Documentation sur Oracle Cloud Infrastructure

Authentification unique entre OCI et ADFS

Dans ce tutoriel, configurez l'authentification unique entre le service IAM pour OCI et ADFS, en utilisant ADFS comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes explique comment intégrer le service IAM pour OCI, en tant que fournisseur de services, à ADFS, en tant que IdP. En configurant la fédération entre ADFS et IAM OCI, vous activez l'accès des utilisateurs aux services et aux applications dans OCI à l'aide des données d'identification d'utilisateur authentifiées par ADFS.

Ce tutoriel explique comment configurer ADFS en tant que IdP pour le service IAM pour OCI.

OCI IAM assure l'intégration à SAML 2.0 IdPs. Cette intégration :

  • Fonctionne avec des solutions d'authentification unique fédérées compatibles avec SAML 2.0 en tant que IdP, telles que ADFS.
  • Permet aux utilisateurs de se connecter à OCI à l'aide de leurs données d'identification ADFS.
  • Permet aux utilisateurs de se connecter aux applications finales.
  1. Tout d'abord, téléchargez les métadonnées du domaine d'identité GIA pour OCI.
  2. Dans les étapes suivantes, vous allez créer et configurer une partie de confiance dans ADFS.
  3. Dans ADFS, configurez l'authentification unique avec le service IAM OCI à l'aide des métadonnées.
  4. Dans ADFS, modifiez les attributs et les réclamations de sorte que le nom du courriel soit utilisé comme identificateur pour les utilisateurs.
  5. Dans ADFS, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous retournerez dans le domaine d'identité pour terminer la configuration. Dans le service IAM pour OCI, mettez à jour la politique IdP par défaut pour ajouter ADFS.
  7. Testez le fonctionnement de l'authentification fédérée entre OCI IAM et ADFS.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'essai OCI. Voir Offre de gratuité pour Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Voir Présentation des rôles d'administrateur.
  • Installation ADFS sur place.
    Note

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • En outre, vous devez vérifier que le même utilisateur existe dans OCI et ADFS et qu'ADFS fonctionne.
Créer le même utilisateur dans les deux systèmes

Assurez-vous qu'un utilisateur ayant la même adresse de courriel existe dans les deux systèmes.

Pour que l'authentification unique SAML fonctionne entre ADFS et IAM OCI, il doit y avoir un utilisateur ayant la même adresse de courriel dans le domaine Microsoft Active Directory et le domaine d'identité IAM OCI. Dans cette tâche, vous confirmez qu'un tel utilisateur existe sur les deux systèmes.

  1. Ouvrez l'utilitaire Utilisateurs et ordinateurs Microsoft Active Directory. Dans le serveur Windows 2016, sélectionnez Gestionnaire de serveurs, Outils, puis Utilisateurs et ordinateurs Active Directory.
  2. Dans le dossier Employés, cliquez deux fois sur l'utilisateur à utiliser. Notez l'adresse de courriel de l'utilisateur.
    ADFS USER(adfsuser01@gmail.com)

    Utilisateur dans l'utilitaire Utilisateurs et ordinateurs Active Directory

    Note

    Si plusieurs utilisateurs du domaine IAM OCI ont la même adresse de courriel, l'authentification unique SAML échoue, car il est impossible de déterminer quel utilisateur doit être connecté.

    • L'adresse de courriel de l'utilisateur est utilisée pour lier l'utilisateur connecté à ADFS avec la même entrée d'utilisateur dans OCI IAM.
    • Si vous n'avez pas d'utilisateur ADFS pour tester la connexion, vous pouvez en créer une.
  3. Dans un navigateur, entrez l'URL de la console pour accéder à la console IAM OCI :

    https://cloud.oracle.com

  4. Entrez le nom du compte en nuage, également appelé nom de la location, et sélectionnez Suivant.
  5. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  6. Sélectionnez le domaine que vous allez utiliser.
  7. Sélectionnez Utilisateurs.
  8. Dans le champ de recherche, entrez l'adresse de courriel que vous avez enregistrée à partir de Microsoft Active Directory.
  9. Dans les résultats de la recherche, vérifiez qu'il existe un utilisateur ayant la même adresse de courriel que l'utilisateur dans Microsoft Active Directory.
    Note

    Si l'utilisateur n'existe pas dans le service IAM pour OCI, sélectionnez Ajouter et créez l'utilisateur avec la même adresse de courriel que dans Microsoft Active Directory.
Vérifier que ADFS est en cours d'exécution

Vérifiez qu'ADFS est en cours d'exécution et que vous pouvez contester la connexion de l'utilisateur.

  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    adfs.example.com est votre nom d'hôte ADFS.
  2. Si nécessaire, sélectionnez Se connecter à ce site. Sélectionnez Connexion.
  3. Entrez les données d'identification Microsoft Active Directory pour un utilisateur qui existe à la fois dans ADFS et OCI IAM (dans cet exemple, adfsuser01) et sélectionnez Connexion.

    Page de connexion ADFS

  4. Vous verrez le message You are signed in.

    ADFS confirme que vous êtes connecté

1. Créer ADFS en tant que IdP dans OCI IAM
  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    adfs.example.com est votre nom d'hôte ADFS.
  2. Enregistrez le fichier FederationMetadata.xml. