SSO entre OCI y ADFS

En este tutorial, configure SSO entre OCI IAM y ADFS mediante ADFS como proveedor de identidad (IdP).

En este tutorial de 30 minutos se muestra cómo integrar OCI IAM, que actúa como proveedor de servicios (SP), con ADFS, que actúa como IdP. Al configurar la federación entre ADFS y OCI IAM, permite el acceso de los usuarios a los servicios y las aplicaciones de OCI mediante credenciales de usuario que ADFS autentica.

En este tutorial se trata la configuración de ADFS como IdP para OCI IAM.

OCI IAM proporciona integración con SAML 2.0 IdPs. Esta integración:

  • Funciona con soluciones de conexión única (SSO) federadas que son compatibles con SAML 2.0 como IdP, como ADFS.
  • Permite a los usuarios conectarse a OCI mediante sus credenciales de ADFS.
  • Permite a los usuarios conectarse a las aplicaciones finales.
  1. En primer lugar, descargue los metadatos del dominio de identidad de OCI IAM.
  2. En los siguientes pasos, creará y configurará una parte de confianza en ADFS.
  3. En ADFS, configure la conexión única con OCI IAM utilizando los metadatos.
  4. En ADFS, edite los atributos y las reclamaciones para que el nombre de correo electrónico se utilice como identificador para los usuarios.
  5. En ADFS, agregue un usuario a la aplicación.
  6. Para los siguientes pasos, debe volver al dominio de identidad para finalizar la instalación y la configuración. En OCI IAM, actualice la política IdP por defecto para agregar ADFS.
  7. Pruebe que la autenticación federada funciona entre OCI IAM y ADFS.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una instalación de ADFS local.
    Nota

    En este tutorial se describe el uso del software ADFS proporcionado con Microsoft Windows Server 2016 R2.
  • Además, debe verificar que existe el mismo usuario en OCI y ADFS, y que ADFS está funcionando.
Crear el mismo usuario en ambos sistemas

Asegúrese de que exista un usuario con la misma dirección de correo electrónico en ambos sistemas.

Para que el inicio de sesión único de SAML funcione entre ADFS y OCI IAM, debe haber un usuario con la misma dirección de correo electrónico tanto en el dominio de Microsoft Active Directory como en el dominio de identidad de OCI IAM. En esta tarea, confirma que ese usuario existe en ambos sistemas.

  1. Abra la utilidad Usuarios y computadoras de Microsoft Active Directory. En Windows 2016 Server, seleccione Server Manager (Gestor de servidores), Tools (Herramientas) y, a continuación, Active Directory Users and Computers (Usuarios y equipos de Active Directory).
  2. En la carpeta Empleados, haga doble clic en el usuario que desea utilizar. Anote la dirección de correo electrónico del usuario.
    ADFS USER(adfsuser01@gmail.com)

    Usuario en la utilidad Usuarios y equipos de Active Directory

    Nota

    Si más de un usuario del dominio de OCI IAM tiene la misma dirección de correo electrónico, el inicio de sesión único de SAML falla porque es imposible determinar qué usuario debe conectarse.

    • La dirección de correo electrónico del usuario se utiliza para enlazar el usuario conectado a ADFS con la misma entrada de usuario en OCI IAM.
    • Si no tiene un usuario de ADFS para probar la conexión, puede crear uno.
  3. En un explorador, introduzca la URL de la consola para acceder a la consola de OCI IAM:

    https://cloud.oracle.com

  4. Introduzca su Nombre de cuenta en la nube, también conocido como el nombre de arrendamiento, y seleccione Siguiente.
  5. Inicie sesión con su nombre de usuario y contraseña.
  6. Seleccione el dominio que va a utilizar.
  7. Seleccione Usuarios.
  8. En el campo de búsqueda, introduzca la dirección de correo electrónico que registró desde Microsoft Active Directory.
  9. En los resultados de búsqueda, confirme que existe un usuario con la misma dirección de correo electrónico que el usuario en Microsoft Active Directory.
    Nota

    Si el usuario no existe en OCI IAM, seleccione Agregar y cree el usuario con la misma dirección de correo electrónico que en Microsoft Active Directory.
Verificar que ADFS está en ejecución

Verifique que ADFS se está ejecutando y que puede comprobar correctamente que el usuario se ha conectado.

  1. En el explorador, conéctese a ADFS mediante la URL:
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    donde adfs.example.com es el nombre de host de ADFS.
  2. Si es necesario, seleccione Conectarse a este sitio. Seleccione Conectar.
  3. Introduzca las credenciales de Microsoft Active Directory para un usuario que exista tanto en ADFS como en OCI IAM (en este ejemplo, adfsuser01) y seleccione Conectar.

    Página de conexión de ADFS

  4. Verá el mensaje You are signed in.

    Confirmación de ADFS de que ha iniciado sesión

1. Creación de ADFS como IdP en OCI IAM
  1. En el explorador, conéctese a ADFS mediante la URL:
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    donde adfs.example.com es el nombre de host de ADFS.
  2. Guardar el archivo FederationMetadata.xml. Utilizará este archivo para registrar ADFS con OCI IAM.
  3. En la consola de OCI, navegue al dominio en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. Seleccione Seguridad y, a continuación, Proveedores de identidad.
  4. Seleccione Agregar IdP y, a continuación, Agregar SAML IdP.
  5. Introduzca un nombre para el IdP de SAML, por ejemplo ADFS_IdP. Seleccione Siguiente.
  6. Seleccione Introducir IdP metadatos.
  7. Descargue los metadatos del proveedor de servicios (SP) de OCI IAM seleccionando Exportar metadatos de SAML.
    1. En la página Exportar metadatos de SAML, en Metadatos con certificados autofirmados, seleccione Descargar XML.
      Nota

      Utilice metadatos con certificados autofirmados cuando el proveedor de identidad realice comprobaciones de CRL u OCSP en certificados emitidos por una CA. En este tutorial, ADFS lo hace durante la validación de la ruta de acceso del certificado.
    2. Guarde el archivo en una ubicación adecuada.
    3. Transfiera el archivo Metadata.xml a Windows Server donde se gestiona ADFS. Utilizará este archivo para registrar el dominio de OCI IAM con ADFS.

    Exportación de metadatos de SAML para OCI IAM

  8. Cierre la página de exportación de metadatos de SAML.
  9. Seleccione Importar metadatos IdP y, a continuación, seleccione Cargar. Seleccione el archivo FederationMetadata.xml que ha guardado anteriormente desde ADFS, seleccione Abrir y, a continuación, seleccione Siguiente.
  10. En Asignar identidad de usuario, defina lo siguiente
    • En Formato NameID solicitado, seleccione Email address.
    • En Atributo de usuario de proveedor de identidad, seleccione SAML assertion Name ID.
    • En Atributo de usuario de dominio de identidad, seleccione Primary email address.

    Atributos de proveedor de identidad SAML

  11. Seleccione Siguiente.
  12. En Revisar y crear, verifique las configuraciones y seleccione Crear IdP.
  13. Seleccione Activar.
  14. Seleccione Agregar a regla de política IdP. La adición de ADFS IdP a una política IdP permite que se muestre en la pantalla de conexión de OCI IAM.
  15. Seleccione Política de proveedor de identidad por defecto para abrirla y, a continuación, seleccione el menú Acciones (tres puntos) para la regla y seleccione Editar regla IdP.

    El menú contextual muestra "Editar regla de proveedor de identidad"

  16. Seleccione Asignar proveedores de identidad y, a continuación, seleccione ADFS_IdP para agregarlo a la lista.

    Adición de ADFS como proveedor de identidad en la regla IdP por defecto

  17. Seleccione Guardar cambios.

Ahora, ADFS está registrado como proveedor de identidad en OCI IAM.

A continuación, registre OCI IAM como parte de confianza en ADFS.

2. Registro de OCI IAM como usuario de confianza

En primer lugar, registre OCI IAM como parte de confianza con ADFS. A continuación, configure las reglas de reclamación para OCI IAM como parte de confianza.

Registrar el usuario de confianza

  1. Abra la utilidad de gestión de ADFS. Por ejemplo, en la utilidad Windows 2016 Server Manager, seleccione Herramientas y, a continuación, seleccione Microsoft Active Directory Federation Services Management.
  2. Seleccione Acción y, a continuación, seleccione Agregar confianza de usuario de confianza.
  3. En la ventana del Asistente para Agregar Confianza del Usuario de Confianza, seleccione Iniciar.

    Agregar asistente de confianza de parte dependiente en ADFS

  4. Seleccione Importar datos sobre la parte de confianza de un archivo y, a continuación, seleccione Examinar.

    Seleccionar origen de datos

  5. Seleccione Metadata.xml que ha descargado anteriormente de OCI IAM y seleccione Siguiente.
  6. Introduzca un nombre mostrado, por ejemplo OCI IAM, y, opcionalmente, introduzca una descripción en Notas. Seleccione Siguiente.

    Definición del nombre para mostrar

  7. Continúe con las opciones por defecto hasta que alcance el paso Finalizar y, a continuación, seleccione Cerrar. Se abre la ventana Editar reglas de reclamación.

    Editar ventana de reclamaciones

Configurar reglas de reclamación

Las reglas de reclamación definen la información sobre un usuario conectado enviado desde ADFS a OCI IAM después de la autenticación correcta. Aquí se definen dos reglas de reclamación para que OCI IAM actúe como parte de confianza:

  • Correo electrónico: esta regla indica que la dirección de correo electrónico del usuario se envía a OCI IAM en la afirmación de SAML.
  • ID de nombre: esta regla indica que el resultado de la regla de correo electrónico se envía a OCI IAM en el elemento Subject NameID de la afirmación de SAML.
  1. En la ventana Editar reglas de notificación, seleccione Agregar regla.
  2. Seleccione Enviar atributos de LDAP como reclamaciones como plantilla de regla de reclamación y, a continuación, seleccione Siguiente.
  3. En la página Seleccionar tipo de regla, proporcione la siguiente información para la regla de correo electrónico:
    • Nombre de regla de reclamación: Email
    • Almacén de atributos: Active Directory
    • Asignación de atributos LDAP a tipos de reclamación salientes:
      • Atributo LDAP: E-Mail-Addresses
      • Tipo de reclamación saliente: E-Mail Address

      Seleccione la página Tipo de regla del asistente Agregar regla de reclamación de transformación.

  4. Haga clic en Terminar.
  5. En la ventana Editar Reglas de Reclamación, seleccione Agregar Regla para agregar la segunda regla de reclamación.
  6. Seleccione Transformar una reclamación entrante como plantilla de regla de reclamación y, a continuación, seleccione Siguiente.
  7. En la página Seleccionar tipo de regla, proporcione la siguiente información para la regla de ID de nombre:
    • Nombre de regla de notificación: Name ID
    • Tipo de reclamación entrante: E-Mail Address
    • Tipo de notificación saliente: Name ID
    • Formato de ID de nombre saliente: Email

    Seleccione la página Tipo de regla del asistente Agregar regla de reclamación de transformación.

  8. Haga clic en Terminar.
  9. En la ventana Editar reglas de reclamación para Oracle Cloud, compruebe que se han creado las reglas de correo electrónico e ID de nombre.

    Confirmar que ambas reclamaciones están presentes

Ahora, ADFS y OCI IAM tienen suficiente información para establecer SSO y puede probar la integración.

3. Prueba de SSO entre ADFS y OCI

En esta tarea, probará la autenticación entre OCI IAM y ADFS. Si la autenticación se realiza correctamente, active el proveedor de identidad para los usuarios finales.

  1. Reinicie el explorador e introduzca la URL de la consola para acceder a la consola de OCI IAM:

    https://cloud.oracle.com

  2. Introduzca el Nombre de cuenta de nube, también conocido como el nombre de arrendamiento, y seleccione Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Seleccione el dominio para el que ha configurado ADFS IdP.
  5. Seleccione Seguridad y, a continuación, Proveedores de identidad.
  6. Seleccione la entrada IdP de ADFS.
  7. En la página de detalles de IdP, seleccione Más acciones y, a continuación, seleccione Probar conexión.
  8. Desplácese hasta la parte inferior y seleccione Probar conexión.
  9. En la página de conexión de ADFS, conéctese con un usuario que exista en ADFS y OCI IAM.

    Página de inicio de sesión de ADFS

  10. Verá el mensaje de confirmación La conexión se ha realizado correctamente.

    Mensaje de Confirmación

Siguiente paso

¡Enhorabuena! Ha configurado correctamente SSO entre ADFS y OCI IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: