Fédération avec Microsoft Azure Active Directory

Sommaire : La page Fédération de la console Oracle Cloud Infrastructure affiche un lien vers le document de métadonnées de fédération Oracle Cloud Infrastructure. Avant de configurer l'application dans Azure AD, vous devez télécharger le document.

1. Allez à la page Fédération : Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

2. Sur la page Fédération, cliquez sur Télécharger ce document.

   

   Une fois que vous avez cliqué sur le lien, le document metadata.xml s'ouvre dans votre fenêtre de navigateur. Utilisez la commande Enregistrer la page sous de votre navigateur pour enregistrer le document xml localement, où vous pourrez y accéder ultérieurement.

1. Dans le portail Azure, dans le panneau de navigation de gauche, sélectionnez Azure Active Directory.

2. Dans le volet Azure Active Directory, sélectionnez Applications d'entreprise. Un échantillon des applications de votre locataire Azure AD s'affiche.

3. Dans la partie supérieure du volet Toutes les applications, cliquez sur Nouvelle application.
4. Dans la région Ajouter à partir de la galerie, entrez Console Oracle Cloud Infrastructure dans la zone de recherche.

5. Sélectionnez l'application Console Oracle Cloud Infrastructure dans les résultats.

6. Dans le formulaire propre à l'application, vous pouvez modifier les informations relatives à l'application. Par exemple, vous pouvez modifier le nom de l'application.

7. Lorsque vous avez terminé de modifier les propriétés, sélectionnez Créer.

   La page de démarrage s'affiche avec les options de configuration de l'application pour votre organisation.

1. Dans la section Gérer, sélectionnez Authentification unique.

   

2. Sélectionnez SAML pour configurer l'authentification unique. La page Configurer l'authentification unique avec SAML s'affiche.

3. Dans le haut de la page, cliquez sur Charger le fichier de métadonnées.

   

4. Localisez le fichier de métadonnées de fédération (metadata.xml) téléchargé depuis Oracle Cloud Infrastructure à l'étape 1 et chargez-le ici. Une fois le fichier chargé, les champs suivants sous Configuration SAML de base sont automatiquement alimentés :

   • Identificateur (ID entité)
   • URL de réponse (URL du service ACS)

5. Dans la section Configuration SAML de base, cliquez sur Modifier. Dans le volet Configuration SAML de base, remplissez le champ obligatoire suivant :

   • URL de connexion : Entrez l'URL dans le format suivant :

     https://cloud.oracle.com

     

6. Cliquez sur Enregistrer.

Le modèle d'application d'entreprise de la console Oracle Cloud Infrastructure est prédéfini avec les attributs requis. Vous n'avez donc pas besoin d'en ajouter. Cependant, vous devez effectuer les personnalisations suivantes :

1. Dans la section Attributs et revendications d'utilisateur, cliquez sur Modifier dans l'angle supérieur droit. Le panneau Gérer la revendication s'affiche.

2. À côté du champ de valeur de l'identificateur de nom, cliquez sur Modifier.

   • Sous Revendication requise, sélectionnez Identificateur d'utilisateur unique (ID nom).
   • Sélectionnez le champ Adresse de courriel et remplacez son contenu par Persistant.
   • Pour Source, sélectionnez Attribut.

   • Pour Attribut source, sélectionnez user.userprincipalname.

     

   • Cliquez sur Enregistrer.

3. Cliquez sur Ajouter une réclamation de groupe.

4. Dans le panneau Revendications du groupe, configurez les éléments suivants :

   • Sélectionnez Groupes de sécurité.
   • Attribut source : Sélectionnez ID groupe.
   • Sous Options avancées, sélectionnez Personnaliser le nom de la revendication de groupe.

   • Dans le champ Nom, entrez : nom du groupe.

     Vérifiez que vous entrez le nom du groupe avec l'orthographe et la casse indiquées.

   • Dans le champ Espace de noms, entrez : https://auth.oraclecloud.com/saml/claims

     
   • Cliquez sur Enregistrer.

1. Dans la section Certificat de signature SAML, cliquez sur le lien de téléchargement situé à côté de XML des métadonnées de fédération.

2. Téléchargez ce document et notez l'emplacement dans lequel vous l'enregistrez. Vous allez charger ce document dans la console dans l'étape suivante.

Pour permettre aux utilisateurs d'Azure AD de se connecter à Oracle Cloud Infrastructure, vous devez affecter les groupes d'utilisateurs appropriés à votre nouvelle application d'entreprise.

1. Dans le volet de navigation de gauche, sous Gérer, sélectionnez Utilisateurs et groupes.
2. Cliquez sur Ajouter en haut de la liste Utilisateurs et groupes pour ouvrir le volet Ajouter une affectation.

3. Cliquez sur le sélecteur d'utilisateurs et de groupes.

4. Entrez le nom du groupe à affecter à l'application dans la zone Rechercher par nom ou adresse de messagerie.

5. Survolez le groupe dans la liste des résultats pour afficher une case à cocher. Cochez la case pour ajouter le groupe à la liste Sélectionnés.

6. Lorsque vous avez terminé de sélectionner des groupes, cliquez sur Sélectionner pour les ajouter à la liste des utilisateurs et des groupes à affecter à l'application.

7. Cliquez sur Affecter pour affecter l'application aux groupes sélectionnés.

Sommaire : Ajouter le fournisseur d'identités à votre location. Vous pouvez configurer les mappages de groupes en même temps ou les configurer ultérieurement.

1. Allez à la console et connectez-vous avec vos nom d'utilisateur et mot de passe Oracle Cloud Infrastructure.
2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
3. Cliquez sur Ajouter un fournisseur d'identités.

4. Entrez les informations suivantes :

   1. Nom d'affichage : Nom unique pour cette approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils sélectionnent le fournisseur d'identités à utiliser lors de la connexion à la console. Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
   2. Description : Description conviviale.
   3. Type : Sélectionnez Fournisseur d'identités conforme à SAML 2.0.
   4. XML : Chargez le fichier FederationMetadata.xml que vous avez téléchargé à partir d'Azure AD.
   5. Cliquez sur Afficher les options avancées.

   6. Chiffrer l'assertion : La sélection de la case à cocher permet au service IAM de savoir s'attendre au chiffrement à partir de IdP. Ne sélectionnez cette case que si vous avez activé le chiffrement de l'assertion dans Azure AD.

      Pour activer le chiffrement de l'assertion pour cette application d'authentification unique dans Azure AD, configurez le certificat de signature SAML dans Azure AD pour signer la réponse et l'assertion SAML. Pour plus d'informations, voir la documentation relative à Azure AD.

   7. Forcer l'authentification : Option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent fournir leurs données d'identification au fournisseur d'identités (se réauthentifier), même lorsqu'ils sont déjà connectés à une autre session.
   8. Références de classe du contexte d'authentification : Ce champ est obligatoire pour les clients Government Cloud. Lorsqu'une ou plusieurs valeurs sont spécifiées, Oracle Cloud Infrastructure s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML retournée par le fournisseur d'identités doit contenir un énoncé d'authentification avec cette référence de classe de contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est spécifié ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une valeur 400. Plusieurs références de classe de contexte d'authentification communes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisée, puis entrez manuellement la référence de classe.
   9. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.

5. Cliquez sur Continuer.

   Note
   
   

   Si vous ne voulez pas configurer les mappages de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour ajouter des mappages.

Sommaire : Configurer les mappages entre les groupes Azure AD et les groupes GIA dans Oracle Cloud Infrastructure. Un groupe Azure AD donné peut être mappé à zéro, un ou plusieurs groupes GIA, et inversement. Toutefois, chaque mappage individuel existe uniquement entre un seul groupe Azure AD et un seul groupe GIA. En général, les modifications apportées aux mappages de groupes sont reflétées en quelques secondes dans votre région principale, mais peuvent prendre quelques minutes pour se propager à toutes les régions. Notez que les groupes Azure AD que vous choisissez de mapper doivent également être affectés à l'application d'entreprise dans Azure AD. Voir Étape 6 : Affecter des groupes d'utilisateurs à l'application.

Avant de commencer : Ouvrez la page de vos groupes Azure AD. Dans le tableau de bord Azure, sous Gérer, sélectionnez Groupes. Dans la liste des groupes, sélectionnez le groupe que vous voulez mapper à un groupe Oracle Cloud Infrastructure. Dans la page des détails du groupe, cliquez sur l'icône Copier à côté de l'ID objet pour le groupe.

Pour créer un mappage de groupes :

1. Pour Groupe du fournisseur d'identités, entrez (ou collez) l'ID objet du groupe Azure AD. Vous devez entrer l'ID objet exactement, y compris la casse correcte. Par exemple, un ID objet se présente comme suit : aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Choisissez le groupe GIA auquel vous voulez mapper ce groupe dans la liste sous Groupe OCI.

3. Répétez les étapes précédentes pour chaque mappage à créer, puis cliquez sur Créer.

Le fournisseur d'identités est maintenant ajouté à votre location et apparaît dans la liste de la page Fédération. Cliquez sur le fournisseur d'identités pour voir ses détails et les mappages de groupes que vous venez de configurer.

Oracle affecte au fournisseur d'identités et à chaque mappage de groupes un ID unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

À l'avenir, revenez à la page Fédération si vous voulez modifier les mappages de groupes ou supprimer le fournisseur d'identités de votre location.

Si vous ne l'avez pas encore fait, configurez les politiques GIA pour contrôler l'accès des utilisateurs fédérés aux ressources Oracle Cloud Infrastructure de votre organisation. Pour plus d'informations, voir Introduction aux politiques et Politiques communes.

Les utilisateurs fédérés ont besoin de l'URL de la console Oracle Cloud Infrastructure (par exemple, console) et du nom du locataire. Ils seront invités à fournir le nom du locataire lorsqu'ils se connecteront à la console.