Tutorial 1: Entra ID como fuente autorizada para gestionar identidades mediante la aplicación Entra ID Gallery
Configure Entra ID como almacén de identidades autorizado para gestionar identidades en OCI IAM mediante una plantilla de aplicación de la galería Entra ID.
- Configure OCI IAM para que Entra ID sea el almacén de identidades para gestionar identidades en OCI IAM. En OCI IAM, cree una aplicación confidencial.
- Genere un token secreto a partir del ID de cliente y el secreto de cliente del dominio de identidad de OCI IAM. Utilice esto, junto con la URL del dominio, en Entra ID.
- Cree una aplicación en el ID de Entra y utilice el token secreto y la URL de dominio de identidad para especificar el dominio de identidad de OCI IAM y demostrar que funciona transfiriendo usuarios del ID de Entra a OCI IAM.
- Asigne los usuarios y grupos que desee aprovisionar en OCI IAM a la aplicación Entra ID.
- Además, instrucciones sobre cómo
- Defina el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
- Detenga a los usuarios que reciban notificaciones por correo electrónico cuando se cree o actualice su cuenta.
En esta sección, configurará Entra ID para que actúe como gestor de identidad para que las cuentas de usuario se sincronicen de Entra ID a OCI IAM.
- En el dominio de identidad en el que está trabajando, haga clic en Aplicaciones.
- Haga clic en Agregar aplicación, seleccione Aplicación confidencial y haga clic en Iniciar flujo de trabajo.
- Introduzca un nombre para la aplicación, por ejemplo,
Entra ID, y haga clic en Siguiente. - En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.
- En autorización, seleccione Credenciales del cliente.
- En Tipo de cliente, seleccione Confidencial.
- Desplácese hacia abajo y, en la sección Política de emisión de tokens, defina Recursos autorizados en Específicos.
- Seleccione Agregar roles de aplicación.
- En la sección Roles de aplicación, haga clic en Agregar roles y, en la página Agregar roles de aplicación, seleccione Administrador de usuarios y, a continuación, haga clic en Agregar.
- Haga clic en Siguiente y, a continuación, en Terminar.
- En la página de visión general de la aplicación, haga clic en Activar y confirme que desea activar la aplicación.
La aplicación confidencial está activada.
Necesita dos partes de información para utilizar como parte de la configuración de conexión para la aplicación empresarial que cree en Entra ID:
- La URL de dominio.
- Un token secreto generado a partir del identificador de cliente y el secreto de cliente.
- Vuelva a la visión general del dominio de identidad haciendo clic en el nombre de dominio de identidad en las rutas de navegación. Haga clic en la opción Copiar situada junto a la URL de dominio en la información de dominio y guarde la URL en una aplicación donde pueda editarla.
- En la aplicación confidencial de OCI IAM, haga clic en Configuración de OAuth, en Recursos.
- Desplácese hacia abajo y busque el ID de cliente y el Secreto de cliente en Información general.
- Copie el ID de cliente y almacénelo
- Haga clic en Mostrar secreto, copie el secreto y almacénelo.
El token secreto es la codificación en base64 de<clientID>:<clientsecret>obase64(<clientID>:<clientsecret>)En estos ejemplos se muestra cómo generar el token secreto en Windows, Linux o MacOS.
En un entorno Windows, abra CMD y utilice este comando powershell para generar la codificación base64
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"En Linux, utiliceecho -n <clientID>:<clientsecret> | base64 --wrap=0En MacOS, utiliceecho -n <clientID>:<clientsecret> | base64Se devolverá el token secreto. Por ejemplo,echo -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==Anote el valor del token secreto.
Configure Entra ID para que Entra ID sea el almacén de identidades autorizado para gestionar identidades en IAM.
- En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
https://portal.azure.com - Haga clic en Identidad y, a continuación, en Aplicaciones.
- Haga clic en Enterprise applications.
- En la página Enterprise applications, haga clic en New application y, a continuación, en Oracle.
- Seleccione Oracle Cloud Infrastructure Console.
- Introduzca un nombre o acepte el valor por defecto
Oracle Cloud Infrastructure Console. - Haga clic en Crear.
- Seleccione Provisioning en el menú de la izquierda, en Manage.
- Haga clic en Get started y cambie Provisioning Mode a Automatic.
- En Tenant URL, introduzca la URL de dominio de OCI IAM de 2. Búsqueda de la URL de dominio y generación de un token secreto seguida de
/admin/v1. Es decir, la URL de inquilino eshttps://<domainURL>/admin/v1 - Introduzca el token secreto que ha generado en 2. Búsqueda de la URL de dominio y generación de un token secreto.
- Haga clic en Probar conexión. Cuando aparece este mensaje, la conexión se ha realizado correctamente
Testing connection to Oracle Cloud Infrastructure Console The supplied credentials are authorized to enable provisioning - Seleccione Provisioning en el menú de la izquierda, en Manage, y haga clic en Start provisioning. Se iniciará el ciclo de aprovisionamiento y se mostrará el estado del aprovisionamiento.
Asigne los usuarios que desee aprovisionar en OCI IAM a la aplicación Entra ID.
- En En Entra ID, en el menú de la izquierda, haga clic en Enterprise applications.
- Haga clic en la aplicación que ha creado anteriormente,
Oracle Cloud Infrastructure Console. - En el menú de la izquierda, en Gestionar, haga clic en Usuarios y grupos.
- En la página Usuarios y Grupos, haga clic en Agregar Usuario/Grupo.
- En la página Agregar asignación, a la izquierda, en Usuarios y grupos, haga clic en Ninguno seleccionado.
Se abrirá la página Usuarios y grupos.
- Seleccione uno o varios usuarios o grupos en la lista haciendo clic en ellos. Los que seleccione aparecerán en Selected items.
- Haga clic en Select (Seleccionar). El número de usuarios y grupos seleccionados se muestra en la página Agregar Asignación.
- En la página Add Assignment, haga clic en Assign.
La página Usuarios y grupos muestra ahora los usuarios y grupos que ha seleccionado.
- Haga clic en Provisioning en el menú de la izquierda para aprovisionar los grupos y usuarios. El log de aprovisionamiento muestra el estado.
- Cuando el aprovisionamiento se ha realizado correctamente, Current cycle status indica que se ha completado el ciclo incremental y se muestra el número de usuarios aprovisionados para OCI IAM.
En OCI IAM, ahora puede ver los usuarios y grupos aprovisionados desde Entra ID.
Nota
Al eliminar usuarios de la aplicación de consola de Oracle Cloud Infrastructure en Entra ID, el usuario solo se desactivará en OCI IAM.
- Puede definir el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
- Puede desactivar los correos electrónicos de notificación que se envían al usuario cuando se crea o actualiza su cuenta.
Los usuarios federados no tienen credenciales para conectarse directamente a OCI. En su lugar, el proveedor de identidad externo los autentica. Si desea que los usuarios utilicen sus cuentas federadas para conectarse a OCI, defina el atributo federado en true para esos usuarios.
Para definir el estado federado del usuario:
- En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
https://portal.azure.com - Haga clic en Identidad y, a continuación, en Aplicaciones.
- Haga clic en Enterprise applications.
- Haga clic en la aplicación que ha creado anteriormente,
Oracle Cloud Infrastructure Console. - En el menú de la izquierda, en Manage, haga clic en Provisioning y, a continuación, en Edit Provisioning.
- En la página Aprovisionamiento, haga clic en Asignaciones.
-
En Asignaciones, haga clic en Aprovisionar usuarios de Entra ID.
- En Asignaciones de atributos, desplácese hacia abajo y haga clic en Agregar nueva asignación.
- En la página Editar Atributo:
- En Tipo de asignación, seleccione
Expression. - En Expresión, introduzca
CBool("true"). - En Atributo de destino, seleccione
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.
- En Tipo de asignación, seleccione
- Haga clic en Aceptar.
- En la página Asignación de atributos, haga clic en Guardar.
Ahora, cuando los usuarios se aprovisionan de Entra ID a OCI, su estado federado se define en true. Puede ver esto en la página de perfil del usuario.
- En la consola de OCI, vaya al dominio de identidad que está utilizando, haga clic en Usuarios y haga clic en el usuario para mostrar la información del usuario.
- Federado se muestra como
Yes.
El indicador de omisión de notificación controla si se debe enviar una notificación de correo electrónico después de crear o actualizar una cuenta de usuario en OCI. Si no desea que se notifique a los usuarios que se han creado cuentas para ellos, defina el indicador de omisión de notificación en Verdadero.
Para establecer el indicador de omisión de notificación:
- En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
https://portal.azure.com - Haga clic en Identidad y, a continuación, en Aplicaciones.
- Haga clic en Enterprise applications.
- Haga clic en la aplicación que ha creado anteriormente,
Oracle Cloud Infrastructure Console. - En el menú de la izquierda, en Manage, haga clic en Provisioning y, a continuación, en Edit Provisioning.
- En la página Aprovisionamiento, haga clic en Asignaciones.
-
En Asignaciones, haga clic en Aprovisionar usuarios de Entra ID.
- En Asignaciones de atributos, desplácese hacia abajo y haga clic en Agregar nueva asignación.
- En la página Editar Atributo:
- En Tipo de asignación, seleccione
Expression. - En Expresión, introduzca
CBool("true"). - En Atributo de destino, seleccione
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.
- En Tipo de asignación, seleccione
- Haga clic en Está bien.
- En la página Asignación de atributos, haga clic en Guardar.