Documentation sur Oracle Cloud Infrastructure

Fédération avec Oracle Identity Cloud Service

Cette rubrique pointe vers les rubriques appropriées pour fédérer Oracle Cloud Infrastructure avec Oracle Identity Cloud Service selon le moment où vous avez activé votre location.

Locations créées le 21 décembre 2018 et après

Ces locations sont automatiquement fédérées avec Oracle Identity Cloud Service et configurées pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure.

Pour gérer vos utilisateurs et groupes fédérés, voir Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

Pour plus d'informations sur la fédération, voir En savoir plus sur les utilisateurs fédérés du service Oracle Identity Cloud.

Locations créées entre le 18 décembre 2017 et le 20 décembre 2018

Ces locations sont automatiquement fédérées avec Oracle Identity Cloud Service, mais ne sont pas configurées pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure afin que ces utilisateurs disposent d'informations d'identification supplémentaires (clés d'API, jetons d'authentification, etc.).

Pour activer cette fonction pour les utilisateurs, vous devez effectuer une mise à niveau ponctuelle, voir : Provisionnement des utilisateurs pour les utilisateurs fédérés.

Après avoir effectué cette mise à niveau, voir Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer vos utilisateurs fédérés et groupes.

Fédération manuelle avec Oracle Identity Cloud Service

Votre organisation peut avoir plusieurs comptes Oracle Identity Cloud Service (par exemple, un pour chaque division de l'organisation). Vous pouvez fédérer plusieurs comptes Oracle Identity Cloud Service avec Oracle Cloud Infrastructure, mais chacune des approbations de fédération que vous configurez doit correspondre à un seul compte Oracle Identity Cloud Service.

Note

Avant de passer aux étapes de cette rubrique, voir Fédération avec des fournisseurs d'identités pour plus d'informations sur les concepts généraux liés à la fédération.

Composants de la fédération manuelle à comprendre

Données d'identification d'application Web et de client

Pour chaque approbation de fédération, vous devez configurer une application Web dans le service Oracle Identity Cloud (également nommée application approuvée); les instructions figurent sous Instructions pour la fédération avec le service Oracle Identity Cloud. L'application résultante comporte un jeu de données d'identification client (un ID client et une clé secrète client). Lorsque vous fédérez votre compte Oracle Identity Cloud Service avec Oracle Cloud Infrastructure, vous devez fournir ces données d'identification.

Application COMPUTEBAREMETAL

Une application approuvée dans Oracle Identity Cloud Service qui contient le jeu de données d'identification client (ID client et clé secrète client) que vous devrez fournir lors de la fédération de votre compte Oracle Identity Cloud Service avec Oracle Cloud Infrastructure.

URL requises

Le moyen le plus facile de se fédérer avec Oracle Identity Cloud Service est d'utiliser la console Oracle Cloud Infrastructure. Il est également possible de le faire par programmation avec l'API. Si vous utilisez la console, vous êtes invité à fournir une URL de base au lieu de l'URL de métadonnées. L'URL de base est la partie la plus à gauche de l'URL dans la fenêtre du navigateur lors de la connexion à la console Oracle Identity Cloud Service :

  • URL de base : <nom du compte Oracle Identity Cloud Service>.identity.oraclecloud.com

Si vous utilisez l'API pour la fédération, vous devez fournir l'URL de métadonnées, qui est l'URL de base avec /fed/v1/metadata ajouté à la fin, comme suit :

  • URL des métadonnées : <nom du compte Oracle Identity Cloud Service>.identity.oraclecloud.com/fed/v1/metadata

L'URL de métadonnées est un lien direct au fichier XML fourni par le fournisseur de données obligatoire pour la fédération. Si vous utilisez l'API, vous devez indiquer l'URL de métadonnées et les métadonnées proprement dites, lors de la fédération. Pour plus d'informations, voir Gestion des fournisseurs d'identités dans l'API.

Application OCI-V2-<tnom_location>

Lorsque vous fédérez manuellement un compte Oracle Identity Cloud Service avec Oracle Cloud Infrastructure, une nouvelle application SAML appelée OCI-V2-<nom_location> est automatiquement créée dans ce compte Oracle Identity Cloud Service. Si vous devez par la suite supprimer le fournisseur d'identités Oracle Identity Cloud Service de votre location Oracle Cloud Infrastructure, veillez à supprimer l'OCI-V2-<nom_location> dans Oracle Identity Cloud Service. Si vous ne le faites pas et que vous tentez ultérieurement de fédérer le même compte Oracle Identity Cloud Service, vous obtenez une erreur 409 indiquant qu'une application portant le même nom existe déjà (c'est-à-dire OCI-V2-<nom_location>).

Utilisateur provisionné

Un utilisateur provisionné est provisionné par Oracle Identity Cloud Service dans Oracle Cloud Infrastructure et synchronisé avec un utilisateur fédéré géré dans Oracle Identity Cloud Service. L'utilisateur provisionné peut avoir des données d'identification spéciales pour Oracle Cloud Infrastructure, telles que des clés d'API et des jetons d'authentification pour permettre l'accès par programmation. Les utilisateurs provisionnés ne peuvent pas disposer de mots de passe de console.

Instructions pour la fédération avec Oracle Identity Cloud Service

Voici le processus général qu'un administrateur suit pour configurer le fournisseur d'identités; des instructions pour chaque étape sont fournies ci-dessous. L'administrateur est supposé être un utilisateur Oracle Cloud Infrastructure disposant des données d'identification et de l'accès nécessaires.

  1. Se connecter à Oracle Identity Cloud Service. Effectuer l'une des actions suivantes, selon le cas :

    Option A : Obtenir les informations requises depuis l'application COMPUTEBAREMETAL dont vous aurez besoin pour effectuer les étapes de configuration dans Oracle Cloud Infrastructure.

    Option B : Si Oracle Identity Cloud Service n'inclut pas l'application COMPUTEBAREMETAL, configurer une application approuvée.

  2. Dans Oracle Cloud Infrastructure, configurer la fédération :

    1. Configurer Oracle Identity Cloud Service en tant que fournisseur d'identités.
    2. Mapper les groupes Oracle Identity Cloud Service aux groupes GIA.
  3. Dans Oracle Cloud Infrastructure, configurer les politiques GIA pour les groupes GIA afin de définir l'accès que vous voulez que les membres des groupes mappés aient.
  4. Informer les utilisateurs du nom du locataire Oracle Cloud Infrastructure et de l'URL de la console, https://cloud.oracle.com.
Étape 1 : Obtenir les informations requises depuis Oracle Identity Cloud Service
Option A : Obtenir les informations depuis l'application COMPUTEBAREMETAL
  1. Accédez à la console Oracle Identity Cloud Service et connectez-vous avec des privilèges d'administrateur. Veillez à utiliser la console d'administration.

  2. Dans la console, cliquez sur Applications. La liste des applications approuvées s'affiche.

  3. Cliquez sur COMPUTEBAREMETAL. Si votre instance n'inclut pas l'application COMPUTEBAREMETAL, effectuez l'étape 1 Option B à la place.
  4. Cliquez sur Configuration.

  5. Développez Informations générales. L'ID client est affiché. Cliquez sur Afficher la clé secrète pour afficher la clé secrète client.

    La capture d'écran affiche la clé secrète client dans la console Oracle Identity Cloud Service.

  6. Enregistrez l'ID client et la clé secrète client. Ils sont similaires à ce qui suit :

    • ID client : de06b81cb45a45a8acdcde923402a9389d8
    • Clé secrète client : 8a297afd-66df-49ee-c67d-39fcdf3d1c31
Option B : Configurer une application approuvée et obtenir les informations requises depuis Oracle Identity Cloud Service

Effectuez cette étape uniquement si vous n'avez pas pu effectuer l'étape 1 Option A.

Sommaire : Pour le service Oracle Identity Cloud, vous devez créer une application confidentielle (également appelée application approuvée) avec des propriétés particulières décrites dans les instructions suivantes. Pour la documentation générale sur Oracle Identity Cloud Service, voir Ajouter une application confidentielle.

Instructions pour le service Oracle Identity Cloud :

  1. Accédez à la console Oracle Identity Cloud Service et connectez-vous avec des privilèges permettant de créer l'application. Veillez à utiliser la console d'administration.

  2. Ajoutez une application confidentielle (ou approuvée), qui active une interaction par programmation sécurisée entre Oracle Cloud Infrastructure et Oracle Identity Cloud Service. Spécifiez ces éléments lors de la configuration de l'application :

    1. Dans la première page :

      1. Entrez un nom d'application (par exemple, Fédération pour Oracle Cloud Infrastructure).
      2. Laissez les autres champs vides ou désélectionnés.

    2. Dans la page suivante :

      1. Sélectionnez Configurer cette application comme client maintenant.
      2. Pour Types de droits autorisés, sélectionnez la case à cocher Données d'identification du client.
      3. Laissez les autres champs vides.

      4. Dans le bas de la page :

        1. Cochez la case Accorder l'accès du client aux API d'administration Identity Cloud Service.
        2. Sélectionnez Administrateur de domaine d'identité dans la liste des rôles.
    3. Dans la page suivante, laissez les champs vides ou désélectionnés et continuez jusqu'à ce que vous cliquiez sur Terminer.

    4. Copiez et collez les données d'identification de client affichées pour pouvoir les fournir ultérieurement à Oracle Cloud Infrastructure lors de la fédération. Vous pouvez voir les données d'identification du client de l'application à tout moment dans la console Oracle Identity Cloud Service. Ils sont similaires à ce qui suit :

      • ID client : de06b81cb45a45a8acdcde923402a9389d8
      • Clé secrète client : 8a297afd-66df-49ee-c67d-39fcdf3d1c31
  3. Enregistrez l'URL de base Oracle Identity Cloud Service, dont vous aurez besoin pour la fédération.
  4. Activez l'application.
Étape 2 : Ajouter Oracle Identity Cloud Service en tant que fournisseur d'identités dans Oracle Cloud Infrastructure
  1. Allez à la console et connectez-vous avec votre nom de connexion et votre mot de passe Oracle Cloud Infrastructure.
  2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  3. Cliquez sur Ajouter un fournisseur d'identités.

  4. Entrez les informations suivantes :

    1. Nom : Nom unique pour cette approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils sélectionnent le fournisseur d'identités à utiliser lors de la connexion à la console (par exemple, ABCCorp_IDCS comme dans la capture d'écran de la page Expérience pour les utilisateurs fédérés). Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cette valeur ultérieurement.
    2. Description : Description conviviale.
    3. URL de base IDCS : Voir URL obligatoires.
    4. ID client : Provenant de l'étape 1, Option A ou Option B.
    5. Clé secrète du client : Provenant de l'étape 1, Option A ou Option B.
    6. Chiffrer l'assertion : La sélection de la case à cocher permet au service IAM de savoir s'attendre au chiffrement à partir de IdP. Si vous sélectionnez cette case à cocher, vous devez également configurer le chiffrement de l'assertion dans IDCS. Pour plus d'informations, voir Concepts généraux. Pour plus d'informations sur la configuration de cette fonctionnalité dans IDCS, voir Gestion des applications Oracle Identity Cloud Service.
    7. Forcer l'authentification : Option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent fournir leurs données d'identification au fournisseur d'identités (se réauthentifier), même lorsqu'ils sont déjà connectés à une autre session.
    8. Références de classe du contexte d'authentification : Ce champ est obligatoire pour les clients Government Cloud. Lorsqu'une ou plusieurs valeurs sont spécifiées, Oracle Cloud Infrastructure s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML retournée par le fournisseur d'identités doit contenir un énoncé d'authentification avec cette référence de classe de contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est spécifié ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une valeur 400. Plusieurs références de classe de contexte d'authentification communes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisée, puis entrez manuellement la référence de classe.
    9. Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous n'êtes pas sûr d'appliquer des marqueurs, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des marqueurs plus tard.
  5. Cliquez sur Continuer.

  6. Configurez les mappages entre les groupes Oracle Identity Cloud Service et les groupes GIA dans Oracle Cloud Infrastructure. Un groupe Oracle Identity Cloud Service particulier peut être mappé à zéro, un ou plusieurs groupes GIA, et inversement. Toutefois, chaque mappage individuel existe uniquement entre un seul groupe Oracle Identity Cloud Service et un seul groupe GIA. Les modifications apportées aux mappages de groupes s'appliquent généralement en quelques secondes.

    Note

    Si vous ne voulez pas configurer les mappages de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour ajouter des mappages.

    Pour créer un mappage de groupes :

    1. Sélectionnez le groupe du service Oracle Identity Cloud dans la liste sous Groupe du fournisseur d'identité.

    2. Choisissez le groupe GIA auquel vous voulez mapper ce groupe dans la liste sous Groupe OCI.

      Conseil

      Exigences relatives au nom du groupe GIA : Aucun espace. Caractères autorisés : lettres, chiffres, traits d'union, points, traits de soulignement et signes plus (+). Le nom ne peut pas être modifié par la suite.
    3. Répétez les sous-étapes ci-dessus pour chaque mappage à créer, puis cliquez sur Créer.

Après la configuration de la fédération

Le fournisseur d'identités est maintenant ajouté à votre location et apparaît dans la liste de la page Fédération. Cliquez sur le fournisseur d'identités pour voir ses détails et les mappages de groupes que vous venez de configurer.

Oracle affecte au fournisseur d'identités et à chaque mappage de groupes un ID unique appelé ID Oracle Cloud (OCID). Pour plus d'informations, voir Identificateurs de ressource.

À l'avenir, revenez à la page Fédération si vous voulez modifier les mappages de groupes ou supprimer le fournisseur d'identités de votre location.

Les utilisateurs qui appartiennent aux groupes Oracle Identity Cloud Service mappés aux groupes Oracle Cloud Infrastructure figurent maintenant dans la page Utilisateurs de la console. Voir Gestion des capacités d'utilisateur pour les utilisateurs fédérés pour plus d'informations sur l'affectation de données d'identification supplémentaires pour ces utilisateurs.

Étape 3 : Configurer les politiques GIA pour les groupes

Si vous ne l'avez pas encore fait, configurez les politiques GIA pour contrôler l'accès des utilisateurs fédérés aux ressources Oracle Cloud Infrastructure de votre organisation. Pour plus d'informations, voir Introduction aux politiques et Politiques communes.

Étape 4 : Indiquer à vos utilisateurs fédérés le nom du locataire et l'URL pour la connexion

Indiquez aux utilisateurs fédérés l'URL de la console Oracle Cloud Infrastructure, https://cloud.oracle.com, ainsi que le nom du locataire. Ils seront invités à fournir le nom du locataire lorsqu'ils se connecteront à la console.

Gestion des fournisseurs d'identités dans la console

Pour supprimer le fournisseur d'identités

Tous les mappages de groupes seront également supprimés.

  1. Supprimez le fournisseur d'identités de votre location :

    1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

      Une liste des fournisseurs d'identités de votre location s'affiche.

    2. Cliquez sur le fournisseur d'identités pour voir ses détails.
    3. Cliquez sur Supprimer.
    4. Confirmez l'opération à l'invite.
  2. Supprimez l'OCI-V2-<nom_location> de votre compte Oracle Identity Cloud Service :
    1. Accédez à Oracle Identity Cloud Service et connectez-vous au compte fédéré.
    2. Cliquez sur Applications. La liste des applications s'affiche.

    3. Recherchez l'OCI-V2-<nom_location> et cliquez sur son nom pour voir sa page de détails.

    4. Dans le coin supérieur droit de la page, cliquez sur Désactiver. Confirmez l'opération à l'invite.
    5. Cliquez sur Supprimer. Confirmez l'opération à l'invite.
Pour ajouter des mappages de groupes pour Oracle Identity Cloud Service

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

    Une liste des fournisseurs d'identités de votre location s'affiche.

  2. Cliquez sur le nom que vous avez choisi pour votre fédération Oracle Identity Cloud Service pour voir ses détails.

  3. Cliquez sur Ajouter des mappages.

    1. Sélectionnez le groupe du service Oracle Identity Cloud dans la liste sous Groupe du fournisseur d'identité.

    2. Choisissez le groupe GIA auquel vous voulez mapper ce groupe dans la liste sous Groupe OCI.

    3. Pour ajouter d'autres mappages, cliquez sur + Un autre mappage.
    4. Lorsque vous avez terminé, cliquez sur Ajouter des mappages.

En général, les modifications sont appliquées en quelques secondes dans votre région principale. Attendez quelques minutes pour que les modifications soient propagées dans toutes les régions.

Les utilisateurs qui appartiennent aux groupes Oracle Identity Cloud Service mappés aux groupes Oracle Cloud Infrastructure figurent maintenant dans la page Utilisateurs de la console. Voir Gestion des capacités d'utilisateur pour les utilisateurs fédérés pour plus d'informations sur l'affectation de données d'identification supplémentaires pour ces utilisateurs.

Pour mettre à jour ou supprimer un mappage de groupes

Vous ne pouvez pas mettre à jour un mappage de groupes, mais vous pouvez supprimer le mappage et en ajouter un nouveau.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

    Une liste des fournisseurs d'identités de votre location s'affiche.

  2. Cliquez sur le fournisseur d'identités pour voir ses détails.
  3. Pour le mappage à supprimer, sélectionnez-le, puis cliquez sur Supprimer.
  4. Confirmez l'opération à l'invite.
  5. Ajoutez un nouveau mappage, si vous le souhaitez.

En général, les modifications sont appliquées en quelques secondes dans votre région principale. Attendez quelques minutes pour que les modifications soient propagées dans toutes les régions.

Si cette action crée des utilisateurs fédérés sans appartenance à un groupe mappé à Oracle Cloud Infrastructure, les utilisateurs provisionnés des utilisateurs fédérés sont également supprimés d'Oracle Cloud Infrastructure. En général, ce processus prend quelques minutes.

Gestion des fournisseurs d'identités dans l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez les opérations d'API suivantes :

Fournisseurs d'identités : Mappages de groupes :