Documentation sur Oracle Cloud Infrastructure

Gestion d'un fournisseur d'identités SAML

Utilisez la console pour ajouter un fournisseur d'identités SAML 2.0 (IdP) à un domaine d'identité afin que les utilisateurs authentifiés à partir de IdP puissent accéder aux ressources Oracle Cloud Infrastructure et aux applications en nuage.

Termes communs

Fournisseur d'identités (IdP)

Un IdP est un service qui fournit des données d'identification et une authentification pour les utilisateurs.

Fournisseur de services

Service (tel qu'une application, un site Web, etc.) qui appelle un fournisseur d'identités pour authentifier des utilisateurs.

Pour créer une version SAML 2.0 IdP, procédez comme suit :

Configuration du provisionnement JIT SAML

Le provisionnement JIT SAML peut être configuré à l'aide de la console ou du point d'extrémité de l'API REST /admin/v1/IdentityProviders. Pour configurer le provisionnement JIT SAML, reportez-vous aux sections suivantes :

Ajout d'un fournisseur d'identités SAML

Entrée des détails SAML pour un fournisseur d'identités.

  1. Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, voir Liste des domaines d'identité.
  2. Dans la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. Une liste de fournisseurs d'identités dans le domaine s'affiche.
  3. Selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter SAML IdP, ou
    • Sélectionnez Ajouter IdP, puis Ajouter SAML IdP.
  4. Entrez les informations suivantes :
    • Nom : Entrez le nom de IdP.
    • (Facultatif) Description : Entrez une description de IdP.
    • (Facultatif) Icône du fournisseur d'identités : Glissez-déposez une image prise en charge ou sélectionnez en sélectionner une pour rechercher l'image.
  5. Sélectionnez Suivant.
  6. Dans l'écran Échanger des métadonnées, sélectionnez le bouton Exporter les métadonnées SAML pour envoyer les métadonnées SAML au fournisseur d'identités. Effectuez l'une des actions suivantes :
    • Importer les métadonnées IdP : Sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déposez le fichier XML pour charger les métadonnées, ou sélectionnez en sélectionner un pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : Sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Fournissez les informations suivantes :
      • URI de l'émetteur du fournisseur d'identités
      • URL du service d'authentification unique
      • Liaison du service d'authentification unique
      • Charger le certificat de signature du fournisseur d'identités
      • Activer la déconnexion globale
    • Importer l'URL IdP : Entrez l'URL de vos métadonnées IdP.
  7. Sélectionnez Afficher les options avancées pour sélectionner les options suivantes :
    • Algorithme de hachage de signature : Sélectionnez SHA-256 ou SHA-1
    • Exiger une assertion chiffrée : Indique que l'autorisation du domaine d'identité attend une assertion chiffrée de IdP.
    • Forcer l'authentification : Sélectionnez cette option pour exiger que les utilisateurs s'authentifient avec IdP, même si la session est toujours valide.
    • Contexte d'authentification demandé : Sélectionnez les références de classe de contenu d'authentification.
    • Confirmation de l'objet du détenteur de clé requise : Disponible après le chargement d'un fichier de métadonnées valide pris en charge par le détenteur de clé (HOK).
    • Envoyer le certificat de signature avec un message SAML : Sélectionnez cette option pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés par votre domaine d'identité. Certains fournisseurs SAML nécessitent le certificat de signature pour rechercher la configuration du partenaire SAML.
  8. Sélectionnez Suivant.
  9. Dans l'écran Ajouter un fournisseur d'identités SAML, procédez de la façon suivante :
    1. Sélectionnez un format d'ID nom demandé.
  10. Mappez les attributs d'identité de l'utilisateur reçus de IdP à un domaine d'identité Oracle Cloud Infrastructure.
    Les options de mappage varient en fonction du fournisseur d'identités. Vous pouvez affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mappé à UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.
  11. Sélectionnez Soumettre.
  12. Dans l'écran Vérifier et créer, vérifiez les paramètres du fournisseur d'identités SAML. Si les paramètres sont corrects, sélectionnez Créer. Sélectionnez Modifier à côté du jeu de paramètres, si vous devez les modifier.
  13. La console affiche un message lors de la création du fournisseur d'identités SAML. Vous pouvez effectuer les opérations suivantes à partir de la page d'aperçu :
    • Sélectionnez Tester pour vérifier que la connexion SSO SAML fonctionne correctement.
    • Sélectionnez Activer pour activer IdP afin que le domaine d'identité puisse l'utiliser.
    • Sélectionnez Affecter à la règle de politique IdP pour affecter ce fournisseur d'identités SAML à une règle de politique existante que vous avez créée.
  14. Sélectionnez Fermer.
Importer les métadonnées d'un fournisseur d'identités SAML

Importer les métadonnées SAML d'un fournisseur d'identités.

  1. Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, voir Liste des domaines d'identité.
  2. Dans la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. Une liste de fournisseurs d'identités dans le domaine s'affiche.
  3. Selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter SAML IdP, ou
    • Sélectionnez Ajouter IdP, puis Ajouter SAML IdP.
  4. Entrez les détails pour le fournisseur d'identités :
    Champ Description
    Le nom Entrez le nom du fournisseur d'identités.
    Description Entrez des informations explicatives sur le fournisseur d'identités.
    Icône Recherchez et sélectionnez ou faites glisser une icône représentant le fournisseur d'identités. L'icône doit avoir une taille de 95 x 95 pixels et un arrière-plan transparent. Les formats de fichier pris en charge sont .png, .fig, .jpg et .jpeg.
  5. Sélectionnez Suivant. Entrez les détails de configuration :
    Champ Description
    Importer les métadonnées du fournisseur d'identités Sélectionnez cette option pour importer les métadonnées pour le fournisseur d'identités.
    Métadonnées du fournisseur d'identités Sélectionnez le fichier XML contenant les métadonnées du fournisseur d'identités que vous voulez importer.

    Note : Vous ne pouvez définir qu'un fournisseur d'identités dans le domaine d'identité avec un ID émetteur particulier, également appelé ID fournisseur ou ID entité. L'attribut ID entité fait partie des métadonnées du fournisseur d'identités. Vous ne pouvez donc créer qu'un fournisseur d'identités avec un fichier de métadonnées donné. De plus, vous pouvez mettre à jour un fournisseur d'identités avec de nouvelles métadonnées, mais vous ne pouvez pas modifier son ID émetteur.
    Envoyer le certificat de signature avec le message SAML

    Pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés à IdP, sélectionnez cette case à cocher. Le certificat de signature permet de vérifier la signature des messages pour le fournisseur d'identités. Cela n'est généralement pas nécessaire, mais certains fournisseurs d'identités l'exigent dans le cadre de leur processus de vérification de signature.
    Algorithme de hachage de signature
    Sélectionnez l'algorithme de hachage sécurisé à utiliser pour signer les messages envoyés au fournisseur d'identités.
    • SHA-256 est la valeur par défaut.

    • Si le fournisseur d'identités ne prend pas en charge SHA-256, sélectionnez SHA-1.
  6. Sélectionnez Suivant. Configurez le mappage entre le fournisseur d'identités et les attributs d'utilisateur du domaine d'identité :
    Champ Description
    Attribut d'utilisateur du fournisseur d'identités

    Sélectionnez la valeur d'attribut d'utilisateur reçue du fournisseur d'identités qui peut être utilisée pour identifier de manière unique l'utilisateur.

    Vous pouvez spécifier l'ID nom de l'assertion. Vous pouvez également spécifier un autre attribut SAML dans l'assertion en l'entrant dans la zone de texte Attribut d'assertion.
    Attribut d'utilisateur du domaine d'identité

    Sélectionnez l'attribut du domaine d'identité à mapper avec l'attribut reçu du fournisseur d'identités.

    Vous pouvez indiquer le nom utilisateur ou un autre attribut (par exemple, le nom d'affichage de l'utilisateur, l'adresse de courriel principale ou de récupération, ou un ID externe). Vous utilisez l'ID externe lorsque vous voulez mapper l'attribut reçu du fournisseur d'identités à un ID spécial associé au fournisseur.
    Format NameID demandé

    Lorsque des demandes d'authentification SAML sont envoyées au fournisseur d'identités, vous pouvez spécifier un format d'ID nom dans la demande.

    Si votre fournisseur d'identités ne l'exige pas dans la demande, sélectionnez <Aucune demande>.
  7. Sélectionnez Créer IdP. Exporter les métadonnées SAML du domaine d'identité :
    Tâche Description
    Métadonnées du fournisseur de services

    Pour exporter les métadonnées du domaine d'identité, sélectionnez Télécharger. Ensuite, importez ces métadonnées dans le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'importation d'un document XML de métadonnées SAML, utilisez les informations suivantes pour configurer manuellement le fournisseur d'identités.

    Si le partenaire de fédération dans lequel vous importez les métadonnées du domaine d'identité effectue la validation CRL (par exemple, AD FS effectue la validation CRL) au lieu d'utiliser les métadonnées exportées à partir de ce bouton, téléchargez les métadonnées à partir de : https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Certificat de signature d'accès dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    Métadonnées du fournisseur de services avec des certificats auto-signés

    Pour exporter les métadonnées du domaine d'identité avec des certificats autosignés, sélectionnez Télécharger. Ensuite, importez ces métadonnées dans le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'importation d'un document XML de métadonnées SAML, utilisez les informations suivantes pour configurer manuellement le fournisseur d'identités.

    Si le partenaire de fédération dans lequel vous importez les métadonnées du domaine d'identité effectue la validation CRL (par exemple, AD FS effectue la validation CRL) au lieu d'utiliser les métadonnées exportées à partir de ce bouton, téléchargez les métadonnées à partir de : https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Certificat de signature d'accès dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    ID fournisseur

    URI qui identifie de manière unique le domaine d'identité. L'ID fournisseur est également appelé ID émetteur ou ID entité.
    URL du service ACS Adresse URL (Uniform Resource Locator) du point d'extrémité du service de domaine d'identité qui reçoit et traite les assertions de la part du fournisseur d'identités.
    URL du point d'extrémité du service de déconnexion URL du point d'extrémité du service de domaine d'identité qui reçoit et traite les demandes de déconnexion de la part du fournisseur d'identités.
    URL de retour du service de déconnexion URL du point d'extrémité du service de domaine d'identité qui reçoit et traite les réponses de déconnexion de la part du fournisseur d'identités.
    Certificat de signature du fournisseur de services Pour exporter le certificat de signature du domaine d'identité, sélectionnez Télécharger. Sélectionnez le fichier contenant le certificat de signature. Ce certificat est utilisé par le fournisseur d'identités pour vérifier la signature sur les demandes SAML et les réponses envoyées par le domaine d'identité au fournisseur d'identités.
    Certificat de chiffrement du fournisseur de services Pour exporter le certificat de chiffrement du domaine d'identité, sélectionnez Télécharger. Sélectionnez le fichier contenant le certificat de chiffrement. Ce certificat est utilisé par le fournisseur d'identités pour chiffrer les assertions SAML qu'il envoie au domaine d'identité. Cette opération n'est nécessaire que si le fournisseur d'identités prend en charge les assertions chiffrées.

    Pour obtenir le certificat racine du domaine d'identité émetteur, voir Obtenir le certificat de l'autorité de certification racine.

  8. Sélectionnez Suivant.
  9. Dans la page Tester IdP, sélectionnez Tester la connexion pour tester les paramètres de configuration de IdP. (Vous devez être connecté au domaine d'identité pour lequel vous avez configuré le fournisseur d'identités pour tester les paramètres de configuration.)
  10. Sélectionnez Suivant.
  11. Dans la page activer IdP, sélectionnez activer pour activer IdP.
  12. Sélectionnez Terminer.

Exportation des métadonnées SAML

Exportation des métadonnées SAML pour un domaine d'identité dans IAM.

  1. Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, voir Liste des domaines d'identité.
  2. Dans la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Producteurs d'identité. Une liste de fournisseurs d'identités dans le domaine s'affiche.
  3. Ouvrez un fournisseur d'identités.
  4. Sélectionnez Exporter les métadonnées SAML.
  5. Sélectionnez une des options suivantes :
    • Fichier de métadonnées : Sélectionnez Télécharger le fichier de métadonnées XML SAML ou téléchargez les métadonnées XML SAML avec des certificats auto-signés.
    • Exportation manuelle : L'exportation manuelle des métadonnées vous permet de choisir parmi plusieurs options SAML, par exemple l'ID entité ou l'URL de réponse de déconnexion. Après avoir copié le fichier d'exportation, vous pouvez télécharger le certificat de signature du fournisseur de services ou le certificat de chiffrement du fournisseur de services.
    • URL des métadonnées : Si IdP prend en charge le téléchargement direct des métadonnées SAML. Sélectionnez Accéder au certificat de signature pour permettre aux clients d'accéder au certificat de signature sans avoir à se connecter à IdP.

Configuration des métadonnées IdP

Entrez les détails des métadonnées IdP manuellement ou importez un fichier de métadonnées.

  1. Sélectionnez une des options suivantes :
    • Importer les métadonnées IdP : Sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déposez le fichier XML pour charger les métadonnées, ou sélectionnez en sélectionner un pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : Sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Fournissez les informations suivantes :
      • URI de l'émetteur du fournisseur d'identités :
      • URL du service d'authentification unique
      • Liaison du service d'authentification unique
      • Charger le certificat de signature du fournisseur d'identités
      • Charger le certificat de chiffrement du fournisseur d'identités
      • Activer la déconnexion globale
      • URL de demande de déconnexion du fournisseur d'identités
      • URL de réponse de déconnexion du fournisseur d'identités
      • Liaison de déconnexion
  2. Sélectionnez la méthode Algorithme de hachage de signature.
  3. Indiquez si vous voulez utiliser un certificat de signature signé avec un message SAML.
  4. Sélectionnez Suivant.

Mappage des attributs d'utilisateur

Mapper la relation entre les attributs d'utilisateur IdP et les attributs d'utilisateur du domaine d'identité.

  1. Dans le champ Format de l'ID nom demandé, sélectionnez une option de mappage.

    Les options de mappage varient en fonction du fournisseur d'identités. Vous pouvez peut-être affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mappé à UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.

    Si vous sélectionnez Personnalisé, entrez les détails dans le champ Format d'ID nom personnalisé.

  2. Sélectionnez des champs dans l'attribut d'utilisateur du fournisseur d'identités et sélectionnez un champ correspondant dans l'attribut d'utilisateur du domaine d'identité.
  3. Sélectionnez Suivant.

Vérification et création du fournisseur d'identités

Vérifiez que les options IdP sont exactes, puis créez IdP.

  1. Sélectionnez Tester la connexion pour ouvrir l'écran de connexion IdP.
  2. Sélectionnez Créer IdP.
    Note

    Pour modifier un fichier IdP après l'avoir créé, allez à la liste Fournisseurs d'identités, sélectionnez IdP, puis modifiez le fichier IdP.