SSO entre OCI y ADFS
En este tutorial, configure SSO entre OCI IAM y ADFS mediante ADFS como proveedor de identidad (IdP).
En este tutorial de 30 minutos se muestra cómo integrar OCI IAM, que actúa como proveedor de servicios (SP), con ADFS, que actúa como IdP. Al configurar la federación entre ADFS y OCI IAM, permite el acceso de los usuarios a los servicios y las aplicaciones de OCI mediante credenciales de usuario que ADFS autentica.
En este tutorial se trata la configuración de ADFS como IdP para OCI IAM.
OCI IAM proporciona integración con SAML 2.0 IdPs. Esta integración:
- Funciona con soluciones de conexión única (SSO) federadas que son compatibles con SAML 2.0 como IdP, como ADFS.
- Permite a los usuarios conectarse a OCI mediante sus credenciales de ADFS.
- Permite a los usuarios conectarse a las aplicaciones finales.
- En primer lugar, descargue los metadatos del dominio de identidad de OCI IAM.
- En los siguientes pasos, creará y configurará una parte de confianza en ADFS.
- En ADFS, configure la conexión única con OCI IAM utilizando los metadatos.
- En ADFS, edite los atributos y las reclamaciones para que el nombre de correo electrónico se utilice como identificador para los usuarios.
- En ADFS, agregue un usuario a la aplicación.
- Para los siguientes pasos, debe volver al dominio de identidad para finalizar la instalación y la configuración. En OCI IAM, actualice la política IdP por defecto para agregar ADFS.
- Pruebe que la autenticación federada funciona entre OCI IAM y ADFS.
Este tutorial es específico de IAM con dominios de identidad.
Para realizar este tutorial, debe tener lo siguiente:
- Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
- Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
- Una instalación de ADFS local. Nota
En este tutorial se describe el uso del software ADFS proporcionado con Microsoft Windows Server 2016 R2. - Además, debe verificar que existe el mismo usuario en OCI y ADFS, y que ADFS está funcionando.
Asegúrese de que exista un usuario con la misma dirección de correo electrónico en ambos sistemas.
Para que el inicio de sesión único de SAML funcione entre ADFS y OCI IAM, debe haber un usuario con la misma dirección de correo electrónico tanto en el dominio de Microsoft Active Directory como en el dominio de identidad de OCI IAM. En esta tarea, confirma que ese usuario existe en ambos sistemas.
- Abra la utilidad Usuarios y computadoras de Microsoft Active Directory. En Windows 2016 Server, seleccione Server Manager (Gestor de servidores), Tools (Herramientas) y, a continuación, Active Directory Users and Computers (Usuarios y equipos de Active Directory).
-
En la carpeta Empleados, haga doble clic en el usuario que desea utilizar. Anote la dirección de correo electrónico del usuario.
ADFS USER(adfsuser01@gmail.com)
Nota
Si más de un usuario del dominio de OCI IAM tiene la misma dirección de correo electrónico, el inicio de sesión único de SAML falla porque es imposible determinar qué usuario debe conectarse.
- La dirección de correo electrónico del usuario se utiliza para enlazar el usuario conectado a ADFS con la misma entrada de usuario en OCI IAM.
- Si no tiene un usuario de ADFS para probar la conexión, puede crear uno.
- En un explorador, introduzca la URL de la consola para acceder a la consola de OCI IAM:
- Introduzca su Nombre de cuenta en la nube, también conocido como el nombre de arrendamiento, y seleccione Siguiente.
- Inicie sesión con su nombre de usuario y contraseña.
- Seleccione el dominio que va a utilizar.
- Seleccione Usuarios.
- En el campo de búsqueda, introduzca la dirección de correo electrónico que registró desde Microsoft Active Directory.
- En los resultados de búsqueda, confirme que existe un usuario con la misma dirección de correo electrónico que el usuario en Microsoft Active Directory.Nota
Si el usuario no existe en OCI IAM, seleccione Agregar y cree el usuario con la misma dirección de correo electrónico que en Microsoft Active Directory.
