Federación con Microsoft Active Directory

En este tema, se describe cómo federarse con Microsoft Active Directory mediante Servicios de federación de Microsoft Active Directory (AD FS).

Nota

Antes de seguir los pasos de este tema, consulte Federación con proveedores de identidad para asegurarse de que comprende los conceptos generales sobre federación.

Acerca de la federación con Microsoft Active Directory

La organización puede tener varias cuentas de Active Directory (por ejemplo, una para cada división de la organización). Puede federar varias cuentas de Active Directory con Oracle Cloud Infrastructure, pero cada confianza de federación que configure debe ser para una única cuenta de Active Directory.

Para federarse con Active Directory, debe configurar una confianza entre Active Directory y Oracle Cloud Infrastructure. Para configurar esta confianza, debe realizar algunos pasos en la consola de Oracle Cloud Infrastructure y otros en Servicios de federación de Active Directory.

A continuación, se muestra el proceso general que debe seguir un administrador para configurar la federación con Active Directory. Los detalles de cada paso se proporcionan en las siguientes secciones.

  1. Obtenga la información necesaria de Servicios de federación de Active Directory.
  2. Federe Active Directory con Oracle Cloud Infrastructure:

    1. Agregue el proveedor de identidad (AD FS) a su arrendamiento y proporcione la información necesaria.
    2. Asigne grupos de Active Directory a grupos de IAM.
  3. En Servicios de federación de Active Directory, agregue Oracle Cloud Infrastructure como usuario de confianza.
  4. En Servicios de federación de Active Directory, agregue las reglas de reclamación necesarias en la respuesta de autenticación de Oracle Cloud Infrastructure.
  5. Pruebe la configuración conectándose a Oracle Cloud Infrastructure con sus credenciales de Active Directory.

Federación con Active Directory

Requisitos

Ha instalado y configurado Servicios de federación de Microsoft Active Directory para su organización.

Ha configurado grupos de Active Directory para asignarlos a grupos de Oracle Cloud Infrastructure.

Consejo

Considere la posibilidad de nombrar los grupos de Active Directory que desea asignar a los grupos de Oracle Cloud Infrastructure con un prefijo común, a fin de facilitar la aplicación de una regla de filtro. Por ejemplo, OCI_Administrators, OCI_NetworkAdmins, OCI_InstanceLaunchers.

Paso 1: Obtenga la información necesaria de Servicios de federación de Active Directory

Resumen: Obtenga el documento de metadatos SAML y los nombres de los grupos de Active Directory que desea asignar a grupos de Oracle Cloud Infrastructure Identity and Access Management.

  1. Localice el documento de metadatos SAML para el servidor de federación de AD FS. Por defecto, está en esta URL:

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

    Descargue este documento y anote dónde lo ha guardado. Cargará este documento en la consola en el siguiente paso.

  2. Anote todos los grupos de Active Directory que desea asignar a grupos de Oracle Cloud Infrastructure IAM. Tendrá que introducirlos en la consola en el siguiente paso.

Paso 2: Agregue Active Directory como proveedor de identidad en Oracle Cloud Infrastructure

Resumen: Agregue el proveedor de identidad a su arrendamiento. Puede configurar las asignaciones de grupo al mismo tiempo o configurarlas posteriormente.

  1. Vaya a la consola y conéctese con su inicio de sesión y contraseña de Oracle Cloud Infrastructure.
  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.
  3. Haga clic en Agregar proveedor de identidad.
  4. Introduzca lo siguiente:

    1. Nombre mostrado: un nombre exclusivo para esta confianza de federación. Este es el nombre que ven los usuarios federados al seleccionar el proveedor de identidad que se debe utilizar al conectarse a la consola. El nombre debe ser único en todos los proveedores de identidad que agregue al arrendamiento. No se puede cambiar más adelante.
    2. Descripción: una descripción fácil de recordar.
    3. Tipo: seleccione Proveedor de identidad compatible con los Servicios de federación de Active Directory (ADFS) de Microsoft o con SAML 2.0.
    4. XML: Cargue el archivo FederationMetadata.xml que ha descargado de Azure AD.
    5. Haga clic en Mostrar Opciones Avanzadas.
    6. Cifrar afirmación: al seleccionar la casilla de control, el servicio IAM esperará el cifrado desde IdP. No active esta casilla de control a menos que haya activado el cifrado de afirmaciones en Azure AD.

      Para activar el cifrado de afirmaciones para esta aplicación de conexión única en Azure AD, configure el certificado de firma SAML en Azure AD para firmar la afirmación y respuesta SAML. Para obtener más información, consulte la documentación de Azure AD.

    7. Forzar autenticación: seleccionado por defecto. Cuando se selecciona esta opción, los usuarios deben proporcionar sus credenciales a IdP (volver a autenticarse) aunque ya estén conectados en otra sesión.
    8. Referencias de clase de contexto de autenticación: este campo es necesario para los clientes de Government Cloud. Cuando se especifican uno o más valores, Oracle Cloud Infrastructure (el usuario de confianza) espera que el proveedor de identidad utilice uno de los mecanismos de autenticación especificados al autenticar el usuario. La respuesta SAML que devuelve el IdP debe contener una sentencia de autenticación con esa referencia de clase de contexto de autenticación. Si el contexto de autenticación de respuesta de SAML no coincide con el especificado aquí, el servicio de autenticación de Oracle Cloud Infrastructure rechaza la respuesta SAML con un 400. En el menú, se muestran varias referencias de clase de contexto de autenticación comunes. Para utilizar una clase de contexto diferente, seleccione Personalizada y, a continuación, introduzca manualmente la referencia de clase.
    9. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
  5. Haga clic en Continuar.
  6. Configure las asignaciones entre los grupos de Active Directory y los grupos de IAM en Oracle Cloud Infrastructure. Un grupo de Active Directory determinado se puede asignar a cero, uno o varios grupos de IAM y viceversa. Sin embargo, cada asignación individual se realiza entre un solo grupo de Active Directory y un solo grupo de IAM. Los cambios en las asignaciones de grupo se aplicarán normalmente en cuestión de segundos en la región principal, pero pueden tardar varios minutos en propagarse a todas las regiones.

    Nota

    Si no desea configurar las asignaciones de grupo ahora, puede hacer clic en Crear y volver para agregarlas posteriormente.

    Para crear una asignación de grupo:

    1. En Grupo de proveedores de identidad, introduzca el nombre del grupo de Active Directory. Debe introducir el nombre de manera exacta, incluidas las mayúsculas y minúsculas.

      Seleccione el grupo de IAM que desea asignar a este grupo en la lista de Grupo de OCI.

      Consejo

      Requisitos para el nombre de grupo de IAM: sin espacios. Caracteres permitidos: letras, números, guiones, puntos, guiones bajos y signos más (+). El nombre no se puede cambiar posteriormente.
    2. Repita los pasos anteriores para cada asignación que desee crear y, a continuación, haga clic en Crear.

El proveedor de identidad queda agregado a su arrendamiento y aparece en la lista de la página Federación. Haga clic en el proveedor de identidad para ver sus detalles y las asignaciones de grupo que acaba de configurar.

Oracle asigna al proveedor de identidad y a cada asignación de grupo un ID único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.

En el futuro, vaya a la página Federación si desea editar las asignaciones de grupo o suprimir el proveedor de identidad de su arrendamiento.

Paso 3: Copie la URL del documento de metadatos de federación de Oracle Cloud Infrastructure

Resumen: La página Federación muestra un enlace al documento de metadatos de federación de Oracle Cloud Infrastructure. Antes de continuar con la configuración de los servicios de federación de Active Directory, debe copiar la URL.

  1. En la página Federación, haga clic en Descargar este documento.

  2. Copie la URL. La URL tiene un aspecto similar al siguiente:

    https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Paso 4: En Servicios de federación de Active Directory, agregue Oracle Cloud Infrastructure como usuario de confianza.

  1. Vaya a la consola de gestión de AD FS y conéctese a la cuenta que desea federar.
  2. Agregue Oracle Cloud Infrastructure como usuario de confianza:

    1. Desde la consola de gestión de AD FS, haga clic con el botón derecho en AD FS y seleccione Agregar veracidad del usuario de confianza.

    2. En el Asistente para agregar veracidad del usuario de confianza, haga clic en Iniciar.

    3. Seleccione Importar los datos sobre el usuario de confianza publicado en línea o en una red local.

      Pegue la URL de metadatos de federación de Oracle Cloud Infrastructure que ha copiado en el paso 3. Haga clic en Siguiente.

      AD FS se conectará a la URL. Si obtiene un error durante el intento de leer los metadatos de federación, puede optar por cargar el documento XML de metadatos de federación de Oracle Cloud Infrastructure.

      Para cargar el documento de metadatos de federación
      1. En un explorador web, pegue la URL de metadatos de federación de Oracle Cloud Infrastructure en la barra de direcciones.
      2. Guarde el documento XML en una ubicación a la que pueda acceder desde la consola de gestión de AD FS.
      3. En el paso Seleccionar origen de datos del Asistente para agregar veracidad del usuario de confianza, seleccione Importar datos sobre el usuario de confianza de un archivo.
      4. Haga clic en Examinar y seleccione el archivo metadata.xml que ha guardado.
      5. Haga clic en Siguiente.
    4. Defina el nombre mostrado para el usuario de confianza (por ejemplo, Oracle Cloud Infrastructure) y haga clic en Siguiente.

    5. Seleccione En este momento, no deseo establecer la configuración de autenticación multifactor para esta confianza de parte confiable.
    6. Seleccione las reglas de autorización de emisión adecuadas para permitir o denegar a todos los usuarios el acceso al usuario de confianza. Tenga en cuenta que si selecciona "Denegar", deberá agregar posteriormente las reglas de autorización para habilitar el acceso a los usuarios pertinentes.

      Haga clic en Siguiente.

    7. Revise los ajustes y haga clic en Siguiente.
    8. Marque Abrir el cuadro de diálogo Editar reglas de notificación para esta confianza de proveedores de notificaciones cuando el asistente se cierre y, a continuación, haga clic en Cerrar.

Paso 5: Agregar las reglas de reclamación para el usuario de confianza de Oracle Cloud Infrastructure

Resumen: Agregue las reglas de reclamación para que los elementos que necesita Oracle Cloud Infrastructure (ID de nombre y grupos) se agreguen a la respuesta de autenticación SAML.

Agregue la regla de ID de nombre:

  1. En el Asistente para agregar regla de notificación de transformación, seleccione Transformar una notificación entrante y haga clic en Siguiente.
  2. Introduzca lo siguiente:

    • Nombre de regla de reclamación: introduzca un nombre para esta regla, por ejemplo, nameid.
    • Tipo de notificación entrante: seleccione Nombre de cuenta de Windows.
    • Tipo de notificación saliente: seleccione ID de nombre.
    • Formato de id. de nombre saliente: seleccione Identificador persistente.
    • Seleccione Pasar a través todos los valores de notificaciones.
    • Haga clic en Terminar.
  3. La regla se muestra en la lista de reglas. Haga clic en Agregar regla.

Agregue la regla de grupos:

Importante

Los usuarios que estén en más de 100 grupos IdP no se pueden autenticar para utilizar InfrastructureConsole de Oracle Cloud. Para activar la autenticación, aplique un filtro a la regla de grupos, como se describe a continuación.
Si sus usuarios de Active Directory no están en más de 100 grupos

Agregue la regla de grupos:

  1. En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada. Haga clic en Siguiente.
  2. En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:

    1. Nombre de regla de notificación: introduzca los grupos.
    2. Regla personalizada: introduzca la siguiente regla personalizada:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
    3. Haga clic en Terminar.
Si sus usuarios de Active Directory están en más de 100 grupos

Agregue la regla de grupos con un filtro:

Para limitar los grupos enviados a Oracle Cloud Infrastructure, cree dos reglas de reclamación personalizadas. La primera recupera todos los grupos a los que pertenece el usuario de forma directa e indirecta. La segunda regla aplica un filtro para limitar los grupos transferidos al proveedor de servicios a aquellos que coincidan con los criterios de filtro.

Agregue la primera regla:

  1. En el cuadro de diálogo Editar reglas de notificación, haga clic en Agregar regla.
  2. En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada. Haga clic en Siguiente.
  3. En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:

    1. Nombre de regla de notificación: introduzca un nombre, por ejemplo, grupos.
    2. Regla personalizada: introduzca la siguiente regla personalizada:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

      Tenga en cuenta que en esta regla personalizada se utiliza add en lugar de issue. Este comando transfiere los resultados de la regla a la siguiente regla, en lugar de enviarlos al proveedor de servicios.

    3. Haga clic en Terminar.
  4. A continuación, agregue la regla de filtro.

    1. En el cuadro de diálogo Editar reglas de notificación, haga clic en Agregar regla.
    2. En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada. Haga clic en Siguiente.
    3. En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:

      1. Nombre de regla de notificación: introduzca los grupos.
      2. Regla personalizada: introduzca una regla de filtro adecuada. Por ejemplo, para enviar solo los grupos que empiecen por la cadena "OCI" , introduzca lo siguiente:

        c:[Type == "https://auth.oraclecloud.com/saml/claims/groupName", Value =~ "(?i)OCI"] => issue(claim = c);

        Esta regla filtra la lista de la primera regla solo con los grupos que empiezan por la cadena OCI. El comando issue envía los resultados de la regla al proveedor de servicios.

        Puede crear filtros con los criterios adecuados para su organización.

        Para obtener más información sobre la sintaxis de AD FS para las reglas personalizadas, consulte el documento de Microsoft: Understanding Claim Rule Language in AD FS 2.0 and Higher.

      3. Haga clic en Terminar.

Paso 6: Configure las políticas de IAM para los grupos

Si aún no lo ha hecho, configure las políticas de IAM para controlar el acceso que tienen los usuarios federados a los recursos de Oracle Cloud Infrastructure de su organización. Para obtener más información, consulte Introducción a las políticas y Políticas comunes.

Paso 7: Proporcione a los usuarios federados el nombre del arrendatario y la URL para conectarse

Proporcione a los usuarios federados la URL de la consola de Oracle Cloud Infrastructure, https://cloud.oracle.com y el nombre de su inquilino. Se les solicitará que proporcionen el nombre del arrendatario al conectarse a la consola.

Gestión de proveedores de Identidad en la consola

Para suprimir un proveedor de identidad

También se suprimirán todas las asignaciones de grupo para el proveedor de identidad.

  1. Suprima el proveedor de identidad de su arrendamiento:

    1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

      Se muestra una lista de los proveedores de identidad en el arrendamiento.

    2. Haga clic en el proveedor de identidad para ver sus detalles.
    3. Haga clic en Suprimir.
    4. Confirme cuando se le solicite.
Para agregar asignaciones de grupo para un proveedor de identidad
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

    Se muestra una lista de los proveedores de identidad en el arrendamiento.

  2. Haga clic en el proveedor de identidad para ver sus detalles.
  3. Haga clic Agregar asignaciones.

    1. En Grupo de proveedores de identidad, introduzca el nombre del grupo de Active Directory. El nombre que introduzca aquí debe coincidir exactamente con el nombre de Active Directory.
    2. Seleccione el grupo de IAM que desea asignar a este grupo en la lista de Grupo de OCI.

    3. Para agregar más asignaciones, haga clic en +Otra asignación.
    4. Cuando haya terminado, haga clic en Agregar asignaciones.

Normalmente, los cambios que efectúe se aplicarán en cuestión de segundos.

Para actualizar una asignación de grupo

No puede actualizar una asignación de grupo, pero puede suprimir la asignación y agregar una nueva.

Para suprimir una asignación de grupo
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

    Se muestra una lista de los proveedores de identidad en el arrendamiento.

  2. Haga clic en el proveedor de identidad para ver sus detalles.
  3. Seleccione la asignación que desee suprimir y, a continuación, haga clic en Suprimir.
  4. Confirme cuando se le solicite.

Normalmente, los cambios que efectúe se aplicarán en cuestión de segundos.

Gestión de proveedores de identidad en la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice estas operaciones de API:

Proveedores de identidad: Asignaciones de grupo: