Nota:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a Oracle Cloud Infrastructure Free Tier.
• Utiliza valores de ejemplo para las credenciales, el arrendamiento y los compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos de su entorno en la nube.

Configurar la federación y el aprovisionamiento de usuarios entre Oracle Identity Cloud Service y CyberArk

Introducción

Las compañías utilizan proveedores de identidad (normalmente denominados IDP) para gestionar usuarios/grupos, su conexión/contraseñas y autenticar usuarios para acceder a recursos específicos. Si alguien desea acceder a la consola de oracle cloud infrastructure (OCI) para gestionar o utilizar cualquier recurso, debe conectarse con su nombre de usuario y contraseña mediante la conexión nativa. Sin embargo, las compañías tienen la opción de federarse con sus IDP existentes, de modo que los empleados puedan utilizar sus credenciales de conexión existentes para acceder a los recursos de Oracle Cloud Infrastructure (OCI) sin necesidad de recordar un juego diferente de credenciales.

En resumen, Identity Federation es el proceso de delegar la responsabilidad de autenticación de una persona o entidad en una parte externa de confianza. Cada partner de federación desempeña el papel de proveedor de identidad (IdP) o proveedor de servicios (SP). En este tutorial, CyberArk es el proveedor de identidad y Oracle Identity Cloud Service es el proveedor de servicios.

Flujo de Federación

La federación es donde el SP confía las identidades proporcionadas por IdP. Técnicamente, el proveedor de identidad proporciona un token de seguridad que contiene información sobre el usuario que se utiliza para autorizar al usuario y otorgar acceso al servicio concreto.

El flujo federado es como sigue.

1. El usuario intenta acceder al proveedor de servicios mediante un explorador.
2. El proveedor de servicios envía una solicitud de redirección al explorador del usuario.
3. El explorador conecta el proveedor de identidad y el proveedor de identidad realiza una autenticación.
4. Después de una autenticación correcta, el proveedor de servicios crea un token de seguridad y redirige el explorador al proveedor de servicios.
5. El explorador accede al servicio proporcionado por el proveedor de servicios.

Destinatarios

Este tutorial está dirigido a profesionales de TI y administradores de identidad y seguridad de OCI.

Objetivo

En este tutorial, se trata la configuración de federación y el aprovisionamiento automático de usuarios entre CyberArk y Oracle Identity Cloud Service.

Nota: Dado que el proceso está en curso para sustituir Oracle Identity Cloud Service por dominios de identidad de OCI IAM, el concepto y la configuración de la federación y el aprovisionamiento automático de usuarios serán los mismos que se tratan en este tutorial. Sin embargo, todos los pasos de configuración se deben realizar en la consola del dominio de OCI IAM y no habrá otra consola de Oracle Identity Cloud Service.

Requisitos

• Acceso de administrador de Oracle Identity Cloud Service
• Acceso al portal de administración CyberArk

Tarea 1: Configurar la federación entre CyberArk y Oracle Identity Cloud Service

1. Agregue la plantilla de la aplicación web de Oracle Cloud Infrastructure.

   • En el portal de administración CyberArk, seleccione Aplicaciones y widgets, Aplicaciones web y, a continuación, haga clic en Agregar aplicaciones web.

     

   • En el separador Buscar, introduzca Oracle Cloud Infrastructure en el campo Buscar y haga clic en el icono de búsqueda.

   • Junto a Oracle Cloud Infrastructure, haga clic en Agregar.

   • En la pantalla Agregar aplicación web, haga clic en Sí para confirmar.

   • Haga clic en Cerrar para salir del catálogo de aplicaciones.

   • La aplicación Oracle Cloud Infrastructure se abre en la página Configuración.

2. Configure la página Settings.

   • Defina un nombre de aplicación, una descripción, una categoría y un logotipo si desea cambiarlos.

3. Configure la página Trust.

   • En la sección Configuración de proveedor de identidad, seleccione Metadatos y, a continuación, haga clic en Descargar archivo de metadatos para descargar los metadatos de IDP. Este archivo se utiliza más adelante al configurar la integración de SAML en Oracle Cloud Infrastructure.

   • Configure la URL del proveedor de identidad que emite el token de seguridad SAML2 y el certificado de firma, si es necesario. Su proveedor de servicios de SAML le pedirá que envíe valores de configuración de IDP en un método determinado. Seleccione el método y, a continuación, siga las instrucciones.

     

4. Configure la página Respuesta de SAML.

   • Agregue el atributo de correo electrónico como se muestra en la imagen siguiente.

     

5. Configure la página Permiso.

   • Seleccione usuarios y grupos para asignar la aplicación.

6. Revise y guarde.

7. Conéctese a la consola de Oracle Identity Cloud Service y vaya a Proveedores de identidad en Federación. Agregue un nuevo IDP e introduzca los siguientes detalles.

   • Nombre: introduzca el nombre del proveedor de identidad.
   • Descripción: introduzca la información sobre el proveedor de identidad.
   • Icono: Haga clic para cargar un icono para representar el IDP. El icono debe tener un tamaño de 48X48 píxeles y un fondo transparente. Los tipos de archivo soportados son png, jpg, jpeg.

8. Configure los siguientes detalles en el separador Configurar IDP y haga clic en Siguiente.

   • Importar metadatos de proveedor de identidad: haga clic para configurar la federación para el IDP importando los metadatos.
   • Metadatos: haga clic en Cargar. Seleccione el archivo .xml que contiene los metadatos de IDP que desea importar.
   • Algoritmo de hash de firma: seleccione el algoritmo hash SHA-1 o SHA-256 al firmar mensajes SAML en el IDP.
   • Incluir certificado de firma: seleccione esta casilla de control para incluir el certificado de firma de Oracle Identity Cloud Service con mensajes SAML firmados enviados al IDP. Si no desea incluir el certificado de firma, déjelo sin seleccionar.

9. Agregue los siguientes detalles en el separador Asignar atributos.

   • Atributo de usuario de proveedor de identidad: se utiliza para configurar el identificador de usuario único que aparece en la afirmación de SAML. Si selecciona ID de nombre, Oracle Identity Cloud Service coincide con el usuario según el valor del asunto NameID de la afirmación. Si selecciona el atributo SAML, debe introducir un nombre del atributo en la afirmación y el usuario coincidirá según el valor del atributo SAML.
   • Atributo de usuario de Oracle Identity Cloud Service: seleccione el atributo de identidad de usuario en Oracle Identity Cloud Service que coincidirá con el atributo de identidad de usuario recibido en la afirmación de SAML del IDP.
   • Formato NameID solicitado: seleccione el formato NameID que Oracle Identity Cloud Service especificará en las solicitudes de autenticación de SAML enviadas al IDP. Si no desea especificar un formato, déjelo como Ninguno Solicitado.

10. Exporte los metadatos del proveedor de servicios para su uso futuro. Utilice los mismos metadatos de proveedor de servicios para completar también la configuración de CyberArk.

11. En el separador IDP de prueba, haga clic en Probar conexión para probar los valores de configuración del IDP y haga clic en Siguiente.

12. En el panel Activar, haga clic en Activar IDP para activar el IDP y haga clic en Finalizar.

13. Después de activar IDP, vaya a Políticas de IDP, seleccione Política de proveedor de identidad por defecto.

    

14. Haga clic en Editar regla de IDP e incluya el nombre del proveedor de identidad que ha activado en pasos anteriores en la lista Asignar proveedores de identidad y guárdelo. Contabilice que este usuario obtendrá una opción para conectarse con las credenciales CyberArk en el entorno de OCI.

    

Tarea 2: Activar el aprovisionamiento de usuarios de SCIM de CyberArk a Oracle Identity Cloud Service

1. Cree una aplicación confidencial en Oracle Identity Cloud Service, Aplicaciones con los siguientes detalles de configuración y guarde el ID de cliente y el secreto de cliente para su uso futuro.

   • Proporcione un nombre para la aplicación confidencial.
   • En la siguiente pantalla, seleccione la opción Configurar esta aplicación como cliente ahora.
   • En la lista de tipos de permiso disponibles, seleccione el tipo de permiso Credenciales de cliente.
   • Haga clic en el botón Agregar que aparece a continuación, Otorgue al cliente acceso a las API de administrador de Identity Cloud Service. Seleccione el rol de aplicación de administrador de usuarios y haga clic en Agregar.
   • Haga clic en Siguiente.
   • En el separador Recursos, no actualice nada y haga clic en Siguiente.
   • En el separador Autorización, no actualice nada y haga clic en Finalizar.
   • Aparecerá un mensaje indicando la aplicación agregada con las credenciales del cliente. Observe el ID de cliente y el secreto de cliente.

2. Configure los siguientes detalles en el separador Aprovisionamiento de la aplicación CyberArk.

   • En el portal de administración, vaya a la página Provisioning de la aplicación desplegada.

   • Seleccione Activar aprovisionamiento para esta aplicación.

   • Seleccione Live Mode.

   • Introduzca la URL de SCIM del proveedor de servicios para la URL de servicio de SCIM.

   • Seleccione la cabecera de autorización como tipo de autorización.

   • Seleccione Tipo de cabecera como portador y pegue el token de acceso (valor codificado base de ClientID:Clientsecret) en el campo Token de portador.

   • Verifique la conexión.

     

Una vez que la verificación se haya realizado correctamente, podrá aprovisionar los usuarios y los grupos.

Errores y solución de problemas

• El tipo de autorización "Oauth 2.0" requiere que un usuario valide las credenciales, ya que utiliza un flujo de tres partes. Debido a la cual el token de acceso es válido solo durante una hora por defecto y cada vez que el usuario se desconecta de la sesión, se le pedirá que vuelva a validar la configuración de aprovisionamiento la próxima vez que se conecte. Esto no cumple los requisitos de aprovisionamiento automático de usuarios. Por lo tanto, no se recomienda utilizar este tipo de autorización.

• Problema: al utilizar el tipo de autorización como "Cabecera de autorización" (como se describe en la sesión de aprovisionamiento de usuarios) y aprovisionar usuarios, aparece el siguiente mensaje de error No se han podido validar las credenciales de usuario.

  Resolución: compruebe si la llamada de API /GetServiceProviderConfig (utilizada para obtener información relacionada con esquemas y puntos finales soportados) falla con un error no autorizado y agregue el esquema y la versión manualmente mediante los siguientes indicadores de configuración. Además, la llamada de punto final de usuario distingue entre mayúsculas y minúsculas y trata de forma diferente los puntos finales "usuarios" y "usuarios", por lo que debe agregar una configuración más para no cambiar las mayúsculas y minúsculas.

  Generic SAML_doNotChangeSCIMURLCase.OCI = true
  Generic SAML_ScimVersion.OCI = v2
  Generic SAML_Schemas_User.OCI (user schema )
  

Enlaces relacionados

• Federación con proveedores de identidad

Confirmaciones

Autor: Ranjini Rajendran (ingeniero sénior de la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.

---

Título e Información de Copyright

Configure federation and user provisioning between Oracle Identity Cloud Service and CyberArk

F80211-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.