Fédération à l'aide des fournisseurs d'identités

Les entreprises utilisent souvent un fournisseur d'identités pour la gestion des noms de connexion et des mots de passe d'utilisateur ainsi que pour l'authentification des utilisateurs pour l'accès à des sites Web, services et ressources sécurisés.

Lorsqu'une personne de votre société veut utiliser des ressources Oracle Cloud Infrastructure dans la console, elle doit se connecter avec un nom de connexion d'utilisateur et un mot de passe. Vos administrateurs peuvent utiliser la fédération avec un fournisseur d'identités pris en charge pour que chaque employé puisse utiliser un nom de connexion et un mot de passe existants, sans avoir à créer un nouveau jeu pour utiliser les ressources Oracle Cloud Infrastructure.

Pour se fédérer, un administrateur exécute un processus court afin de configurer une relation entre le fournisseur d'identités et Oracle Cloud Infrastructure (généralement appelée approbation de fédération). Une fois cette relation configurée par l'administrateur, toute personne de votre société qui accède à la console Oracle Cloud Infrastructure est invitée à se connecter à l'aide de l'authentification unique fournie par le fournisseur d'identités. L'utilisateur se connecte avec le nom de connexion et le mot de passe déjà configurés par le fournisseur d'identités. Le fournisseur d'identités authentifie l'utilisateur, qui peut alors accéder à Oracle Cloud Infrastructure.

Lorsqu'il collabore avec votre fournisseur d'identités, l'administrateur définit des groupes et affecte chaque utilisateur à un ou plusieurs groupes selon le type d'accès dont celui-ci a besoin. Oracle Cloud Infrastructure utilise également le concept de groupes (en conjonction avec les politiques GIA) pour définir le type d'accès d'un utilisateur. Lors de la configuration de la relation avec le fournisseur d'identités, l'administrateur peut mapper chaque groupe du fournisseur d'identités à un groupe GIA qu'il a défini de façon similaire, afin que votre société puisse réutiliser les définitions de groupe du fournisseur d'identités pour autoriser des utilisateurs à accéder à des ressources Oracle Cloud Infrastructure. Voici une représentation du processus de mappage :

Pour plus d'informations sur le nombre de fédérations et de mappages de groupes dont vous pouvez disposer, voir Limites de service. Aucune limite ne s'applique au nombre d'utilisateurs fédérés.

Voici la liste des concepts de base que vous devez connaître.

FOURNISSEUR D'IDENTITÉS

Un fournisseur d'identités est un service qui fournit des données d'identification et une authentification pour les utilisateurs.

Les locations créées après le 18 décembre 2017 sont automatiquement fédérées dans Oracle Identity Cloud Service en tant que fournisseur d'identités. Oracle Cloud Infrastructure peut être fédéré avec n'importe quel fournisseur d'identités prenant en charge le protocole SAML (Security Assertion Markup Language) 2.0.

FOURNISSEUR DE SERVICES

Service (tel qu'une application, un site Web, etc.) qui appelle un fournisseur d'identités pour authentifier des utilisateurs. Dans ce cas, Oracle Cloud Infrastructure est le fournisseur de services.

APPROBATION DE FÉDÉRATION

Relation qu'un administrateur configure entre un fournisseur d'identités et un fournisseur de services. Vous pouvez utiliser la console Oracle Cloud Infrastructure ou l'API pour configurer cette relation. Le fournisseur d'identités est alors "fédéré" avec ce fournisseur de services. Dans la console et l'API, le processus de fédération est considéré comme l'ajout d'un fournisseur d'identités à la location.

DOCUMENT DE MÉTADONNÉES SAML

Document XML fourni par un fournisseur d'identités qui donne les informations requises à un fournisseur de services pour se fédérer avec ce fournisseur d'identités. Oracle Cloud Infrastructure prend en charge le protocole SAML 2.0, qui est une norme XML pour le partage des informations requises entre le fournisseur d'identités et le fournisseur de services. Selon le fournisseur d'identités avec lequel vous êtes fédéré, vous devez indiquer l'URL des métadonnées (voir ci-dessous) pour ce document ou charger le document dans Oracle Cloud Infrastructure.

URL DES MÉTADONNÉES

URL indiquée par le fournisseur d'identités qui permet à un fournisseur de services d'obtenir les informations requises pour se fédérer avec ce fournisseur d'identités. Oracle Cloud Infrastructure prend en charge le protocole SAML 2.0, qui est une norme XML pour le partage des informations requises entre le fournisseur d'identités et le fournisseur de services. L'URL des métadonnées pointe vers le document de métadonnées SAML en fonction des besoins du fournisseur de services.

UTILISATEUR FÉDÉRÉ

Personne qui se connecte pour utiliser la console Oracle Cloud Infrastructure par le biais d'un fournisseur d'identités fédéré.

UTILISATEUR LOCAL

Utilisateur non fédéré. Autrement dit, une personne qui se connecte pour utiliser la console Oracle Cloud Infrastructure avec un nom de connexion et un mot de passe créés dans Oracle Cloud Infrastructure.

MAPPAGE DE GROUPES

Mappage entre un groupe du fournisseur d'identités et un groupe Oracle Cloud Infrastructure, utilisé à des fins d'autorisation d'utilisateur.

SCIM

SCIM (System for Cross-domain Identity Management) est un protocole standard IETF qui autorise le provisionnement des utilisateurs dans tous les systèmes de gestion des identités. Oracle Cloud Infrastructure héberge un point d'extrémité SCIM pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure. L'utilisation d'un client SCIM pour provisionner des utilisateurs dans Oracle Cloud Infrastructure vous permet d'affecter des données d'identification aux utilisateurs dans Oracle Cloud Infrastructure.

UTILISATEUR PROVISIONNÉ (OU SYNCHRONISÉ)

Utilisateur provisionné par le client SCIM du fournisseur d'identités dans Oracle Cloud Infrastructure. Ces utilisateurs peuvent être répertoriés dans la console Oracle Cloud Infrastructure et peuvent avoir toutes les données d'identification d'utilisateur Oracle Cloud Infrastructure, à l'exception du mot de passe de la console.

Chiffrer l'assertion

Certains fournisseurs d'identités prennent en charge le chiffrement de l'assertion SAML. Lorsque cette option est activée, le fournisseur de services s'attend à ce que l'assertion SAML soit chiffrée par le fournisseur d'identités à l'aide de la clé de chiffrement du fournisseur de services. Dans ce cas, le fournisseur de services est le service d'authentification pour Oracle Cloud Infrastructure. Si vous choisissez d'activer cette fonction de votre fournisseur d'identités, vous devez également l'activer lorsque vous configurez votre fournisseur de fédération dans le service GIA. Notez que Microsoft AD FS active le chiffrement de l'assertion SAML par défaut. Si votre fournisseur d'identités est Microsoft AD FS, vous devez activer cette fonction dans le service GIA, ou la désactiver pour Microsoft AD FS.

Les utilisateurs fédérés peuvent utiliser la console pour accéder à Oracle Cloud Infrastructure (selon les politiques GIA pour les groupes dont ils font partie).

Ils sont invités à entrer leur location Oracle Cloud Infrastructure (par exemple, ABCCorp).

Ils voient ensuite une page avec deux jeux d'instructions de connexion : un pour les utilisateurs fédérés et un pour les utilisateurs non fédérés ( Oracle Cloud Infrastructure). Voir la capture d'écran suivante.

Le nom de la location est affiché à gauche. Au-dessous se trouve la zone de connexion pour les utilisateurs fédérés. À droite, se trouve la zone de connexion pour les utilisateurs non fédérés.

Les utilisateurs fédérés choisissent le fournisseur d'identités à utiliser pour la connexion, puis ils sont redirigés vers l'expérience de connexion de ce fournisseur d'identités pour l'authentification. Après avoir saisi son nom de connexion et son mot de passe, l'utilisateur est authentifié par le fournisseur d'identités, puis redirigé vers la console Oracle Cloud Infrastructure.

Les utilisateurs fédérés (sans configuration SCIM) ne peuvent pas accéder à la page "Paramètres de l'utilisateur" dans la console. Cette page est l'endroit où un utilisateur peut modifier ou réinitialiser son mot de passe de console et gérer les autres données d'identification Oracle Cloud Infrastructure, telles que les clés de signature d'API et les jetons d'authentification.

Pour ajouter et gérer des fournisseurs d'identités dans votre location, vous devez être autorisé à le faire par une politique GIA. Si vous êtes membre du groupe Administrateurs, vous disposez de l'accès requis.

Voici une politique plus limitée qui restreint l'accès aux ressources liées aux fournisseurs d'identités et aux mappages de groupes :

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de précisions sur l'écriture de politiques pour des groupes ou d'autres composants GIA, voir Informations détaillées sur le service GIA sans domaines d'identité.

Pour obtenir des instructions sur la fédération avec d'autres fournisseurs d'identités, voir :

Fédération avec Microsoft Active Directory

Fédération avec Microsoft Azure Active Directory

Configuration d'Oracle Cloud Infrastructure et d'Okta aux fins de fédération et de provisionnement (document technique)

Fédération avec les fournisseurs d'identités SAML 2.0