Nota:

Configuración del aprovisionamiento justo a tiempo para el IDP basado en SAML en IDCS/dominios de identidad

Introducción

El aprovisionamiento Just-In-Time (JIT) basado en SAML ayuda a automatizar la creación de identidades por parte del usuario en Identity Cloud Service para nuevos usuarios. Las cuentas de usuario se crean cuando el usuario intenta acceder a la aplicación de destino mediante SSO. Además de la creación de usuarios, JIT también puede otorgar y revocar afiliaciones a grupos como parte del aprovisionamiento. JIT también se puede utilizar para actualizar los usuarios aprovisionados mediante la asignación de los atributos de origen (Proveedor de servicios - SP) a Proveedor de identidad - IDP.

Al activar el aprovisionamiento de JIT para el proveedor de identidad con IDCS, podrá gestionar los usuarios de forma más eficaz y le ayudará a reducir el costo de administración de la sincronización manual de los usuarios.

Ventajas del Uso del Aprovisionamiento de JIT

Objetivo

Configure el aprovisionamiento justo a tiempo para el IDP basado en SAML en IDCS/dominios de identidad mediante las API de REST.

Nota: Si su arrendamiento ya se ha migrado a dominios de identidad y desea realizar esta configuración mediante la consola, consulte el siguiente enlace: Adición de un SAML justo a tiempo IdP.

Requisitos

Tarea 1: Recuperar la lista de proveedores de identidad configurados en el arrendamiento de dominios de identidad/IDCS

Tarea 2: Recuperar los detalles del IDP de SAML configurado

Recupere los detalles del IDP de SAML configurado en el que desea activar el aprovisionamiento de JIT mediante el ID de proveedor ubicado de la tarea 1.

Tarea 3: Actualizar la configuración del proveedor de IDP para activar el aprovisionamiento de JIT

Actualice la configuración del proveedor de IDP para activar el aprovisionamiento de JIT para su IDP de SAML mediante una operación PATCH.

Nota:

Cuerpo de la muestra:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "replace",
      "path": "jitUserProvEnabled",
      "value": true
    },{
      "op": "replace",
      "path": "jitUserProvCreateUserEnabled",
      "value": true
    },
    {
      "op": "replace",
      "path": "jitUserProvAttributeUpdateEnabled",
      "value": true
    },
    {
      "op": "replace",
      "path": "jitUserProvGroupAssertionAttributeEnabled",
      "value": false
    },
    {
      "op": "replace",
      "path": "jitUserProvGroupSAMLAttributeName",
      "value": "groups"
    },
    {
      "op": "replace",
      "path": "jitUserProvGroupAssignmentMethod",
      "value": "Overwrite"
    }
  ]
}

La siguiente tabla describe las propiedades de IDP mencionadas anteriormente.

Propiedad de proveedor de identidad Descripción
jitUserProvEnabled Propiedad booleana para activar/desactivar la función de aprovisionamiento de JIT de SAML para el IDP configurado.
jitUserProvCreateUserEnabled Propiedad booleana para la creación de usuarios, basada en la afirmación entrante, si el usuario aún no existe.
jitUserProvAttributeUpdateEnabled Propiedad booleana para la actualización de usuario basada en la afirmación entrante si el usuario ya existe.
jitUserProvGroupAssertionAttributeEnabled Propiedad booleana que indica si se deben asignar afiliaciones a grupos al usuario según una lista de nombres de grupo recibidos del IDP en un atributo SAML.
jitUserProvGroupSAMLAttributeName Nombre del atributo de afirmación de SAML que contendrá los grupos que se asignarán al usuario, si la propiedad jitUserProvGroupAssertionAttributeEnabled es true.
jitUserProvGroupAssignmentMethod Propiedad de cadena que controla cómo se asignarán las afiliaciones a grupos al usuario de Identity Cloud Service: sobrescribir/ fusionar.

Después de esta operación, el aprovisionamiento de JIT debe estar activado para el IDP de SAML y puede confirmarlo ejecutando la operación GET mencionada en la tarea 2. En la siguiente imagen se muestra la salida de ejemplo.

Imagen 3

Esto le proporcionará ahora el ID de atributo asignado que se utilizará en el siguiente punto final para asignar los atributos de SP con atributos de IDP.

Imagen 4

Tarea 4: Definir la asignación jitUserProvAttributes para el proveedor de identidad de SAML para el aprovisionamiento de usuarios

Después de activar el aprovisionamiento de JIT para el IDP de SAML, el siguiente paso es asignar los atributos de proveedor de servicios a los atributos de proveedor de identidad. Utilice el ID de atributo asignado de la tarea 3 con el punto final de REST descrito en esta sección.

Nota:

Tarea 5: Configurar el atributo Actualización de asignación jitUserProvAttributes

Configure el atributo Actualización de asignación jitUserProvAttributes del proveedor de servicios - SP al proveedor de identidad - IDP.

Tarea 6: Prueba del Provisionamiento de JIT

  1. En una nueva sesión del explorador, intente conectarse a mi consola de IDCS.
  2. IDCS mostrará la pantalla de conexión.
  3. Seleccione el IDP configurado que ahora está activado con el aprovisionamiento de JIT.
  4. IDCS le dirigirá a la página de conexión de IDP para conectarse.
  5. Introduzca las credenciales válidas del usuario que no existe en IDCS.
  6. Después de iniciar sesión correctamente, debe ir a la pantalla de mi consola de IDCS.
  7. Valide mediante una cuenta de administrador que el usuario se ha creado correctamente en IDCS.

Acuses de recibo

Autor: Chetan Soni (ingeniero de soluciones en la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre los productos, visite Oracle Help Center.