Documentation sur Oracle Cloud Infrastructure

Provisionnement juste à temps entre ADFS et GIA pour OCI

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre OCI et Microsoft ADFS, où ADFS agit en tant que IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel traite des étapes suivantes :

  1. Mettre à jour les configurations de partie de confiance dans ADFS.
  2. Mettez à jour ADFS IdP dans OCI IAM pour JIT.
  3. Testez que vous pouvez provisionner des utilisateurs d'ADFS pour OCI IAM.
Note

Ce tutoriel est propre au service IAM avec domaines d'identité.
Avant de commencer

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'essai OCI. Voir Offre de gratuité pour Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Voir Présentation des rôles d'administrateur.
  • Installation ADFS.
    Note

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • De plus, vous devez vérifier que :
    • Le même utilisateur existe dans OCI et ADFS.
    • ADFS fonctionne.
1. Mettre à jour les configurations de partie de confiance dans ADFS
  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Gestionnaire de serveur Windows 2016, sélectionnez Outils, puis Microsoft Active Directory Federation Services Management.
  2. Sous ADFS, sélectionnez Confidations de partie de confiance.
  3. Cliquez avec le bouton droit de la souris sur Relying Partying Trust que vous avez précédemment configuré pour OCI, nommé OCI IAM, dans le tutoriel SSO Between OCI and ADFS.
  4. Sélectionnez Modifier la politique d'émission de réclamation.
  5. Modifiez la réclamation par courriel pour ajouter trois règles de réclamation supplémentaires pour le prénom, le nom de famille et le groupe.

    Attribut de prénom :

    • Attribut LDAP : Given-Name
    • Type de réclamation sortante : Given Name

    Attribut de nom :

    • Attribut LDAP : Surname
    • Type de réclamation sortante : Surname

    Attribut de groupe :

    • Attribut LDAP : Token-Groups - Unqualified Names
    • Type de réclamation sortante : Group
  6. Sélectionnez OK dans la page des règles, puis OK de nouveau.

Vous pouvez ajouter des attributs supplémentaires en fonction des besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

2. Mettre à jour ADFS IdP dans OCI IAM

Dans la console OCI IAM, configurez ADFS IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré ADFS en tant que IdP à l'étape 1 du tutoriel "Authentification unique entre OCI et ADFS".
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez ADFS IdP.
    Note

    Il s'agit de la IdP ADFS que vous avez créée dans le cadre du tutoriel Authentification unique entre OCI et ADFS.
  10. Dans la page ADFS IdP, sélectionnez Configurer JIT.
  11. Dans la page Configure Just-in-time (JIT) provisioning :
    • Sélectionnez Activer le provisionnement juste à temps.
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Mapper les attributs d'utilisateur :
    1. Laissez la première rangée de NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom d'attribut d'utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une rangée :
      • Sous Attribut d'utilisateur IdP, sélectionnez Attribute.
      • Pour le nom d'attribut d'utilisateur IdP, entrez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Mappage d'attributs entre ADFS et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance à un groupe. Utilisez http://schemas.xmlsoap.org/claims/Group.
  15. Sélectionnez Définir des mappages explicites à des appartenances à des groupes.
  16. Sous Les noms de groupe IdP sont mappés au nom du groupe de domaines d'identité, procédez de la façon suivante :
    • Dans Nom du groupe IdP, indiquez le nom du groupe dans ADFS qui sera présent dans l'assertion SAML envoyée par ADFS.
    • Dans Nom du groupe de domaines d'identité, dans OCI IAM, sélectionnez le groupe dans OCI IAM à mapper au groupe correspondant dans ADFS.

      Affecter des mappages de groupes

  17. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation des appartenances au groupe : Fusionner avec les appartenances au groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignorer le groupe manquant
    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Sélectionnez Enregistrer les modifications.
3. Tester le provisionnement JIT entre ADFS et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre ADFS et OCI IAM
  1. Dans ADFS, créez un utilisateur dans ADFS qui n'existe pas dans OCI IAM.
  2. Redémarrez votre navigateur et entrez l'URL de la console pour accéder à la console OCI :

    cloud.oracle.com

  3. Entrez le nom du compte en nuage, également appelé nom de la location, et sélectionnez Suivant.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Dans les options de connexion, sélectionnez ADFS.

    Icône ADFS dans la page de connexion

  6. Dans la page de connexion ADFS, indiquez les données d'identification du nouvel utilisateur.
  7. Une fois l'authentification réussie, un compte est créé pour l'utilisateur dans OCI IAM et celui-ci est connecté à la console OCI.

    Vous pouvez voir le nouvel utilisateur dans le domaine OCI et vérifier qu'il a les mêmes attributs d'identité et appartenances aux groupes que vous avez entrés.

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre ADFS et OCI IAM.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :