Documentación de Oracle Cloud Infrastructure

Adición de un proveedor de identidad justo a tiempo de SAML

Configure un proveedor de identidad SAML (IdP) que utilice el aprovisionamiento justo a tiempo (JIT) para un dominio de identidad en IAM.

  1. En la página de lista Dominios, seleccione el dominio en el que desea realizar cambios. Si necesita ayuda para buscar la página de lista del dominio, consulte Lista de dominios de identidad.
  2. En la página de detalles, según las opciones que vea, realice una de las siguientes acciones:
    • seleccione Federación, o
    • seleccione Seguridad y, a continuación, seleccione Proveedores de identidad. Se muestra una lista de proveedores de identidad en el dominio.
  3. Seleccione el nombre de un proveedor de identidad.
  4. En la página de detalles, seleccione Configurar JIT.
  5. Seleccione Activar aprovisionamiento Just-in-Time (JIT).
  6. Seleccione una de las opciones siguientes:
    • Crear un nuevo usuario de dominio de identidad: cree un usuario de identidad en el dominio de identidad si el usuario no existe al conectarse con el proveedor de identidad.
    • Actualizar el usuario de dominio de identidad existente: fusione y sobrescriba los datos de cuenta de usuario de dominio de identidad de la IdP asignada. Los datos existentes los sobrescriben los datos de usuario de IdP.
    Nota

    Para activar JIT, debe seleccionar una de estas opciones.
  7. En el área Asignar atributos de usuario, asigne una cuenta de usuario de IdP a una cuenta de usuario del dominio de identidad.
    1. Seleccione un valor en la fila Tipo de atributo de usuario IdP.
      • Si selecciona Atributo, introduzca el nombre de atributo de usuario IdP.
      • Si selecciona NameID, no necesita introducir el nombre de atributo de usuario IdP.
    2. (Opcional) Seleccione el atributo de usuario de dominio de identidad.
    3. (Opcional) Agregue más atributos de dominio de identidad.
  8. Para activar la asignación de grupos, seleccione Asignar asignación de grupos.
    Nota

    Si activa la asignación de grupos, continúe con el siguiente paso. Si no es así, vaya directamente al paso 10.
  9. En Nombre de atributo de miembros de grupo, introduzca el nombre del atributo IdP que contiene los miembros de grupo.
  10. Para importar la configuración de grupo, seleccione una de las siguientes opciones:
    • Definir asignación de grupo explícita: esta opción requiere que proporcione el nombre de grupo que se asignará entre IdP y el dominio de identidad. Si selecciona esta opción, introduzca el nombre del grupo IdP y seleccione un nombre de grupo de dominio de identidad disponible.
    • Asignar asignación de grupo implícita: esta opción asigna un grupo IdP a un grupo de dominio de identidad que tenga el mismo nombre. No es necesaria otra acción.
  11. (Opcional) Para asignar miembros del grupo desde el dominio de identidad, seleccione Asignar miembros del grupo de dominios y, a continuación, realice los siguientes pasos:
    1. Seleccione Agregar grupo.
    2. Seleccione los grupos que desea agregar y, a continuación, seleccione Agregar grupos.
  12. En Reglas de asignación, especifique las acciones que se deben realizar al asignar memeberships de grupo:
    • Si los usuarios están asignados a grupos existentes, seleccione si desea fusionar con los miembros de grupo existentes o sustituir los existentes.
  13. Cuando no se encuentra un grupo, seleccione realizar una de las siguientes acciones:
    • Ignorar el grupo que falta: el usuario se conecta correctamente.
    • Fallo de toda la solicitud: el intento de conexión falla.
  14. Seleccione Guardar cambios.
  15. (Opcional) Active IdP antes de agregarlo a cualquier política. Para obtener más información, consulte Activación o desactivación de un proveedor de identidad.