Documentation sur Oracle Cloud Infrastructure

Provisionnement juste à temps entre ADFS et GIA pour OCI

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre OCI et Microsoft ADFS, où ADFS agit en tant que IdP.

Vous pouvez configurer le provisionnement JIT de sorte que des identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel présente les étapes suivantes :

  1. Mettez à jour les configurations de partie de confiance dans ADFS.
  2. Mettez à jour ADFS IdP dans OCI IAM pour JIT.
  3. Testez que vous pouvez provisionner des utilisateurs d'ADFS vers le service IAM pour OCI.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'essai OCI. Voir Offre de gratuité pour Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Voir Présentation des rôles d'administrateur.
  • Une installation ADFS.
    Note

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • De plus, vous devez vérifier que :
    • Le même utilisateur existe dans OCI et ADFS.
    • ADFS fonctionne.
1. Mettre à jour les configurations de partie de confiance dans ADFS
  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Gestionnaire de serveurs de Windows 2016, sélectionnez Outils, puis Microsoft Active Directory Federation Services Management.
  2. Sous ADFS, sélectionnez Fusionner les fiducies de partie.
  3. Cliquez avec le bouton droit de la souris sur Relying Partying Trust que vous avez précédemment configuré pour OCI, nommé OCI IAM, dans le tutoriel SSO Between OCI and ADFS.
  4. Sélectionnez Modifier la politique d'émission de réclamation.
  5. Modifiez la réclamation par courriel pour ajouter trois règles de réclamation supplémentaires pour le prénom, le nom de famille et le groupe.

    Attribut de prénom :

    • Attribut LDAP : Given-Name
    • Type de réclamation sortante : Given Name

    Attribut Nom :

    • Attribut LDAP : Surname
    • Type de réclamation sortante : Surname

    Attribut de groupe :

    • Attribut LDAP : Token-Groups - Unqualified Names
    • Type de réclamation sortante : Group
  6. Sélectionnez OK dans la page des règles, puis OK de nouveau.

Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

2. Mettre à jour ADFS IdP dans OCI IAM

Dans la console IAM d'OCI, configurez ADFS IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré ADFS en tant que IdP à l'étape 1 du tutoriel "Authentification unique entre OCI et ADFS".
  8. Sélectionnez Sécurité dans le menu à gauche, puis Fournisseurs d'identités.
  9. Sélectionnez ADFS IdP.
    Note

    Il s'agit de la IdP ADFS que vous avez créée dans le cadre du tutoriel Authentification unique entre OCI et ADFS.
  10. Dans la page ADFS IdP, sélectionnez Configurer JIT.
  11. Dans la page Configure Just-in-time (JIT) Provisioning :
    • Sélectionnez Activer le provisionnement juste-à-temps (JIT).
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Mapper les attributs d'utilisateur :
    1. Laissez la première rangée pour NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut d'utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une rangée :
      • Sous Attribut d'utilisateur IdP, sélectionnez Attribute.
      • Pour le nom d'attribut d'utilisateur IdP, entrez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Mappage d'attributs entre ADFS et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance à un groupe. Utilisez http://schemas.xmlsoap.org/claims/Group.
  15. Sélectionnez Définir des mappages d'appartenance à des groupes explicites.
  16. Sous Mappages de noms de groupe IdP au nom du groupe de domaines d'identité, procédez de la façon suivante :
    • Dans IdP Nom du groupe, indiquez le nom du groupe dans ADFS qui sera présent dans l'assertion SAML envoyée par ADFS.
    • Dans Nom du groupe de domaines d'identité, dans OCI IAM, sélectionnez le groupe dans OCI IAM à mapper au groupe correspondant dans ADFS.

      Affecter des mappages de groupes

  17. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation des appartenances au groupe : Fusionner avec les appartenances au groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignorer le groupe manquant
    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Sélectionnez enregistrer les modifications.
3. Tester le provisionnement JIT entre ADFS et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre ADFS et IAM OCI.
  1. Dans ADFS, créez un utilisateur dans ADFS qui n'existe pas dans le service IAM pour OCI.
  2. Redémarrez votre navigateur et entrez l'URL de la console pour accéder à la console OCI :

    cloud.oracle.com

  3. Entrez le nom du compte en nuage, également appelé nom de la location, et sélectionnez Suivant.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Dans les options de connexion, sélectionnez ADFS.

    Icône ADFS dans la page de connexion

  6. Dans la page de connexion ADFS, fournissez les données d'identification de l'utilisateur nouvellement créé.
  7. Une fois l'authentification réussie, un compte est créé pour l'utilisateur dans le service IAM pour OCI et l'utilisateur est connecté à la console OCI.

    Vous pouvez voir le nouvel utilisateur dans le domaine OCI et vérifier qu'il possède les mêmes attributs d'identité et appartenances aux groupes que vous avez entrés.

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre ADFS et IAM OCI.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :