Gestion des fournisseurs d'identités
Vous pouvez configurer une connexion fédérée entre un domaine d'identité et un fournisseur d'identités externe. Les utilisateurs peuvent ainsi se connecter aux ressources Oracle Cloud Infrastructure et y accéder à l'aide de connexions et de mots de passe existants gérés par le fournisseur d'identités.
Politique ou rôle requis
- Être membre du groupe d'administrateurs
- Disposer du rôle Administrateur de domaine d'identité ou Administrateur de la sécurité
- Être membre d'un groupe disposant des droits
manage identity-domains
Pour en savoir plus sur les politiques et les rôles, voir Groupe Administrateurs, politique et rôles d'administrateur, Présentation des rôles d'administrateur et Présentation des politiques.
À propos des fournisseurs d'identités et des fournisseurs de services
À propos des fournisseurs d'identités et des fournisseurs de services.
Un fournisseur d'identités, également appelé autorité d'authentification, fournit une authentification externe aux utilisateurs qui souhaitent se connecter à un domaine d'identité à l'aide des données d'identification de leur fournisseur externe. Alors qu'un domaine d'identité peut faire office de fournisseur d'identités pour un fournisseur de services de tierce partie, dans ce contexte où il s'appuie sur un fournisseur d'identités pour authentifier les utilisateurs qui accèdent au domaine d'identité, le domaine d'identité est le fournisseur de services. Plus généralement, vous pouvez également considérer Oracle Cloud Infrastructure comme fournisseur de services, car il fournit les services et les ressources auxquels les utilisateurs veulent accéder.
Par exemple, votre organisation peut souhaiter que les utilisateurs se connectent et accèdent à Oracle Cloud Services à l'aide de leurs données d'identification Microsoft Active Directory Federation Services (AD FS). Dans ce cas, Microsoft AD FS fait office de fournisseur d'identités (IdP) et le domaine d'identité fonctionne en tant que fournisseur de services (SP). MS AD FS authentifie l'utilisateur et retourne un jeton contenant les informations d'identité et d'authentification au domaine d'identité (par exemple, le nom d'utilisateur et l'adresse de courriel de l'utilisateur). Ce jeton de sécurité est signé numériquement par le fournisseur d'identités. Le fournisseur de services vérifie la signature sur le jeton, puis utilise les informations d'identité pour établir une session authentifiée pour l'utilisateur. Il s'agit de l'authentification unique fédérée dans laquelle un utilisateur doit fournir des informations d'identification dans un domaine et a accès à un autre domaine.
Pour fédérer un pont Microsoft Active Directory, voir Configuration d'un pont Microsoft Active Directory (AD).
À propos des certificats numériques
Un certificat numérique est comme un passeport électronique qui permet à une personne, un ordinateur ou une organisation d'échanger des informations en toute sécurité sur Internet à l'aide de la cryptographie à clé publique. Un certificat numérique peut être appelé certificat de clé publique.
Tout comme un passeport, un certificat numérique fournit des informations d'identification, est résistant à la contrefaçon et peut être vérifié parce qu'il est délivré par une agence officielle de confiance. Le certificat peut contenir le nom du titulaire du certificat, un numéro de série, des dates d'expiration, une copie de la clé publique du titulaire du certificat (utilisée pour crypter les messages et vérifier les signatures numériques) et la signature numérique de l'autorité émettrice du certificat (CA) afin qu'un destinataire puisse vérifier que le certificat est réel.
Afin de vérifier les signatures des fournisseurs d'identités externes, le fournisseur de services stocke des copies de leurs certificats de signature. Lorsque le fournisseur de services reçoit un message signé d'un fournisseur d'identités, avant que le certificat stocké ne soit utilisé pour vérifier la signature, sa validité doit être vérifiée. La validation du certificat consiste à vérifier que le certificat na pas expiré. Une fois le certificat validé, il est utilisé pour vérifier la signature du message.
Pour que cette opération réussisse, la clé publique intégrée au certificat doit correspondre à la clé privée utilisée par le fournisseur d'identités pour signer le message.
Que se produit-il lorsque le certificat d'un fournisseur d'identités expire?
- Obtenez le nouveau certificat de signature du fournisseur d'identités. Celui-ci peut être publié par le fournisseur d'identités pour le téléchargement en libre-service, ou vous devrez peut-être communiquer avec l'administrateur du fournisseur d'identités.
- Chargez le nouveau certificat de signature dans la configuration du domaine d'identité pour le fournisseur d'identités.
- Si le fournisseur d'identités a également remplacé sa paire de clés privée/public de signature (au lieu de réémettre un nouveau certificat pour la paire de clés existante), vous devez mettre à jour la configuration du fournisseur d'identités pour commencer à utiliser les nouvelles clés pour signer des messages. Encore une fois, cela peut être en libre-service ou nécessiter une coordination avec l'administrateur du fournisseur d'identités.
Si le fournisseur d'identités renouvelle sa paire de clés de signature, l'authentification unique échouera au cours de la période comprise entre l'étape 2 et l'étape 3 ci-dessus. Pour cette raison, la mise à jour du certificat est généralement coordonnée entre le fournisseur d'identités et les administrateurs du domaine d'identité.
À propos du provisionnement JIT (juste-à-temps) SAML
Le provisionnement JIT (juste-à-temps) SAML automatise la création de compte d'utilisateur lorsque l'utilisateur tente d'effectuer l'authentification unique pour la première fois et que cet utilisateur n'existe pas encore dans le domaine d'identité. Outre la création automatique d'utilisateurs, JIT permet d'octroyer et de révoquer des appartenances à des groupes dans le cadre du provisionnement. JIT peut être configuré pour mettre à jour les utilisateurs provisionnés afin que les attributs des utilisateurs dans le magasin de fournisseurs de services puissent être synchronisés avec les attributs du magasin d'utilisateurs du fournisseur d'identités.
Avantages
- L'environnement des comptes d'utilisateur dans le domaine d'identité est limitée aux utilisateurs qui se connectent réellement au moyen de l'authentification unique fédérée, plutôt qu'à tous les utilisateurs du répertoire des utilisateurs du fournisseur d'identités.
- Une réduction des coûts d'administration car les comptes sont créés sur demande dans le cadre du processus d'authentification unique, et les magasins d'utilisateurs du fournisseur d'identités et du fournisseur de services n'ont pas besoin d'être synchronisés manuellement.
- L'ajout ultérieur de nouveaux utilisateurs au magasin d'utilisateurs du fournisseur d'identités n'oblige pas les administrateurs à créer manuellement les comptes de fournisseur de services correspondants (les utilisateurs seront toujours synchronisés).
Fonctionnement
| Lors de la connexion, l'utilisateur : | Flux |
|---|---|
| Existe dans le fournisseur de services et le provisionnement JIT est activé. | Flux d'authentification unique normal. |
| N'existe pas dans le fournisseur de services et le provisionnement JIT n'est pas activé. | Flux d'échec d'authentification unique normal. |
| N'existe pas dans le fournisseur de services et l'utilisateur de création JIT est activé. | L'utilisateur est créé et alimenté avec les attributs d'assertion SAML, tels qu'ils sont mappés dans la configuration JIT. |
| Existe dans le fournisseur de services et la mise à jour JIT est activée. | Les valeurs d'attribut utilisateur sont mises à jour avec les attributs d'assertion SAML, tels qu'ils sont mappés dans la configuration JIT. |