Documentación de Oracle Cloud Infrastructure

SSO entre OCI y ADFS

En este tutorial, configure SSO entre OCI IAM y ADFS, utilizando ADFS como proveedor de identidad (IdP).

En este tutorial de 30 minutos se muestra cómo integrar OCI IAM, que actúa como proveedor de servicios (SP), con ADFS, que actúa como IdP. Al configurar la federación entre ADFS y OCI IAM, permite el acceso de los usuarios a los servicios y las aplicaciones de OCI mediante credenciales de usuario que ADFS autentica.

En este tutorial se trata la configuración de ADFS como IdP para OCI IAM.

OCI IAM proporciona integración con SAML 2.0 IdPs. Esta integración:

  • Funciona con soluciones de conexión única (SSO) federadas que son compatibles con SAML 2.0 como IdP, como ADFS.
  • Permite a los usuarios conectarse a OCI mediante sus credenciales de ADFS.
  • Permite a los usuarios conectarse a las aplicaciones finales.
  1. En primer lugar, descargue los metadatos del dominio de identidad de OCI IAM.
  2. En los siguientes pasos, creará y configurará una parte de confianza en ADFS.
  3. En ADFS, configure la conexión única con OCI IAM utilizando los metadatos.
  4. En ADFS, edite los atributos y las reclamaciones para que el nombre de correo electrónico se utilice como identificador para los usuarios.
  5. En ADFS, agregue un usuario a la aplicación.
  6. Para los siguientes pasos, debe volver al dominio de identidad para finalizar la instalación y la configuración. En OCI IAM, actualice la política IdP por defecto para agregar ADFS.
  7. Pruebe que la autenticación federada funciona entre OCI IAM y ADFS.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una instalación de ADFS local.
    Nota

    En este tutorial se describe el uso del software ADFS proporcionado con Microsoft Windows Server 2016 R2.
  • Además, debe verificar que existe el mismo usuario en OCI y ADFS y que ADFS está funcionando.
Crear el mismo usuario en ambos sistemas

Asegúrese de que exista un usuario con la misma dirección de correo electrónico en ambos sistemas.

Para que el inicio de sesión único de SAML funcione entre ADFS y OCI IAM, debe haber un usuario con la misma dirección de correo electrónico tanto en el dominio de Microsoft Active Directory como en el dominio de identidad de OCI IAM. En esta tarea, confirma que ese usuario existe en ambos sistemas.

  1. Abra la utilidad Usuarios y computadoras de Microsoft Active Directory. En el servidor de Windows 2016, haga clic en Administrador del servidor, a continuación, en Herramientas y, por último, en Usuarios y equipos de Active Directory.
  2. En la carpeta Empleados, haga doble clic en el usuario que desea utilizar. Anote la dirección de correo electrónico del usuario.
    ADFS USER(adfsuser01@gmail.com)

    Usuario en la utilidad Usuarios y equipos de Active Directory

    Nota

    Si más de un usuario del dominio de OCI IAM tiene la misma dirección de correo electrónico, el inicio de sesión único de SAML falla porque es imposible determinar qué usuario se va a conectar.

    • La dirección de correo electrónico del usuario se utiliza para enlazar el usuario conectado a ADFS con la misma entrada de usuario en OCI IAM.
    • Si no tiene un usuario de ADFS para probar la conexión, puede crear uno.
  3. En un explorador, introduzca la URL de la consola para acceder a la consola de OCI IAM:

    https://cloud.oracle.com

  4. Introduzca su Nombre de cuenta en la nube, también conocido como el nombre de arrendamiento, y haga clic en Siguiente.
  5. Inicie sesión con su nombre de usuario y contraseña.
  6. Seleccione el dominio que va a utilizar.
  7. Haga clic en Usuarios.
  8. En el campo de búsqueda, introduzca la dirección de correo electrónico que registró desde Microsoft Active Directory.
  9. En los resultados de búsqueda, confirme que existe un usuario con la misma dirección de correo electrónico que el usuario en Microsoft Active Directory.
    Nota

    Si el usuario no existe en OCI IAM, haga clic en Agregar y cree el usuario con la misma dirección de correo electrónico que en Microsoft Active Directory.
Verificar que ADFS está en ejecución

Verifique que ADFS se está ejecutando y que puede comprobar correctamente que el usuario se ha conectado.

  1. En el explorador, conéctese a ADFS mediante la URL: 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    donde adfs.example.com es el nombre de host de ADFS.
  2. Si es necesario, seleccione Conectar a este sitio. Haga clic en Conectar.
  3. Introduzca las credenciales de Microsoft Active Directory para un usuario que existe en ADFS y OCI IAM (en este ejemplo, adfsuser01) y haga clic en Conectar.

    Página de conexión de ADFS

  4. Verá el mensaje You are signed in.

    Confirmación de ADFS de que ha iniciado sesión

1. Creación de ADFS como IdP en OCI IAM
  1. En el explorador, conéctese a ADFS mediante la URL: 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    donde adfs.example.com es el nombre de host de ADFS.
  2. Guarde el archivo FederationMetadata.xml. Utilizará este archivo para registrar ADFS con OCI IAM.
  3. En la consola de OCI, navegue hasta el dominio en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. Haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  4. Haga clic en Agregar IdP y, a continuación, en Agregar IDP de SAML.
  5. Introduzca un nombre para el SAML IdP, por ejemplo ADFS_IdP. Haga clic en Siguiente.
  6. Haga clic en Introducir metadatos IdP.
  7. Descargue los metadatos del proveedor de servicios (SP) de OCI IAM haciendo clic en Exportar metadatos de SAML.
    1. En la página Exportar metadatos de SAML en Metadatos con certificados autofirmados, haga clic en Descargar XML.
      Nota

      Utilice metadatos con certificados autofirmados cuando el proveedor de identidad realice comprobaciones de CRL u OCSP en certificados emitidos por una CA. En este tutorial, ADFS lo hace durante la validación de la ruta de acceso del certificado.
    2. Guarde el archivo en una ubicación adecuada.
    3. Transfiera el archivo Metadata.xml al servidor de Windows donde se gestiona ADFS. Utilizará este archivo para registrar el dominio de OCI IAM con ADFS.

    Exportación de metadatos de SAML para OCI IAM

  8. Cierre la página de exportación de metadatos de SAML.
  9. Haga clic en Importar metadatos IdP y, a continuación, haga clic en Cargar. Seleccione el archivo FederationMetadata.xml que ha guardado anteriormente desde ADFS, haga clic en Abrir y, a continuación, haga clic en Siguiente.
  10. En Asignar identidad de usuario, defina lo siguiente
    • En Formato NameID solicitado, seleccione Email address.
    • En Atributo de usuario de proveedor de identidad, seleccione SAML assertion Name ID.
    • En Atributo de usuario de dominio de identidad, seleccione Primary email address.

    Atributos de proveedor de identidad SAML

  11. Haga clic en Siguiente.
  12. En Review and Create, verifique las configuraciones y haga clic en Create IdP.
  13. Haga clic en Activar.
  14. Haga clic en Agregar a IdP Regla de política. La adición de ADFS IdP a una política IdP permite que se muestre en la pantalla de conexión de OCI IAM.

  15. Haga clic en Política de proveedor de identidad por defecto para abrirla y, a continuación, haga clic en el menú Acciones (Menú Acciones) de la regla y haga clic en Editar regla IdP.

    El menú contextual muestra "Editar regla de proveedor de identidad"

  16. Haga clic en Asignar proveedores de identidad y, a continuación, en ADFS_IdP para agregarlo a la lista.

    agregación de ADFS como proveedor de identidad en la regla IdP por defecto

  17. Haga clic en Guardar Cambios.

Ahora, ADFS está registrado como proveedor de identidad en OCI IAM.

A continuación, registre OCI IAM como parte de confianza en ADFS.

2. Registro de OCI IAM como usuario de confianza

En primer lugar, registre OCI IAM como parte de confianza con ADFS. A continuación, configure reglas de reclamación para OCI IAM como parte de confianza.

Registrar el usuario de confianza

  1. Abra la utilidad de gestión de ADFS. Por ejemplo, en la utilidad Server Manager de Windows 2016, haga clic en Herramientas y, a continuación, en Microsoft Active Directory Federation Services Management.
  2. Haga clic en Acción y, a continuación, en Agregar confianza de parte de confianza.

  3. En la ventana del Asistente de Adición de Confianza de Usuario de Confianza, haga clic en Iniciar.

    Agregar asistente de confianza de parte de confianza en ADFS

  4. Seleccione Importar datos sobre la parte de confianza de un archivo y, a continuación, haga clic en Examinar.

    Seleccionar origen de datos

  5. Seleccione Metadata.xml que ha descargado anteriormente de OCI IAM y haga clic en Siguiente.

  6. Introduzca un nombre mostrado, por ejemplo OCI IAM, y, opcionalmente, introduzca una descripción en Notas. Haga clic en Siguiente.

    Definición del nombre mostrado

  7. Continúe con las opciones por defecto hasta que alcance el paso Finalizar y, a continuación, haga clic en Cerrar. Se abre la ventana Editar reglas de reclamación.

    Editar ventana de reclamaciones

Configurar reglas de reclamación

Las reglas de reclamación definen la información sobre un usuario conectado enviado desde ADFS a OCI IAM después de una autenticación correcta. Aquí puede definir dos reglas de reclamación para que OCI IAM actúe como parte de confianza:

  • Correo electrónico: esta regla indica que la dirección de correo electrónico del usuario se envía a OCI IAM en la afirmación de SAML.
  • ID de nombre: esta regla indica que el resultado de la regla de correo electrónico se envía a OCI IAM en el elemento NameID de asunto de la afirmación de SAML.
  1. En la ventana Editar reglas de notificación, haga clic en Agregar regla.
  2. Seleccione Transformar una notificación entrante como plantilla de regla de notificación y, a continuación, haga clic en Siguiente.
  3. En la página Seleccionar tipo de regla, proporcione la siguiente información para la regla de correo electrónico:
    • Nombre de regla de reclamación: Email
    • Almacén de atributos: Active Directory
    • Asignación de atributos LDAP a tipos de reclamación salientes:
      • Atributo LDAP: E-Mail-Addresses
      • Tipo de reclamación saliente: E-Mail Address

      Seleccione la página Tipo de regla del asistente Agregar regla de reclamación de transformación.

  4. Haga clic en Terminar.
  5. En la ventana Editar reglas de notificación, haga clic en Agregar regla para agregar la segunda regla de notificación.
  6. Seleccione Enviar atributos LDAP como reclamaciones como plantilla de regla de reclamación y, a continuación, haga clic en Siguiente.
  7. En la página Seleccionar tipo de regla, proporcione la siguiente información para la regla de ID de nombre:
    • Nombre de regla de notificación: Name ID
    • Tipo de reclamación entrante: E-Mail Address
    • Tipo de notificación saliente: Name ID
    • Formato de ID de nombre saliente: Email

    Seleccione la página Tipo de regla del asistente Agregar regla de reclamación de transformación.

  8. Haga clic en Terminar.
  9. En la ventana Editar reglas de reclamación para Oracle Cloud, compruebe que se han creado las reglas de correo electrónico e ID de nombre.

    Confirmar que ambas reclamaciones están presentes

Ahora, ADFS y OCI IAM tienen suficiente información para establecer SSO y puede probar la integración.

3. Prueba de SSO entre ADFS y OCI

En esta tarea, probará la autenticación entre OCI IAM y ADFS. Si la autenticación se realiza correctamente, active el proveedor de identidad para los usuarios finales.

  1. Reinicie el explorador e introduzca la URL de la consola para acceder a la consola de OCI IAM:

    https://cloud.oracle.com

  2. Introduzca el Nombre de cuenta en la nube, también conocido como el nombre del arrendamiento, y haga clic en Siguiente.
  3. Inicie sesión con su nombre de usuario y contraseña.
  4. Seleccione el dominio para el que ha configurado ADFS IdP.
  5. Haga clic en Security y, a continuación, en Identity Providers.
  6. Haga clic en la entrada IdP de ADFS.
  7. En la página de detalles de IdP, haga clic en Más acciones y, a continuación, en Probar conexión.
  8. Desplácese hasta la parte inferior y haga clic en Test Login (Probar inicio de sesión).
  9. En la página de conexión de ADFS, conéctese con un usuario que exista en ADFS y OCI IAM.

    Página de conexión de ADFS

  10. Verá el mensaje de confirmación La conexión se ha realizado correctamente.

    Mensaje de confirmación

Siguiente paso

¡Enhorabuena! Ha configurado correctamente la conexión única entre ADFS y OCI IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: