Documentación de Oracle Cloud Infrastructure

Aprovisionamiento de JIT de Entra ID a OCI IAM

En este tutorial, configurará el aprovisionamiento justo a tiempo (JIT) entre la consola de OCI y el ID de Entra, utilizando Entra ID como IdP.

Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino durante el tiempo de ejecución, a medida que realizan una solicitud para acceder al sistema de destino.

En este tutorial se tratan los siguientes pasos:

  1. Configure el ID de Entra IdP en OCI IAM para JIT.
  2. Actualice la configuración de la aplicación OCI IAM en Entra ID.
  3. Prueba que puede aprovisionar desde Entra ID a OCI IAM.
Nota

Este tutorial es específico de IAM con dominios de identidades.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de pruebas de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.

  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una cuenta de ID adicional con uno de los siguientes roles de ID adicional:
    • Administración global
    • Administrador de aplicación en la nube
    • Administrador de aplicación

Además, debe haber completado el tutorial SSO Between OCI and Microsoft Entra ID y recopilado el ID de objeto de los grupos que va a utilizar para el aprovisionamiento de JIT.

1. Configurar atributos SAML enviados por ID de entrada

Para que el aprovisionamiento de JIT funcione, se deben configurar los atributos de SAML adecuados y necesarios, que se enviarán en la afirmación de SAML a OCI IAM mediante Entra ID.

  1. En el explorador, inicie sesión en Microsoft Entra ID mediante la URL:
    https://entra.microsoft.com
  2. Vaya a Enterprise Applications.
  3. Seleccione la aplicación de consola de Oracle Cloud Infrastructure.
    Nota

    Esta es la aplicación que ha creado como parte de SSO entre OCI y Microsoft Entra ID.
  4. En el menú de la izquierda, seleccione Inicio de sesión único.
  5. En la sección Atributos y reclamaciones, seleccione Editar.
  6. Verifique que los atributos estén configurados correctamente:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si necesita nuevas reclamaciones, agréguelas.

  7. Anote todos los nombres de reclamación configurados. Por ejemplo

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    es el nombre de la reclamación para First Name.

    Atributos y reclamaciones

  8. Vaya a Groups. Verás todos los grupos disponibles en Entra ID.
  9. Anote los ID de objeto de los grupos que desean formar parte de SAML para enviarlos a OCI IAM.

    Detalles de grupo en ID de entrada

Configuraciones adicionales de ID adicional

En Entra ID, puede filtrar grupos según el nombre de grupo o el atributo sAMAccountName.

Por ejemplo, supongamos que solo se debe enviar el grupo Administrators mediante SAML:

  1. Seleccione la reclamación de grupo.
  2. En Reclamaciones de grupo, expanda Opciones avanzadas.
  3. Seleccione Grupos de filtros.
    • Para Atributo para coincidencia, seleccione Display Name.
    • Para Coincidir con, seleccione contains.
    • En Cadena, proporcione el nombre del grupo, por ejemplo, Administrators.

    Filtro para grupos

Con esta opción, incluso si el usuario del grupo de administradores forma parte de otros grupos, Entra ID solo envía el grupo Administradores en SAML.
Nota

Esto ayuda a las organizaciones a enviar solo los grupos necesarios a OCI IAM desde Entra ID.
2. Configuración de atributos de JIT en OCI IAM

En OCI IAM, actualice el ID de Entra IdP para JIT.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de Cloud, también denominado su nombre de arrendamiento, y seleccione Siguiente.
  3. Seleccione el dominio de identidad que se utilizará para configurar SSO.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y seleccione Identidad y seguridad.
  6. En Identidad, seleccione Dominios.
  7. Seleccione el dominio de identidad en el que ya ha configurado Entra ID como IdP.
  8. Seleccione Seguridad en el menú de la izquierda y, a continuación, Proveedores de identidad.
  9. Seleccione el ID de Entra IdP.
    Nota

    Este es el ID de entrada IdP que ha creado como parte de SSO entre OCI y el ID de entrada de Microsoft.
  10. En la página Entra ID IdP, seleccione Configure JIT.

    Página de configuración para el proveedor de identidad de Entra ID en IAM

  11. En la página Configurar aprovisionamiento Just-In-Time (JIT):
    • Seleccione Aprovisionamiento Just-In-Time (JIT).
    • Seleccione Create a new identity domain user.
    • Seleccione Actualizar Usuario de Dominio de Identidad Existente.

    activar aprovisionamiento justo a tiempo

  12. En Asignar atributos de usuarios:
    1. Deje la primera fila para NameID sin cambios.
    2. Para otros atributos, en IdP atributo de usuario, seleccione Attribute.
    3. Proporcione el nombre de atributo de usuario IdP de la siguiente forma
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Seleccione Agregar fila e introduzca: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Para el atributo de usuario del dominio de identidad, seleccione First name.

      Nota

      El nombre mostrado completo (FQDN) es de 1. Configure los atributos de SAML enviados por el ID de entrada.

    En este diagrama se muestra cómo deben ser los atributos de usuario de OCI IAM (a la derecha) y la asignación de atributos de usuario entre Entra ID y OCI IAM.

    Asignación de atributos de usuario entre Entra ID y OCI IAM

  13. Seleccione Asignar asignación de grupo.
  14. Introduzca el nombre de atributo de miembro de grupo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Seleccione Definir asignaciones de miembros del grupo explícitas.
  16. En IdP Nombre de grupo, proporcione el ID de objeto del grupo en el ID de Entra del paso anterior.
  17. En Nombre de grupo de dominios de identidad y seleccione el grupo en OCI IAM al que se asignará el grupo de ID de entrada.

    Asignar asignaciones de grupo

    En este diagrama se muestra cómo deben ser los atributos de grupo de OCI IAM (a la derecha) y la asignación de atributos de grupo entre Entra ID y OCI IAM.

    Asignación de atributos de grupo entre Entra ID y OCI IAM

  18. En Reglas de asignación, seleccione lo siguiente:
    1. Al asignar afiliaciones a grupos: fusionar con afiliaciones a grupos existentes
    2. Cuando no se encuentre un grupo: ignore el grupo que falta

    definición de reglas de asignación

    Nota

    Seleccione opciones según los requisitos de su organización.
  19. Seleccione Guardar cambios.
3. Probar el aprovisionamiento de JIT entre Entra ID y OCI
En esta sección, puede probar que el aprovisionamiento de JIT funciona entre Entra ID y OCI IAM.
  1. En la consola de Entra ID, cree un nuevo usuario con un ID de correo electrónico que no esté presente en OCI IAM.

  2. Asigne el usuario a los grupos necesarios.

    asignar usuario a grupos

  3. En el explorador, abra la consola de OCI.
  4. Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
  5. Seleccione Next (Siguiente).
  6. En las opciones de inicio de sesión, seleccione ID de entrada.
  7. En la página de inicio de sesión de Microsoft, introduzca el ID de usuario recién creado.

    Página de conexión de Microsoft

  8. Al realizar la autenticación correcta desde Microsoft:
    • La cuenta de usuario se crea en OCI IAM.
    • El usuario está conectado a la consola de OCI.

    Mi perfil en OCI IAM para el usuario

  9. En el menú de navegación , seleccione el menú Perfil Icono de menú de perfil y, a continuación, seleccione Configuración de usuario. Compruebe las propiedades del usuario, como el ID de correo electrónico, el nombre, los apellidos y los grupos asociados.

    Comprobación de las propiedades de usuario en OCI IAM

Siguiente paso

¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre Entra ID y OCI IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: