructureConsole. Para activar la autenticación, aplique un filtro a la regla de grupos, como se describe a continuación.

Si sus usuarios de Active Directory no están en más de 100 grupos

Agregue la regla de grupos:

En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada. Seleccione Next (Siguiente).

En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:

Nombre de regla de notificación: introduzca los grupos.

Regla personalizada: introduzca la siguiente regla personalizada:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

Haga clic en Terminar.

Si sus usuarios de Active Directory están en más de 100 grupos

Agregue la regla de grupos con un filtro:

Para limitar los grupos enviados a Oracle Cloud Infrastructure, cree dos reglas de reclamación personalizadas. La primera recupera todos los grupos a los que pertenece el usuario de forma directa e indirecta. La segunda regla aplica un filtro para limitar los grupos transferidos al proveedor de servicios a aquellos que coincidan con los criterios de filtro.

Agregue la primera regla:

En el cuadro de diálogo Editar reglas de reclamación, seleccione Agregar regla.
En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada. Seleccione Next (Siguiente).
En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:
1. Nombre de regla de notificación: introduzca un nombre, por ejemplo, grupos.
2. Regla personalizada: introduzca la siguiente regla personalizada:
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
```
  Tenga en cuenta que en esta regla personalizada se utiliza add en lugar de issue. Este comando transfiere los resultados de la regla a la siguiente regla, en lugar de enviarlos al proveedor de servicios.
3. Haga clic en Terminar.
A continuación, agregue la regla de filtro.
1. En el cuadro de diálogo Editar reglas de reclamación, seleccione Agregar regla.
2. En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada. Seleccione Next (Siguiente).
3. En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:
  1. Nombre de regla de notificación: introduzca los grupos.
  2. Regla personalizada: introduzca una regla de filtro adecuada. Por ejemplo, para enviar solo los grupos que empiecen por la cadena "OCI" , introduzca lo siguiente:
```
c:[Type == "https://auth.oraclecloud.com/saml/claims/groupName", Value =~ "(?i)OCI"] => issue(claim = c);
```
    Esta regla filtra la lista de la primera regla solo con los grupos que empiezan por la cadena OCI. El comando issue envía los resultados de la regla al proveedor de servicios.
    
    Puede crear filtros con los criterios adecuados para su organización.
    
    Para obtener más información sobre la sintaxis de AD FS para las reglas personalizadas, consulte el documento de Microsoft: Understanding Claim Rule Language in AD FS 2.0 and Higher.
  3. Haga clic en Terminar.

Paso 6: Configure las políticas de IAM para los grupos

Si aún no lo ha hecho, configure políticas de IAM para controlar el acceso que tienen las personas federadas a los recursos de Oracle Cloud Infrastructure de su organización. Para obtener más información, consulte Introducción a las políticas y Políticas comunes.

Paso 7: Proporcione a los usuarios federados el nombre del arrendatario y la URL para conectarse

Proporcione a los usuarios federados la URL de la consola de Oracle Cloud Infrastructure, https://cloud.oracle.com y el nombre de su inquilino. Se les solicitará que proporcionen el nombre del arrendatario al conectarse a la consola.

Gestión de proveedores de Identidad en la consola

Para agregar un proveedor de identidad:

Consulte Acerca de la federación con Microsoft Active Directory.

Para suprimir un proveedor de identidad

También se suprimirán todas las asignaciones de grupo para el proveedor de identidad.

Suprima el proveedor de identidad de su arrendamiento:
1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Federación.
  
  Se muestra una lista de los proveedores de identidad en el arrendamiento.
2. Seleccione el proveedor de identidad para ver sus detalles.
3. Seleccione Suprimir.
4. Confirme cuando se le solicite.

Para agregar asignaciones de grupo para un proveedor de identidad

Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Federación.

Se muestra una lista de los proveedores de identidad en el arrendamiento.
Seleccione el proveedor de identidad para ver sus detalles.
Seleccione Agregar asignaciones.
1. En Grupo de proveedores de identidad, introduzca el nombre del grupo de Active Directory. El nombre que introduzca aquí debe coincidir exactamente con el nombre de Active Directory.
2. Seleccione el grupo de IAM al que desea asignar este grupo en la lista de Grupo de OCI.
3. Para agregar más asignaciones, seleccione +Another Mapping.
4. Cuando haya terminado, seleccione Agregar asignaciones.

Normalmente, los cambios que efectúe se aplicarán en cuestión de segundos.

Para actualizar una asignación de grupo

No puede actualizar una asignación de grupo, pero puede suprimir la asignación y agregar una nueva.

Para suprimir una asignación de grupo

Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Federación.

Se muestra una lista de los proveedores de identidad en el arrendamiento.
Seleccione el proveedor de identidad para ver sus detalles.
Seleccione la asignación que desee suprimir y, a continuación, seleccione Suprimir.
Confirme cuando se le solicite.

Normalmente, los cambios que efectúe se aplicarán en cuestión de segundos.

Gestión de proveedores de identidad en la API

Para obtener información sobre el uso de la API y las solicitudes de firma, consulte la documentación de la API de REST y las Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice estas operaciones de API:

Proveedores de identidad:

CreateIdentityProvider
ListIdentityProviders
GetIdentityProvider
UpdateIdentityProvider
DeleteIdentityProvider: para poder utilizar esta operación, primero debe utilizar DeleteIdpGroupMapping para eliminar todas las asignaciones de grupo del proveedor de identidad.

Asignaciones de grupo:

CreateIdpGroupMapping: cada asignación de grupo es una entidad independiente con su propio OCID.
ListIdpGroupMappings
GetIdpGroupMapping
UpdateIdpGroupMapping
DeleteIdpGroupMapping

Documentación de Oracle Cloud Infrastructure