Documentación de Oracle Cloud Infrastructure

Tutorial 1: Entra ID como origen autorizado para gestionar identidades mediante la aplicación Entra ID Gallery

Configure Entra ID como almacén de identidades autorizado para gestionar identidades en OCI IAM mediante una plantilla de aplicación de Entra ID Gallery.

  1. Configure OCI IAM para que Entra ID sea el almacén para gestionar identidades en OCI IAM. En OCI IAM, cree una aplicación confidencial.
  2. Genere un token secreto a partir del identificador de cliente y del secreto de cliente del dominio de identidad y OCI IAM. Utilice esto, junto con la URL de dominio, en Entra ID.
  3. Cree una aplicación en Entra ID y utilice el token secreto y el URL del dominio del identidad para especificar el dominio del identidad de OCI IAM y pruebe que funciona transfiriéndose usuarios de Entra ID a OCI IAM.
  4. Asigne los usuarios y grupos que desea aprovisionar a OCI IAM a la aplicación Entra ID.
  1. Además, instrucciones sobre cómo
    • Defina el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
    • Deje que los usuarios reciban correos electrónicos de notificación cuando se cree o actualice su cuenta.
1. Creación de una aplicación confidencial

En esta sección, configurará Entra ID para que actúe como gestor de identidad para que las cuentas de usuario se sincronicen de Entra ID a OCI IAM.

  1. En el dominio de identidad que está trabajando, seleccione Aplicaciones.
  2. Seleccione Agregar aplicación, seleccione Aplicación confidencial y seleccione Iniciar flujo de trabajo.

    Aplicación confidencial

  3. Introduzca un nombre para la aplicación; por ejemplo, Entra ID, seleccione Siguiente.
  4. En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.

    Configurar la aplicación como un cliente

  5. En Autorización, marque Credenciales de cliente.

    Configurar aplicación para credenciales de cliente

  6. En Tipo de cliente, seleccione Confidencial.
  7. Desplácese hacia abajo y, en la sección Política de emisión de tokens, defina Recursos autorizados en Específicos.

    Política de emisión de tokens

  8. Seleccione Agregar Roles de Aplicación.
  9. En la sección Roles de aplicación, seleccione Agregar roles y, en la página Agregar roles de aplicación, seleccione Administrador de usuarios y, a continuación, seleccione Agregar.

    Agregar roles de aplicación

  10. Seleccione Siguiente y, a continuación, Terminar.
  11. En la página del resumen de aplicación, seleccione Activar y confirme que desea activar la aplicación.

    La aplicación confidencial está activada.

2. Búsqueda de la URL de dominio y generación de un token secreto

Necesita dos partes de información para utilizar como parte de la configuración del sistema de conexión para la aplicación empresarial que cree en Entra ID:

  • La URL de dominio.
  • Un token secreto generado a partir del identificador de cliente y el secreto de cliente.
  1. Vuelva a la visión general de los dominios de identidad seleccionando el nombre del dominio de identidades en las rutas de navegación. Seleccione Copiar junto a la URL de Dominio en información de dominio y guarde la URL de una aplicación donde pueda editarla.

    La información de dominio muestra dónde está la información de URL de dominio.

  2. En la aplicación confidencial de OCI IAM, seleccione Configuración de OAuth en Recursos.
  3. Desplácese hacia abajo y busque el ID de Cliente y elSecreto de Cliente en Información general.
  4. Copie el ID de cliente y almacénelo
  5. Seleccione Mostrar secreto, copie el secreto y almacénelo.

    Identificador de cliente y secreto de cliente

    El token secreto es la codificación base64 de <clientID>:<clientsecret> o
    base64(<clientID>:<clientsecret>)

    En estos ejemplos se muestra cómo generar el token secreto en Windows, Linux o MacOS.

    En un entorno Windows, abra CMD y utilice este comando powershell para generar la codificación base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    En Linux, utilice
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    En MacOS, utilice
    echo -n <clientID>:<clientsecret> | base64
    Se devolverá el token secreto. Por ejemplo
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote el valor del token secreto.

3. Crear aplicación de OCI en Entra ID

Configure Entra ID para permitir que Entra ID sea el almacén de identidades autorizado para gestionar identidades en IAM.

  1. En el explorador, inicie sesión en Microsoft Entra ID mediante la URL:
    
                            https://portal.azure.com
  2. Seleccione Identidad y luego Aplicaciones.
  3. Seleccione Aplicaciones empresariales.

    Adición de una aplicación empresarial

  4. En la página Aplicaciones empresariales, seleccione Nueva aplicación y, a continuación, en Oracle.
  5. Seleccione Consola de Oracle Cloud Infrastructure.

    Selección de Oracle Cloud Infrastructure Console

  6. Introduzca un nombre o acepte el valor por defecto Oracle Cloud Infrastructure Console.
  7. Seleccione Crear.

    Crear aplicación de consola de OCI IAM

  8. Seleccione Provisioning (Aprovisionamiento) en el menú de la izquierda, en Manage (Gestionar).

    Página de aprovisionamiento para la aplicación empresarial en Entra ID

  9. Seleccione Introducción y cambie Modo de aprovisionamiento a Automatic.
  10. En Tenant URL, introduzca la URL del dominio IAM de OCI de 2. Búsqueda de la URL de dominio y generación de un símbolo secreto seguida de/admin/v1. Es decir, la URL de inquilino es 
    https://<domainURL>/admin/v1
  11. Introduzca el token secreto que ha generado en 2. Búsqueda de la URL de dominio y generación de un token secreto.

    Introducción de credenciales de administración

  12. Seleccione Probar conexión. Cuando aparece este mensaje, la conexión se ha realizado correctamente
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Seleccione Provisioning (Aprovisionamiento) en el menú de la izquierda, bajo Manage, y seleccione Start provisioning (Start provisioning). Se iniciará el ciclo de aprovisionamiento y se mostrará el estado del aprovisionamiento.
4. Asignación de usuarios y grupos a la aplicación Entra ID

Asigne los usuarios que desee aprovisionar a OCI IAM a la aplicación Entra ID.

  1. En En Entra ID, en el menú de la izquierda, seleccione Enterprise applications.
  2. Seleccione la aplicación que ha creado anteriormente, Oracle Cloud Infrastructure Console.
  3. En el menú de la izquierda, en Gestionar, seleccione Usuarios y grupos.
  4. En la página Usuarios y grupos, seleccione Agregar usuario/grupo.
  5. En la página Agregar asignación, a la izquierda, en Usuarios y grupos, seleccione Ninguno seleccionado.

    Se abre la página Usuarios y grupos.

  6. Seleccione uno o más usuarios o grupos de la lista seleccionándolos en ellos. Los que seleccione aparecerán en Selected items.

    Usuarios y grupos

  7. Seleccione Seleccionar. El número de usuarios y grupos seleccionados se muestra en la página Añadir Asignación.

    El número de usuarios y grupos que ha seleccionado se muestra en la página Añadir Asignación.

  8. En la página Agregar asignación, seleccione Asignar.

    La página Usuarios y grupos muestra ahora los usuarios y grupos que ha seleccionado.

    Los usuarios y el grupo que ha elegido se muestran en la lista de usuarios y grupos para la aplicación.

  9. Seleccione Provisioning en el menú de la izquierda para aprovisionar los grupos y usuarios. El log de aprovisionamiento muestra el estado.

    Log de aprovisionamiento que muestra el estado correcto.

  10. Cuando el aprovisionamiento se ha realizado correctamente, el estado del ciclo actual indica que se ha completado el ciclo incremental y se muestra el número de usuarios aprovisionados para OCI IAM.

    Se muestra el estado del aprovisionamiento, junto con el número de usuarios aprovisionados para OCI IAM

    En OCI IAM, ahora puede ver los usuarios y grupos aprovisionados desde Entra ID.

    Los usuarios de Entra ID ahora aprovisionados en IAM
    Nota

    Al eliminar usuarios de la aplicación de consola de Oracle Cloud Infrastructure en Entra ID, el usuario solo se desactivará en OCI IAM.

    Los grupos Entra ID ahora aprovisionados en IAM

5. Configuraciones adicionales para usuarios federados
  • Puede definir el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
  • Puede desactivar los correos electrónicos de notificación que se envían al usuario cuando se crea o actualiza su cuenta.
a. Definición del estado federado de los usuarios

Los usuarios federados no tienen credenciales para conectarse directamente a OCI. En su lugar, son autenticados por el proveedor de identidad externo. Si desea que los usuarios utilicen sus cuentas federadas para conectarse a OCI, defina el atributo federado en true para esos usuarios.

Para definir el estado federado del usuario:

  1. En el explorador, inicie sesión en Microsoft Entra ID mediante la URL:
    
                                https://portal.azure.com
  2. Seleccione Identidad y luego Aplicaciones.
  3. Seleccione Aplicaciones empresariales.
  4. Seleccione la aplicación que ha creado anteriormente, Oracle Cloud Infrastructure Console.
  5. En el menú de la izquierda, en Gestionar, seleccione Aprovisionamiento y, a continuación, seleccione Editar aprovisionamiento.
  6. En la página Provisioning, seleccione Asignaciones.

  7. En Mappings, seleccione Provision Entra ID Users.

  8. En Asignaciones de atributos, desplácese hacia abajo y seleccione Agregar nueva asignación.

    Agregar nuevo campo de asignación en Asignaciones de atributos

  9. En la página Edit Attribute:
    • Para Tipo de asignación, seleccione Expression.
    • En Expresión, introduzca CBool("true").
    • En Atributo de destino, seleccione urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Edición de Atributo, página

  10. Seleccione Ok (Aceptar).
  11. En la página Asignación de atributos, seleccione Guardar.

Ahora, cuando los usuarios se aprovisionan de Entra ID a OCI, su estado federado se define en true. Puedes verlo en la página de perfil del usuario.

  • En la consola de OCI, vaya al dominio de identidad que está utilizando, seleccione Usuarios y seleccione el usuario para mostrar la información del usuario.
  • Federado se muestra como Yes.

    Información de usuario que muestra que el usuario está federado

b. Desactivar notificaciones para creación o actualizaciones de cuentas

El indicador de omisión de notificación controla si se envía una notificación por correo electrónico después de crear o actualizar una cuenta de usuario en OCI. Si no desea que se notifique a los usuarios que se ha creado una cuenta para ellos, defina el indicador de omisión de notificación en true.

Para establecer el indicador de omisión de notificación:

  1. En el explorador, inicie sesión en Microsoft Entra ID mediante la URL:
    
                                https://portal.azure.com
  2. Seleccione Identidad y luego Aplicaciones.
  3. Seleccione Aplicaciones empresariales.
  4. Seleccione la aplicación que ha creado anteriormente, Oracle Cloud Infrastructure Console.
  5. En el menú de la izquierda, en Gestionar, seleccione Aprovisionamiento y, a continuación, seleccione Editar aprovisionamiento.
  6. En la página Provisioning, seleccione Asignaciones.

  7. En Mappings, seleccione Provision Entra ID Users.

    Provision Entra ID Users en Mappings, en la página Provisioning Mode

  8. En Asignaciones de atributos, desplácese hacia abajo y seleccione Agregar nueva asignación.

    Agregar nuevo campo de asignación en Asignaciones de atributos

  9. En la página Edit Attribute:
    • Para Tipo de asignación, seleccione Expression.
    • En Expresión, introduzca CBool("true").
    • En Atributo de destino, seleccione urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Edición de Atributo, página

  10. Seleccione Ok (Aceptar).
  11. En la página Asignación de atributos, seleccione Guardar.