Documentación de Oracle Cloud Infrastructure

Aprovisionamiento JIT de ADFS a OCI IAM

En este tutorial, configurará el aprovisionamiento justo a tiempo (JIT) entre OCI y Microsoft ADFS, donde ADFS actúa como IdP.

Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino durante el tiempo de ejecución, a medida que realizan una solicitud para acceder al sistema de destino.

En este tutorial se tratan los siguientes pasos:

  1. Actualice las configuraciones del usuario de confianza en ADFS.
  2. Actualice el ADFS IdP en OCI IAM para JIT.
  3. Pruebe que puede aprovisionar usuarios desde ADFS a OCI IAM.
Nota

Este tutorial es específico de IAM con dominios de identidades.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de pruebas de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Instalación de ADFS.
    Nota

    En este tutorial se describe el uso del software ADFS proporcionado con Microsoft Windows Server 2016 R2.
  • Además, debe verificar que:
    • El mismo usuario existe en OCI y ADFS.
    • ADFS funciona.
1. Actualización de las Configuraciones de Usuarios de Confianza de Confianza en ADFS
  1. Abra la utilidad de gestión de ADFS. Por ejemplo, en la utilidad Windows 2016 Server Manager, seleccione Tools (Herramientas) y, a continuación, seleccione Microsoft Active Directory Federation Services Management.
  2. En ADFS, seleccione Fideicomisos de parte de confianza.
  3. Haga clic con el botón derecho en Relying Partying Trust que ha configurado anteriormente para OCI denominado OCI IAM en el tutorial SSO entre OCI y ADFS.
  4. Seleccione Editar política de emisión de reclamación.
  5. Edite la reclamación por correo electrónico para agregar tres reglas de reclamación adicionales para Nombre, Apellidos y Grupo.

    Atributo de nombre:

    • Atributo LDAP: Given-Name
    • Tipo de reclamación saliente: Given Name

    Atributo de apellido:

    • Atributo LDAP: Surname
    • Tipo de reclamación saliente: Surname

    Atributo del grupo:

    • Atributo LDAP: Token-Groups - Unqualified Names
    • Tipo de reclamación saliente: Group
  6. Seleccione Aceptar en la página de reglas y, a continuación, vuelva a Aceptar.

Puede agregar atributos adicionales que se ajusten a los requisitos de su negocio, pero solo los necesita para este tutorial.

2. Actualización de ADFS IdP en OCI IAM

En la consola de OCI IAM, configure el ADFS IdP para JIT.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de Cloud, también conocido como su nombre de arrendamiento, y seleccione Siguiente.
  3. Seleccione el dominio de identidad que se utilizará para configurar SSO.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y seleccione Identidad y seguridad.
  6. En Identidad, seleccione Dominios.
  7. Seleccione el dominio de identidad en el que ya ha configurado ADFS como IdP en el paso 1 del tutorial "SSO entre OCI y ADFS".
  8. Seleccione Seguridad en el menú de la izquierda y, a continuación, Proveedores de identidad.
  9. Seleccione el ADFS IdP.
    Nota

    Este es el ADFS IdP que ha creado como parte del tutorial SSO entre OCI y ADFS.
  10. En la página IdP de ADFS, seleccione Configurar JIT.
  11. En la página Configurar aprovisionamiento Just-In-Time (JIT):
    • Seleccione Activar aprovisionamiento Just-In-Time (JIT).
    • Seleccione Create a new identity domain user.
    • Seleccione Actualizar Usuario de Dominio de Identidad Existente.

    activar aprovisionamiento justo a tiempo

  12. En Asignar atributos de usuario:
    1. Deje la primera fila para NameID sin cambios.
    2. Para otros atributos, en IdP atributo de usuario, seleccione Attribute.
    3. Proporcione el nombre de atributo de usuario IdP de la siguiente forma:
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Seleccione Agregar fila:
      • En IdP atributo de usuario, seleccione Attribute.
      • Para el nombre de atributo de usuario IdP, introduzca http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Asignación de atributos entre ADFS y OCI IAM

  13. Seleccione Asignar asignación de grupo.
  14. Introduzca el nombre de atributo de miembros del grupo. Utilice http://schemas.xmlsoap.org/claims/Group.
  15. Seleccione Definir asignaciones de miembros del grupo explícitas.
  16. En IdP, el nombre de grupo se asigna al nombre de grupo de dominio de identidad, haga lo siguiente:
    • En IdP Nombre de grupo, proporcione el nombre del grupo en ADFS que estará presente en la afirmación de SAML enviada por ADFS.
    • En Nombre de grupo de dominios de identidad, en OCI IAM, seleccione el grupo de OCI IAM que se va a asignar al grupo correspondiente en ADFS.

      Asignar asignaciones de grupo

  17. En Reglas de asignación, seleccione lo siguiente:
    1. Al asignar afiliaciones a grupos: Fusionar con afiliaciones a grupos existentes
    2. Cuando no se encuentre un grupo: Ignore the missing group
    Nota

    Seleccione opciones según los requisitos de su organización.
  18. Seleccione Guardar cambios.
3. Probar el aprovisionamiento de JIT entre ADFS y OCI
En esta sección, puede probar que el aprovisionamiento de JIT funciona entre ADFS y OCI IAM
  1. En ADFS, cree un usuario en ADFS que no exista en OCI IAM.
  2. Reinicie el explorador e introduzca la URL de la consola para acceder a la consola de OCI:

    cloud.oracle.com

  3. Introduzca el nombre de la cuenta en la nube, también denominado nombre del arrendamiento, y seleccione Siguiente.
  4. Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
  5. En las opciones de inicio de sesión, seleccione ADFS.

    Icono de ADFS en la página de inicio de sesión

  6. En la página de conexión de ADFS, proporcione las credenciales del usuario recién creado.
  7. Cuando la autenticación se realiza correctamente, se crea una cuenta para el usuario en OCI IAM y el usuario se conecta a la consola de OCI.

    Puede ver el nuevo usuario en el dominio de OCI y verificar que tenga los mismos atributos de identidad y miembros de grupo que ha introducido.

Siguiente paso

¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre ADFS y OCI IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: