Fédération avec Microsoft Active Directory

Cette rubrique décrit la fédération avec Microsoft Active Directory à l'aide de Microsoft Active Federation Services (AD FS).

Note

Avant de passer aux étapes de cette rubrique, voir Fédération avec des fournisseurs d'identités pour plus d'informations sur les concepts généraux liés à la fédération.

À propos de la fédération avec Microsoft Active Directory

Votre organisation peut avoir plusieurs comptes Active Directory (par exemple, un pour chaque division de l'organisation). Vous pouvez fédérer plusieurs comptes Active Directory avec Oracle Cloud Infrastructure, mais chaque approbation de fédération que vous configurez doit correspondre à un seul compte Active Directory.

Pour vous fédérez avec Active Directory, vous configurez une approbation entre Active Directory et Oracle Cloud Infrastructure. Pour configurer cette approbation, vous effectuez certaines étapes dans la console Oracle Cloud Infrastructure et certaines étapes dans Active Directory Federation Services.

Voici le processus général qu'un administrateur suit pour configurer la fédération avec Active Directory. Les détails de chaque étape sont fournis dans les sections ci-dessous.

Obtenir les informations requises depuis Active Directory Federation Services.
Fédérer Active Directory avec Oracle Cloud Infrastructure :
1. Ajouter le fournisseur d'identités (AD FS) à votre location et fournir les informations requises.
2. Mapper les groupes Active Directory aux groupes GIA.
Dans Active Directory Federation Services, ajouter Oracle Cloud Infrastructure en tant qu'approbation de partie de confiance.
Dans Active Directory Federation Services, ajouter les règles de revendication requises dans la réponse d'authentification par Oracle Cloud Infrastructure.
Tester votre configuration en vous connectant à Oracle Cloud Infrastructure à l'aide de vos données d'identification Active Directory.

Fédération avec Active Directory

Préalables

Vous avez installé et configuré Active Directory Federation Services pour votre organisation.

Vous avez configuré des groupes dans Active Directory pour les mapper à des groupes dans Oracle Cloud Infrastructure.

Conseil

Nommez les groupes Active Directory que vous prévoyez de mapper aux groupes Oracle Cloud Infrastructure avec un préfixe commun, pour faciliter l'application d'une règle de filtre. Par exemple, OCI_Administrators, OCI_NetworkAdmins, OCI_InstanceLaunchers.

Étape 1 : Obtenir les informations requises depuis Active Directory Federation Services

Sommaire : Obtenir le document de métadonnées SAML et les noms des groupes Active Directory que vous voulez mapper aux groupes GIA d'Oracle Cloud Infrastructure.

Localisez le document de métadonnées SAML pour votre serveur de fédération AD FS. Par défaut, il figure dans cette URL :
```
https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml
```
Téléchargez ce document et notez l'emplacement dans lequel vous l'enregistrez. Vous allez charger ce document dans la console dans l'étape suivante.
Notez tous les groupes Active Directory à mapper aux groupes GIA d'Oracle Cloud Infrastructure. Vous devrez les entrer dans la console dans l'étape suivante.

Étape 2 : Ajouter Active Directory en tant que fournisseur d'identités dans Oracle Cloud Infrastructure

Sommaire : Ajouter le fournisseur d'identités à votre location. Vous pouvez configurer les mappages de groupes en même temps ou les configurer ultérieurement.

Allez à la console et connectez-vous avec votre nom de connexion et votre mot de passe Oracle Cloud Infrastructure.
Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
Cliquez sur Ajouter un fournisseur d'identités.
Entrez les informations suivantes :
1. Nom d'affichage : Nom unique pour cette approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils sélectionnent le fournisseur d'identités à utiliser lors de la connexion à la console. Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
2. Description : Description conviviale.
3. Type : Sélectionnez Microsoft Active Directory Federation Services (ADFS) ou un fournisseur d'identités conforme à SAML 2.0.
4. XML : Chargez le fichier FederationMetadata.xml que vous avez téléchargé à partir d'Azure AD.
5. Cliquez sur Afficher les options avancées.
6. Chiffrer l'assertion : La sélection de la case à cocher permet au service IAM de savoir s'attendre au chiffrement à partir de IdP. Ne sélectionnez cette case que si vous avez activé le chiffrement de l'assertion dans Azure AD.
  
  Pour activer le chiffrement de l'assertion pour cette application d'authentification unique dans Azure AD, configurez le certificat de signature SAML dans Azure AD pour signer la réponse et l'assertion SAML. Pour plus d'informations, voir la documentation relative à Azure AD.
7. Forcer l'authentification : Option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent fournir leurs données d'identification au fournisseur d'identités (se réauthentifier), même lorsqu'ils sont déjà connectés à une autre session.
8. Références de classe du contexte d'authentification : Ce champ est obligatoire pour les clients Government Cloud. Lorsqu'une ou plusieurs valeurs sont spécifiées, Oracle Cloud Infrastructure s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML retournée par le fournisseur d'identités doit contenir un énoncé d'authentification avec cette référence de classe de contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est spécifié ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une valeur 400. Plusieurs références de classe de contexte d'authentification communes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisée, puis entrez manuellement la référence de classe.
9. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
Cliquez sur Continuer.
Configurez les mappages entre les groupes Active Directory et les groupes GIA dans Oracle Cloud Infrastructure. Un groupe Active Directory donné peut être mappé à zéro, un ou plusieurs groupes GIA, et inversement. Toutefois, chaque mappage individuel existe uniquement entre un seul groupe Active Directory et un seul groupe GIA. En général, les modifications apportées aux mappages de groupes sont reflétées en quelques secondes dans votre région principale, mais peuvent prendre quelques minutes pour se propager à toutes les régions.

Note

Si vous ne voulez pas configurer les mappages de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour ajouter des mappages.

Pour créer un mappage de groupes :
1. Sous Groupe du fournisseurs d'identités, entrez le nom du groupe Active Directory. Vous devez entrer le nom exact, y compris la casse correcte.
  
  Choisissez le groupe GIA auquel vous voulez mapper ce groupe dans la liste sous Groupe OCI.
  
  Conseil
  
  Exigences relatives au nom du groupe GIA : Aucun espace. Caractères autorisés : lettres, chiffres, traits d'union, points, traits de soulignement et signes plus (+). Le nom ne peut pas être modifié par la suite.
2. Répétez les sous-étapes ci-dessus pour chaque mappage à créer, puis cliquez sur Créer.

Le fournisseur d'identités est maintenant ajouté à votre location et apparaît dans la liste de la page Fédération. Cliquez sur le fournisseur d'identités pour voir ses détails et les mappages de groupes que vous venez de configurer.

Oracle affecte au fournisseur d'identités et à chaque mappage de groupes un ID unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

À l'avenir, revenez à la page Fédération si vous voulez modifier les mappages de groupes ou supprimer le fournisseur d'identités de votre location.

Étape 3 : Copier l'URL du document des métadonnées de fédération d'Oracle Cloud Infrastructure

Sommaire : La page Fédération affiche un lien vers le document de métadonnées de fédération d'Oracle Cloud Infrastructure. Avant de passer à la configuration des services de fédération Active Directory, vous devez copier l'URL.

Sur la page Fédération, cliquez sur Télécharger ce document.

Copiez l'URL. L'URL ressemble à celle-ci :

https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Étape 4 : Dans les services de fédération Active Directory, ajouter Oracle Cloud Infrastructure en tant qu'approbation de partie de confiance

Allez à la console AD FS Management et connectez-vous au compte à fédérer.
Ajoutez Oracle Cloud Infrastructure comme approbation de partie de confiance :
1. Dans la console de gestion AD FS, cliquez avec le bouton droit de la souris sur AD FS et sélectionnez Ajouter une approbation de partie de confiance.
2. Dans l'Assistant Ajout d'approbation de partie de confiance, cliquez sur Démarrer.
3. Sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance.
  
  Collez l'URL des métadonnées de fédération Oracle Cloud Infrastructure que vous avez copiées à l'étape 3. Cliquez sur Suivant.
  
  AD FS se connecte à l'URL. Si vous obtenez une erreur lors de la tentative de lecture des métadonnées de fédération, vous pouvez également charger le document XML des métadonnées de fédération Oracle Cloud Infrastructure.
  Pour charger le document des métadonnées de fédération
  Dans un navigateur Web, collez l'URL des métadonnées de fédération Oracle Cloud Infrastructure dans la barre d'adresse.
  
  Enregistrez le document XML dans un emplacement accessible par la console de gestion AD FS.
  
  Dans l'étape Sélectionner une source de données de l'Assistant Ajouter une approbation de partie de confiance, sélectionnez Importer les données concernant la partie de confiance à partir d'un fichier.
  
  Cliquez sur Parcourir et sélectionnez le fichier metadata.xml que vous avez enregistré.
  
  Cliquez sur Suivant.
4. Définissez le nom d'affichage de la partie de confiance (par exemple, Oracle Cloud Infrastructure), puis cliquez sur Suivant.
5. Sélectionnez Ne pas configurer les paramètres d'authentification multifacteur pour cette approbation de partie de confiance.
6. Choisissez les règles d'autorisation d'émission appropriées pour autoriser tous les utilisateurs à accéder à la partie de confiance ou leur refuser l'accès. Notez que si vous sélectionnez "Refuser", vous devrez ajouter les règles d'autorisation ultérieurement pour permettre l'accès aux utilisateurs appropriés.
  
  Cliquez sur Suivant.
7. Vérifiez les paramètres et cliquez sur Suivant.
8. Cochez Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de fournisseur à la fermeture de l'Assistant, puis cliquez sur Fermer.

Étape 5 : Ajouter les règles de revendication pour la partie de confiance Oracle Cloud Infrastructure

Sommaire : Ajouter les règles de revendication afin que les éléments dont Oracle Cloud Infrastructure a besoin (ID nom et groupes) soient ajoutés à la réponse d'authentification SAML.

Ajouter la règle d'ID nom :

Dans l'Assistant Ajout de règle de revendication de transformation, sélectionnez Transformer une revendication entrante, puis cliquez sur Suivant.
Entrez les informations suivantes :
- Nom de la règle de revendication : Entrez un nom pour cette règle, par exemple idnom.
- Type de revendication entrante : Sélectionnez le nom de compte Windows.
- Type de revendication sortante : Sélectionnez ID nom.
- Format d'ID de nom sortant : Sélectionnez Identificateur persistant.
- Sélectionnez Passer toutes les valeurs de revendication.
- Cliquez sur Terminer.
La règle s'affiche dans la liste des règles. Cliquez sur Ajouter une règle.

Ajouter la règle de groupes :

Important

Les utilisateurs qui font partie de plus de 100 groupes du fournisseur d'identités ne peuvent pas être authentifiés pour utiliser la console Oracle Cloud Infrastructure. Pour activer l'authentification, appliquez un filtre à la règle de groupes, comme décrit ci-dessous.

Si vos utilisateurs Active Directory ne font pas partie de plus de 100 groupes

Ajouter la règle de groupes :

Sous le modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée. Cliquez sur Suivant.

Dans l'Assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :

Nom de la règle de revendication : Entrez groupes.

Règle personnalisée : Entrez la règle personnalisée suivante :

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

Cliquez sur Terminer.

Si vos utilisateurs Active Directory font partie de plus de 100 groupes

Ajouter la règle de groupes avec un filtre :

Pour limiter les groupes envoyés à Oracle Cloud Infrastructure, créez deux règles de revendication personnalisées. La première extrait tous les groupes auxquels l'utilisateur appartient directement et indirectement. La seconde règle applique un filtre pour limiter le nombre de groupes transmis au fournisseur de services uniquement à ceux qui correspondent aux critères de filtrage.

Ajouter la première règle :

Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.
Sous le modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée. Cliquez sur Suivant.
Dans l'Assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :
1. Nom de la règle de revendication : Entrez un nom, par exemple, groupes.
2. Règle personnalisée : Entrez la règle personnalisée suivante :
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
```
  Notez que dans cette règle personnalisée, vous utilisez le verbe add au lieu du verbe issue. Cette commande transmet les résultats de la règle à la règle suivante, au lieu de les envoyer au fournisseur de services.
3. Cliquez sur Terminer.
Maintenant, ajoutez la règle de filtrage.
1. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.
2. Sous le modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée. Cliquez sur Suivant.
3. Dans l'Assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :
  1. Nom de la règle de revendication : Entrez groupes.
  2. Règle personnalisée : Entrez une règle de filtrage appropriée. Par exemple, pour envoyer uniquement des groupes qui commencent par la chaîne "OCI", entrez les informations suivantes :
```
c:[Type == "https://auth.oraclecloud.com/saml/claims/groupName", Value =~ "(?i)OCI"] => issue(claim = c);
```
    Cette règle filtre la liste à partir de la première règle pour n'afficher que les groupes commençant par la chaîne OCI. La commande issue envoie les résultats de la règle au fournisseur de services.
    
    Vous pouvez créer des filtres avec les critères appropriés pour votre organisation.
    
    Pour plus d'informations sur la syntaxe AD FS relative aux règles personnalisées, voir le document Microsoft : Présentation du langage de règle de revendication dans AD FS 2.0 et version supérieure.
  3. Cliquez sur Terminer.

Étape 6 : Configurer les politiques GIA pour les groupes

Si vous ne l'avez pas encore fait, configurez les politiques GIA pour contrôler l'accès des utilisateurs fédérés aux ressources Oracle Cloud Infrastructure de votre organisation. Pour plus d'informations, voir Introduction aux politiques et Politiques communes.

Étape 7 : Indiquer à vos utilisateurs fédérés le nom du locataire et l'URL pour la connexion

Indiquez aux utilisateurs fédérés l'URL de la console Oracle Cloud Infrastructure, https://cloud.oracle.com, ainsi que le nom du locataire. Ils seront invités à fournir le nom du locataire lorsqu'ils se connecteront à la console.

Gestion des fournisseurs d'identités dans la console

Pour ajouter un fournisseur d'identités

Voir À propos de la fédération avec Microsoft Active Directory.

Pour supprimer un fournisseur d'identités

Tous les mappages de groupes du fournisseur d'identités seront également supprimés.

Supprimez le fournisseur d'identités de votre location :
1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  
  Une liste des fournisseurs d'identités de votre location s'affiche.
2. Cliquez sur le fournisseur d'identités pour voir ses détails.
3. Cliquez sur Supprimer.
4. Confirmez l'opération à l'invite.

Pour ajouter des mappages de groupes pour un fournisseur d'identités

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

Une liste des fournisseurs d'identités de votre location s'affiche.
Cliquez sur le fournisseur d'identités pour voir ses détails.
Cliquez sur Ajouter des mappages.
1. Sous Groupe du fournisseurs d'identités, entrez le nom du groupe Active Directory. Le nom que vous entrez ici doit correspondre exactement au nom dans Active Directory.
2. Choisissez le groupe GIA auquel vous voulez mapper ce groupe dans la liste sous Groupe OCI.
3. Pour ajouter d'autres mappages, cliquez sur + Un autre mappage.
4. Lorsque vous avez terminé, cliquez sur Ajouter des mappages.

En général, les modifications sont appliquées en quelques secondes.

Pour mettre à jour un mappage de groupes

Vous ne pouvez pas mettre à jour un mappage de groupes, mais vous pouvez supprimer le mappage et en ajouter un nouveau.

Pour supprimer un mappage de groupes

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

Une liste des fournisseurs d'identités de votre location s'affiche.
Cliquez sur le fournisseur d'identités pour voir ses détails.
Pour le mappage à supprimer, sélectionnez-le, puis cliquez sur Supprimer.
Confirmez l'opération à l'invite.

En général, les modifications sont appliquées en quelques secondes.

Gestion des fournisseurs d'identités dans l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations d'API suivantes :

Fournisseurs d'identités :

CreateIdentityProvider
ListIdentityProviders
GetIdentityProvider
UpdateIdentityProvider
DeleteIdentityProvider : Afin de pouvoir utiliser cette opération, vous devez d'abord utiliser DeleteIdpGroupMapping pour supprimer tous les mappages de groupes du fournisseur d'identités.

Mappages de groupes :

CreateIdpGroupMapping : Chaque mappage de groupes est une entité distincte ayant son propre OCID.
ListIdpGroupMappings
GetIdpGroupMapping
UpdateIdpGroupMapping
DeleteIdpGroupMapping

Documentation sur Oracle Cloud Infrastructure