Verifique que ADFS se está ejecutando y que puede comprobar correctamente que el usuario se ha conectado.
- En el explorador, conéctese a ADFS mediante la URL:
dondehttps://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
adfs.example.com
es el nombre de host de ADFS. - Si es necesario, seleccione Conectarse a este sitio. Seleccione Conectar.
- Introduzca las credenciales de Microsoft Active Directory para un usuario que exista tanto en ADFS como en OCI IAM (en este ejemplo,
adfsuser01
) y seleccione Conectar. - Verá el mensaje
You are signed in
.
- En el explorador, conéctese a ADFS mediante la URL:
dondehttps://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
adfs.example.com
es el nombre de host de ADFS. - Guardar el archivo
FederationMetadata.xml
. Utilizará este archivo para registrar ADFS con OCI IAM. - En la consola de OCI, navegue al dominio en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. Seleccione Seguridad y, a continuación, Proveedores de identidad.
- Seleccione Agregar IdP y, a continuación, Agregar SAML IdP.
- Introduzca un nombre para el IdP de SAML, por ejemplo
ADFS_IdP
. Seleccione Siguiente. - Seleccione Introducir IdP metadatos.
- Descargue los metadatos del proveedor de servicios (SP) de OCI IAM seleccionando Exportar metadatos de SAML.
- En la página Exportar metadatos de SAML, en Metadatos con certificados autofirmados, seleccione Descargar XML.Nota
Utilice metadatos con certificados autofirmados cuando el proveedor de identidad realice comprobaciones de CRL u OCSP en certificados emitidos por una CA. En este tutorial, ADFS lo hace durante la validación de la ruta de acceso del certificado. - Guarde el archivo en una ubicación adecuada.
- Transfiera el archivo
Metadata.xml
a Windows Server donde se gestiona ADFS. Utilizará este archivo para registrar el dominio de OCI IAM con ADFS.
- En la página Exportar metadatos de SAML, en Metadatos con certificados autofirmados, seleccione Descargar XML.
- Cierre la página de exportación de metadatos de SAML.
- Seleccione Importar metadatos IdP y, a continuación, seleccione Cargar. Seleccione el archivo
FederationMetadata.xml
que ha guardado anteriormente desde ADFS, seleccione Abrir y, a continuación, seleccione Siguiente. - En Asignar identidad de usuario, defina lo siguiente
- En Formato NameID solicitado, seleccione
Email address
. - En Atributo de usuario de proveedor de identidad, seleccione
SAML assertion Name ID
. - En Atributo de usuario de dominio de identidad, seleccione
Primary email address
.
- En Formato NameID solicitado, seleccione
- Seleccione Siguiente.
- En Revisar y crear, verifique las configuraciones y seleccione Crear IdP.
- Seleccione Activar.
- Seleccione Agregar a regla de política IdP. La adición de ADFS IdP a una política IdP permite que se muestre en la pantalla de conexión de OCI IAM.
-
Seleccione Política de proveedor de identidad por defecto para abrirla y, a continuación, seleccione el menú
para la regla y seleccione Editar regla IdP. -
Seleccione Asignar proveedores de identidad y, a continuación, seleccione ADFS_IdP para agregarlo a la lista.
- Seleccione Guardar cambios.
Ahora, ADFS está registrado como proveedor de identidad en OCI IAM.
A continuación, registre OCI IAM como parte de confianza en ADFS.
En primer lugar, registre OCI IAM como parte de confianza con ADFS. A continuación, configure las reglas de reclamación para OCI IAM como parte de confianza.
Registrar el usuario de confianza
- Abra la utilidad de gestión de ADFS. Por ejemplo, en la utilidad Windows 2016 Server Manager, seleccione Herramientas y, a continuación, seleccione Microsoft Active Directory Federation Services Management.
- Seleccione Acción y, a continuación, seleccione Agregar confianza de usuario de confianza.
-
En la ventana del Asistente para Agregar Confianza del Usuario de Confianza, seleccione Iniciar.
-
Seleccione Importar datos sobre la parte de confianza de un archivo y, a continuación, seleccione Examinar.
- Seleccione
Metadata.xml
que ha descargado anteriormente de OCI IAM y seleccione Siguiente. -
Introduzca un nombre mostrado, por ejemplo
OCI IAM
, y, opcionalmente, introduzca una descripción en Notas. Seleccione Siguiente. -
Continúe con las opciones por defecto hasta que alcance el paso Finalizar y, a continuación, seleccione Cerrar. Se abre la ventana Editar reglas de reclamación.
Configurar reglas de reclamación
Las reglas de reclamación definen la información sobre un usuario conectado enviado desde ADFS a OCI IAM después de la autenticación correcta. Aquí se definen dos reglas de reclamación para que OCI IAM actúe como parte de confianza:
- Correo electrónico: esta regla indica que la dirección de correo electrónico del usuario se envía a OCI IAM en la afirmación de SAML.
- ID de nombre: esta regla indica que el resultado de la regla de correo electrónico se envía a OCI IAM en el elemento Subject
NameID
de la afirmación de SAML.
- En la ventana Editar reglas de notificación, seleccione Agregar regla.
- Seleccione Enviar atributos de LDAP como reclamaciones como plantilla de regla de reclamación y, a continuación, seleccione Siguiente.
- En la página Seleccionar tipo de regla, proporcione la siguiente información para la regla de correo electrónico:
- Nombre de regla de reclamación:
Email
- Almacén de atributos:
Active Directory
- Asignación de atributos LDAP a tipos de reclamación salientes:
- Atributo LDAP:
E-Mail-Addresses
- Tipo de reclamación saliente:
E-Mail Address
- Atributo LDAP:
- Nombre de regla de reclamación:
- Haga clic en Terminar.
- En la ventana Editar Reglas de Reclamación, seleccione Agregar Regla para agregar la segunda regla de reclamación.
- Seleccione Transformar una reclamación entrante como plantilla de regla de reclamación y, a continuación, seleccione Siguiente.
- En la página Seleccionar tipo de regla, proporcione la siguiente información para la regla de ID de nombre:
- Nombre de regla de notificación:
Name ID
- Tipo de reclamación entrante:
E-Mail Address
- Tipo de notificación saliente:
Name ID
- Formato de ID de nombre saliente:
Email
- Nombre de regla de notificación:
- Haga clic en Terminar.
- En la ventana Editar reglas de reclamación para Oracle Cloud, compruebe que se han creado las reglas de correo electrónico e ID de nombre.
Ahora, ADFS y OCI IAM tienen suficiente información para establecer SSO y puede probar la integración.
En esta tarea, probará la autenticación entre OCI IAM y ADFS. Si la autenticación se realiza correctamente, active el proveedor de identidad para los usuarios finales.
- Reinicie el explorador e introduzca la URL de la consola para acceder a la consola de OCI IAM:
- Introduzca el Nombre de cuenta de nube, también conocido como el nombre de arrendamiento, y seleccione Siguiente.
- Inicie sesión con su nombre de usuario y contraseña.
- Seleccione el dominio para el que ha configurado ADFS IdP.
- Seleccione Seguridad y, a continuación, Proveedores de identidad.
- Seleccione la entrada IdP de ADFS.
- En la página de detalles de IdP, seleccione Más acciones y, a continuación, seleccione Probar conexión.
- Desplácese hasta la parte inferior y seleccione Probar conexión.
- En la página de conexión de ADFS, conéctese con un usuario que exista en ADFS y OCI IAM.
- Verá el mensaje de confirmación La conexión se ha realizado correctamente.
¡Enhorabuena! Ha configurado correctamente SSO entre ADFS y OCI IAM.
Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: