Note:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse para obtener una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar la práctica, sustituya estos valores por otros específicos de su entorno en la nube.

Configuración de conexión única entre Oracle Cloud Infrastructure Identity and Access Management y PingOne

Introducción

Al configurar Single Sign-On (SSO) entre PingOne y Oracle Cloud Infrastructure Identity and Access Management (OCI IAM), los administradores de OCI pueden conectarse sin problemas a la consola de OCI mediante sus credenciales PingOne.

PingOne actúa como proveedor de identidad (IdP), autenticando usuarios y transfiriendo tokens de autenticación segura a OCI IAM, que funciona como proveedor de servicios (SP). Esta integración elimina la necesidad de que los administradores gestionen credenciales de OCI independientes, mejorando la seguridad y simplificando la gestión de acceso.

En este tutorial se muestra cómo integrar OCI IAM, que actúa como proveedor de servicios (SP), con PingOne, que actúa como IdP. Al configurar la federación entre PingOne y OCI IAM, permite el acceso de usuario a servicios y aplicaciones en OCI mediante SSO.

Nota: este tutorial es específico de OCI IAM con dominios de identidad.

Objetivos

• Configure SSO entre OCI IAM y PingOne.

Requisitos

• Acceso a un inquilino de OCI. Para obtener más información, consulte Capa gratuita de Oracle Cloud Infrastructure.

• Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Para obtener más información, consulte Descripción de los roles de administrador.

• Entorno PingOne con el servicio PingOne SSO activado. También necesitará uno de los siguientes roles:

  • Administrador de la organización.
  • Administrador del entorno.
  • Desarrollador de aplicaciones cliente.

Tarea 1: Obtención de metadatos del proveedor de servicios desde OCI IAM

Necesita los metadatos de SP del dominio de identidad de OCI IAM para importarlos a la aplicación PingOne Security Assertion Markup Language (SAML) que cree. OCI IAM proporciona una URL directa para descargar los metadatos del dominio de identidad que está utilizando.

Para descargar los metadatos, siga estos pasos.

1. Abra un separador del explorador e introduzca la URL: https://cloud.oracle.com.

2. Introduzca el nombre de la cuenta en la nube, también denominado nombre del arrendamiento, y seleccione Siguiente.

3. Seleccione el dominio de identidad al que desea conectarse. Este es el dominio de identidad que se utiliza para configurar la conexión única. Por ejemplo, Default.

4. Inicie sesión con su nombre de usuario y contraseña.

5. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.

   

6. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. Haga clic en Configuración y, a continuación, en Configuración de dominio.

   

7. En Acceder a certificado de firma, consulte Configurar acceso de cliente. Seleccione Guardar cambios. Esto permite a un cliente acceder a la certificación de firma del dominio de identidad sin conectarse al dominio.

   

8. Vuelva a la visión general del dominio de identidad seleccionando el nombre del dominio de identidad en la ruta de navegación. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad. Haga clic en Exportar metadatos de SAML.

   

9. Asegúrese de que esté seleccionado Archivo de metadatos. En Metadatos con certificados autofirmados, haga clic en Descargar XML. Guárdelo localmente en la máquina; estos son los metadatos del SP.

   

Tarea 2: Creación de una aplicación SAML PingOne

En esta tarea, trabajaremos en la consola de administración PingOne para crear una aplicación SAML en PingOne.

1. En el explorador, conéctese a PingOne mediante la URL: https://console.pingone.com/index.html?env=<your_environment_ID>

2. En Aplicaciones, haga clic en Aplicaciones y + para agregar una nueva aplicación.

   

3. Introduzca Nombre de aplicación (por ejemplo, OCI Admin Console), seleccione Tipo de aplicación como Aplicación SAML y haga clic en Configurar.

4. Seleccione Importar metadatos y haga clic en Seleccionar un archivo. Seleccione el archivo de metadatos del SP guardado en la tarea 1.9. Si se muestran las URL de ACS y el ID de entidad rellenados automáticamente, el XML se analizó correctamente. Haga clic en Guardar.

   

Tarea 3: Configuración de la aplicación SAML

Configure SSO para la aplicación SAML PingOne y descargue los metadatos IdP.

En esta tarea, usaremos el archivo de metadatos del SP que guardó anteriormente y también configuraremos las asignaciones de atributos.

1. Haga clic en la aplicación, Configuración y, a continuación, haga clic en el símbolo de edición en la parte superior derecha.

   

2. En Formato de asunto NameID, cambie la selección a urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress y haga clic en Guardar.

   

3. Haga clic en Asignaciones de atributos y, a continuación, haga clic en el símbolo de edición en la parte superior derecha.

4. En Atributos, introduzca saml_subject, cambie PingOne Asignaciones a Dirección de correo electrónico y haga clic en Guardar.

   

5. Haga clic en Visión general, desplácese hasta la parte inferior y haga clic en Descargar metadatos. Guárdelo localmente en la máquina, son los metadatos IdP.

   

6. Activar o activar la aplicación.

Nota: Por defecto, el valor de NameID se asigna al nombre de usuario en OCI IAM.

Tarea 4: Configuración de políticas de autenticación y acceso de usuario

En caso de federación, recomendamos configurar la MFA junto con el control de acceso basado en roles o grupos.

1. Haga clic en Políticas y, a continuación, haga clic en el símbolo de edición en la parte superior derecha.

2. Haga clic en + Agregar políticas, asigne las políticas relevantes a su arquitectura y haga clic en Guardar.

   

3. Haga clic en Acceso y en el símbolo de edición situado en la parte superior derecha.

4. Seleccione los grupos que estarían autorizados para acceder a la aplicación. Omita este paso si no desea aplicar esta restricción.

   

Tarea 5: Activar PingOne como IdP para OCI IAM

Para estos pasos, trabajará en OCI IAM. En esta sección, utilizará el archivo de metadatos IdP que ha guardado anteriormente y también configurará las asignaciones de atributos.

1. En la consola de OCI, para el dominio en el que está trabajando, seleccione Seguridad y, a continuación, Proveedores de identidad.

2. Seleccione Agregar IdP y, a continuación, Agregar IdP de SAML.

3. Introduzca un nombre para el IdP de SAML, por ejemplo PingOne. Seleccione Siguiente.

4. Asegúrese de que la opción Importar metadatos de proveedor de identidad está seleccionada. Seleccione el archivo PingOnemetadata.xml guardado anteriormente en Metadatos de proveedor de identidad. Seleccione Siguiente.

   

5. En Asignar identidad de usuario, defina lo siguiente:

   • En Formato NameID solicitado, seleccione Email address.
   • En Atributo de usuario de proveedor de identidad, seleccione SAML assertion Name ID.
   • En Atributo de usuario de dominio de identidad, seleccione Username.

   

6. Seleccione Siguiente.

7. En Revisar y crear, verifique la configuración y seleccione Crear IdP.

8. En Activar IdP, haga clic en Activar y, a continuación, en la parte inferior, haga clic en Cerrar.

9. En Seguridad, vaya a Políticas IdP y haga clic en Crear política IdP.

   

10. Proporcione un nombre y haga clic en Add policy. Por ejemplo: PingOne IdP

11. Haga clic en Agregar regla IdP e introduzca un nombre. Por ejemplo, Default.

12. En Asignar proveedores de identidad, seleccione PingOne. Además, puede dirigirse a grupos específicos o excluir usuarios para este IdP. Haga clic en Add IdP rule y Next.

    

13. (Opcional) Si necesita restringir esta política para que se aplique solo a determinadas aplicaciones, agréguelas en Agregar aplicaciones.

14. Seleccione Cerrar.

Tarea 6: Prueba de SSO entre PingOne y OCI

Nota: para que esto funcione, el usuario de SSO debe estar presente tanto en OCI IAM como en PingOne con una dirección de correo electrónico válida.

En esta tarea, puede probar que la autenticación federada funciona entre OCI IAM y PingOne.

1. Abra un separador del explorador e introduzca la URL de la consola de OCI: https://cloud.oracle.com.

2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.

3. Seleccione el dominio de identidad en el que se ha configurado la federación PingOne.

4. En la página de conexión, se muestra una opción para conectarse con PingOne. Haga clic en PingOne y se le redirigirá a la página de conexión PingOne.

   

5. Proporcione sus credenciales PingOne.

Cuando la autenticación se realiza correctamente, se conectará a la consola de OCI.

Agradecimientos

• Autor: Tonmendu Bose (ingeniero sénior de nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de formación gratuita en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Set up Single Sign-On Between Oracle Cloud Infrastructure Identity and Access Management and PingOne

G27810-01

March 2025

Copyright ©2025, Oracle and/or its affiliates.