Documentación de Oracle Cloud Infrastructure

Activación de la Relación de Confianza de Federación

La federación de identidad requiere una relación de confianza entre Private Cloud Appliance y su proveedor de identidad, Microsoft Active Directory. Se necesitan detalles específicos del sistema de socios de federación para establecer esta confianza mutua, de modo que se puedan intercambiar datos para la autenticación de usuarios.

Recopilación de Metadatos de ADFS Necesarios

La federación de identidad necesita la siguiente información del proveedor de identidad:

  • Documento de metadatos de SAML de Active Directory Federation Services (ADFS)

    Su ubicación por defecto es: https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  • Los nombres de los grupos de Active Directory (AD) que desea asignar a los grupos de Private Cloud Appliance

    Anote todos los grupos de AD que necesitan asignación.

    Atención

    Asegúrese de que todos los grupos de Private Cloud Appliance se hayan configurado antes de agregar AD como proveedor de identidad.

Verificación de certificados de proveedor de identidad

Atención

Si el certificado de ADFS está firmado por una autoridad de certificación conocida, ya debería existir en el grupo de certificados de Private Cloud Appliance. En ese caso, puede omitir esta sección.

La autoridad de certificación (CA) de Private Cloud Appliance se basa en certificados x.509 raíz e intermedios autofirmados generados por OpenSSL. Estos certificados de CA se utilizan para emitir certificados de servidor/cliente x.509, lo que le permite agregar información de confianza de CA externa al dispositivo. Si utiliza un certificado autofirmado para ADFS, debe agregar información de confianza de CA externa de ADFS a los nodos de gestión.

Nota

Si utiliza la propiedad metadataUrl para crear o actualizar un proveedor de identidad, debe agregar la cadena de certificados del servidor web del proveedor de identidad al grupo de autoridades de certificación externas de Private Cloud Appliance. Consulte la documentación de su proveedor de identidad sobre cómo encontrar la cadena de certificados del servidor web y, a continuación, siga los pasos del 3 al 8.

Para agregar información de confianza de CA externa, realice lo siguiente:

  1. Descargue el documento de metadatos de SAML para su ADFS, que está disponible por defecto en:

    https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

  2. Abra el archivo en un editor de texto o XML y busque la sección de certificado de firma. Por ejemplo:

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. Inicie sesión en el nodo de gestión 1 (pcamn01).

  4. Vaya a /etc/pca3.0/vault y cree un nuevo directorio denominado customer_ca.

    Nota

    Puede utilizar este directorio para varios archivos. Por ejemplo, puede crear un archivo para el certificado del proveedor de identidad y uno para la cadena de certificados del servidor web.

  5. En el directorio customer_ca, cree un nuevo archivo en formato PEM.

  6. Copie el certificado del archivo FederationMetadata.xml, que se encuentra en la etiqueta <X509Certificate>, y péguelo en el nuevo archivo PEM. Asegúrese de incluir -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, por ejemplo:

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. Guarde el archivo y cierre el archivo.

  8. Ejecute el siguiente comando para actualizar ca_outside_bundle.crt en todos los nodos de gestión:

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

Adición de Private Cloud Appliance como usuario de confianza en ADFS

Para completar el proceso de federación, debe agregar Private Cloud Appliance como parte de confianza en los servicios de federación de Microsoft Active Directory (ADFS) y, a continuación, agregar las reglas de reclamación de parte de confianza asociadas.

Adición de una Parte de Confianza en ADFS

  1. En la interfaz de usuario web de servicio de la página Proveedores de identidad, consulte el siguiente bloque de texto:

    Necesita el documento de metadatos de federación de Private Cloud Appliance al configurar una confianza con los servicios de federación de Microsoft Active Directory o con otros proveedores de identidad compatibles con SAML 2.0. Se trata de un documento XML que describe el punto final y la información del certificado de Private Cloud Appliance. Haga clic aquí.

  2. Haga clic en "Haga clic aquí".

    Se abre un archivo XML de metadatos en el explorador con una URL similar a:

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. Copie la URL del archivo XML de metadatos.

  4. En el sistema instalado con ADFS, abra una ventana del explorador y pegue la URL.

  5. Guarde el archivo y asegúrese de utilizar la extensión .xml, por ejemplo, my-sp-metadata.xml.

  6. Vaya a la consola de gestión de AD FS y conéctese a la cuenta que desea federar.

  7. Agregue Private Cloud Appliance como parte de confianza.

    1. En AD FS, haga clic con el botón derecho en Relying Party Trusts y seleccione Add Relying Party Trust.

    2. En la página de bienvenida del Asistente para agregar confianza de parte de confianza, seleccione Siniestros conscientes y, a continuación, haga clic en Iniciar.

    3. En la página Seleccionar origen de datos, seleccione "Importar datos sobre la parte de confianza de un archivo".

    4. Haga clic en Browse y navegue hasta my-sp-metadata.xml y, a continuación, haga clic en Open.

    5. En la página Especificar nombre mostrado, introduzca un nombre mostrado, agregue las notas opcionales para la parte de confianza y, a continuación, haga clic en Siguiente.

    6. En la página Choose Access Control Policy, seleccione el tipo de acceso que desea otorgar y, a continuación, haga clic en Next.

    7. En la página Listo para agregar confianza, revise la configuración y, a continuación, haga clic en Siguiente para guardar la información de confianza de la parte de confianza.

    8. En la página Finalizar, marque "Configurar política de emisión de reclamaciones para esta aplicación" y, a continuación, haga clic en Cerrar.

      Aparece el cuadro de diálogo Editar política de emisión de reclamación, que puede dejar abierto para el siguiente procedimiento.

Introducción de reglas de reclamación de partes de confianza

Después de agregar Private Cloud Appliance como parte de confianza, debe agregar reglas de reclamación para que los elementos necesarios (ID de nombre y grupos) se agreguen a la respuesta de autenticación SAML.

Para agregar una regla de ID de nombre, siga estos pasos:

  1. En el cuadro de diálogo Editar política de emisión de reclamación, haga clic en Agregar regla.

    Se muestra el cuadro de diálogo Seleccionar plantilla de regla.

  2. Para la plantilla de regla de reclamación, seleccione Transformar una reclamación entrante y, a continuación, haga clic en Siguiente.

  3. Introduzca lo siguiente:

    • Nombre de regla de reclamación: introduzca un nombre para esta regla, por ejemplo, nameid.

    • Tipo de notificación entrante: seleccione Nombre de cuenta Microsoft Windows.

    • Tipo de reclamación saliente: seleccione un tipo de reclamación, por ejemplo, ID de nombre.

    • Formato de ID de nombre saliente: seleccione Identificador persistente.

    • Seleccione Transferir todos los valores de reclamación y, a continuación, haga clic en Finalizar.

      La regla se muestra en la lista de reglas.

El cuadro de diálogo Reglas de Transformación de Emisión muestra la nueva regla.

Si su usuario de Active Directory no está en más de 100 grupos, simplemente agregue la regla de grupos. Sin embargo, si los usuarios de Active Directory están en más de 100 grupos, esos usuarios no se pueden autenticar para utilizar la interfaz de usuario web de servicio. Para estos grupos, debe aplicar un filtro a la regla de grupos.

Para agregar la regla de grupos, siga estos pasos:

  1. En el cuadro de diálogo Reglas de transformación de emisión, haga clic en Agregar regla.

    Se muestra el cuadro de diálogo Seleccionar plantilla de regla.

  2. En Plantilla de regla de notificación, seleccione Enviar notificaciones con una regla personalizada y, a continuación, haga clic en Siguiente.

  3. En el Asistente para agregar regla de notificación de transformación, introduzca lo siguiente:

    • Nombre de regla de reclamación: introduzca los grupos.

    • Regla personalizada: introduzca la regla personalizada.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    • Haga clic en Finish.

    El cuadro de diálogo Reglas de Transformación de Emisión muestra la nueva regla.

Desactivación de la comprobación de revocación del certificado

Para que ADFS funcione con SAML, debe desactivar la comprobación de la lista de revocación de certificados (CRL). Abra Powershell en el sistema ADFS e introduzca el siguiente comando, donde TRUST_NAME es el nombre de la confianza de la parte de confianza:

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None