Aprovisionamiento de usuarios para usuarios federados

En este tema, se describe cómo puede utilizar SCIM para aprovisionar usuarios federados en Oracle Cloud Infrastructure. Los usuarios federados aprovisionados pueden tener claves de API y otras credenciales específicas del servicio.

Visión general

SCIM (System for Cross-domain Identity Management) es un protocolo estándar IETF que permite el aprovisionamiento de usuarios entre sistemas de identidad. Oracle Cloud Infrastructure aloja un punto final de SCIM para aprovisionar usuarios federados a Oracle Cloud Infrastructure. Si su IdP es Oracle Identity Cloud Service u Okta, puede configurar el aprovisionamiento de usuarios de SCIM.

Después de configurar la integración de SCIM entre su IdP y Oracle Cloud Infrastructure, los usuarios que pertenecen a grupos asignados a grupos de Oracle Cloud Infrastructure se aprovisionan automáticamente en Oracle Cloud Infrastructure. A los usuarios aprovisionados se les asigna un OCID único y pueden tener claves de API y otras credenciales específicas del servicio.

Los usuarios federados aprovisionados soportan la siguiente funcionalidad:

  • A los usuarios aprovisionados se les asigna un OCID único
  • Los usuarios aprovisionados pueden tener claves de API, tokens de autenticación y otras credenciales específicas del servicio
  • Puede mostrar los usuarios en la consola
  • Los usuarios aprovisionados pueden acceder a la página Configuración de usuario para ver y gestionar estas credenciales para ellos mismos.
  • Al agregar o eliminar usuarios a grupos asignados de Oracle Cloud Infrastructure en IdP, las actualizaciones se sincronizan automáticamente con Oracle Cloud Infrastructure

Descripción de los tipos de usuario

La configuración de SCIM introduce el concepto del usuario aprovisionado o sincronizado. Las siguientes descripciones proporcionan detalles para ayudarle a comprender los tipos de usuario que va a gestionar.

  • Usuarios federados

    Un usuario federado se crea y gestiona en un proveedor de identidad. Los usuarios federados se pueden conectar a la consola mediante una contraseña gestionada en su proveedor de identidad. A los usuarios federados se les otorga acceso a Oracle Cloud Infrastructure según su condición de miembro en los grupos asignados a grupos de Oracle Cloud Infrastructure.

  • Usuarios aprovisionados (o sincronizados)

    Un usuario sincronizado está aprovisionado sistemáticamente por el proveedor de identidad en Oracle Cloud Infrastructure. Los usuarios sincronizados pueden tener credenciales de Oracle Cloud Infrastructure, pero no contraseñas de consola. Al mostrar los usuarios en la consola, puede identificar los usuarios sincronizados mediante el filtro Tipo de usuario.

  • Usuarios locales

    Un usuario local es un usuario creado y gestionado en el servicio IAM de Oracle Cloud Infrastructure. Los arrendamientos federados normalmente tendrán pocos usuarios locales, de haberlos. Al mostrar usuarios en la consola, puede identificar a los usuarios locales mediante el filtro Tipo de usuario.

En el siguiente gráfico, se resumen las características de los tipos de usuario:

En esta imagen se resumen las características de los tipos de usuario.

¿Quién debe configurar esta integración?

Configure esta integración si su IdP es Oracle Identity Cloud Service u Okta y los usuarios federados necesitan tener las credenciales especializadas que requieren algunos servicios y funciones. Por ejemplo, si necesita que los usuarios federados accedan a Oracle Cloud Infrastructure mediante el SDK o la CLI, la configuración de esta integración permite a estos usuarios obtener las claves de API necesarias para este acceso.

Requisito

Realice esta configuración de sincronización después de configurar correctamente una federación entre su IdP y Oracle Cloud Infrastructure. Consulte Proveedores de identidad soportados.

Activación del aprovisionamiento de usuarios

Instrucciones para las federaciones de Oracle Identity Cloud Service

Si su proveedor de identidad es Oracle Identity Cloud Service, debe realizar una actualización única.

Importante

Si su arrendamiento se ha creado el 21 de diciembre de 2018 o una fecha posterior, su arrendamiento está configurado automáticamente para aprovisionar a los usuarios de Oracle Identity Cloud Service en Oracle Cloud Infrastructure. No necesita realizar los pasos de este tema. Consulte Descripción de tipos de usuario y Gestión de capacidades de usuario para usuarios federados para obtener más información sobre la gestión de usuarios federados.
Actualización de la federación de Oracle Identity Cloud Service

Si la federación con el servicio Oracle Identity Cloud se efectuó antes del 21 de diciembre de 2018, realice esta tarea de actualización única.

Para actualizar la federación de Oracle Identity Cloud Service:

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

    Se muestra una lista de los proveedores de identidad en el arrendamiento.

  2. Haga clic en la federación de Identity Cloud Service para ver sus detalles. Si su arrendamiento se ha federado automáticamente, se mostrará como OracleIdentityCloudService.
  3. Haga clic en Editar asignación.
  4. Cuando se le solicite, proporcione el ID del cliente y el secreto del cliente para la aplicación Oracle Identity Cloud Service y, a continuación, haga clic en Continuar.

    ¿Dónde puedo encontrar el ID de cliente y el secreto de cliente?

    El ID y el secreto de cliente se almacenan en Oracle Identity Cloud Service. Para obtener esta información:

      1. Conéctese a la consola de Oracle Identity Cloud Service.
      2. En la consola de Identity Cloud Service, haga clic en Aplicaciones. Se muestra la lista de aplicaciones de confianza.
      3. Haga clic en COMPUTEBAREMETAL.
      4. Haga clic en Configuración.
      5. Amplíe Información general. Se muestra el ID de cliente. Haga clic en Mostrar secreto para mostrar el secreto de cliente.

        En la captura de pantalla se muestra la clave secreta de cliente en la consola de Oracle Identity Cloud Service

Espere varios minutos a que se apliquen los cambios.

Instrucciones para las federaciones con Okta

Si no tiene actualmente una federación con Okta, siga las instrucciones de la documentación técnica Oracle Cloud Infrastructure Okta Configuration for Federation and Provisioning. En este documento, se incluyen instrucciones para configurar la federación y el aprovisionamiento con SCIM.

Si tiene una federación con Okta con asignaciones de grupo que desea mantener, puede agregar aprovisionamiento de SCIM de la siguiente forma:

  1. En Okta, suprima la aplicación SAML existente que configuró originalmente para federar con Oracle Cloud Infrastructure.
  2. Configure una nueva aplicación SAML en Okta según las instrucciones del documento técnico Oracle Cloud Infrastructure Okta Configuration for Federation and Provisioning, con las siguientes excepciones:

    • Omita los pasos para Agregar proveedor de identidad a Oracle Cloud Infrastructure (ya tiene este recurso en Oracle Cloud Infrastructure).
    • En su lugar, haga clic en Editar proveedor de identidad y cargue el nuevo documento metadata.xml desde la nueva aplicación Okta que ha creado.
    • A continuación, en Oracle Cloud Infrastructure, asegúrese de Restaurar credenciales. Agregue el nuevo ID y secreto de cliente a la página de configuración de integración de API en Okta (paso 7 en el documento técnico).

Qué se debe esperar después de la actualización

Cuando el sistema haya tenido tiempo para sincronizarse, podrá gestionar las capacidades de usuario para usuarios federados en la consola. Los usuarios que pertenecen a un grupo asignado a un grupo de Oracle Cloud Infrastructure se muestran en la página Usuarios de la consola. Siempre que agregue nuevos usuarios a grupos asignados en Oracle Identity Cloud Service, estarán disponibles en la consola después de que se sincronice el sistema.

Por defecto, están activadas las siguientes capacidades de usuario:

  • Claves de API
  • Tokens de autenticación
  • Credenciales SMTP
  • Claves secretas de cliente

Tenga en cuenta que no puede activar una contraseña local. La contraseña de la consola de Oracle Cloud Infrastructure aún se gestiona solamente en su IdP.

Para obtener más información sobre las capacidades de usuario, consulte Gestión de capacidades de usuario para usuarios federados.

Restablecimiento de credenciales

Utilice el botón Restaurar credenciales para restablecer sus credenciales de cliente SCIM. Puede realizar esta tarea periódicamente como medida de seguridad para rotar sus credenciales. Una vez que haya restablecido estas credenciales, deberá actualizar la aplicación SAML en su proveedor de identidad con las nuevas credenciales.

Nota: Si su IdP es Oracle Identity Cloud Service, Oracle Cloud Infrastructure restablece automáticamente las credenciales con Oracle Identity Cloud Service. No necesita restablecer manualmente la configuración.

Acciones que sigue realizando en el proveedor de identidad

Una vez configurada la integración, continúe realizando las siguientes acciones en su IdP:

  • Crear usuarios y asignarlos a grupos.

  • Suprimir usuarios.

    Los usuarios que suprima de su IdP, se eliminarán de Oracle Cloud Infrastructure cuando termine el siguiente ciclo de sincronización.

  • Consultar afiliación a grupo
  • Gestionar contraseñas de conexión de usuarios.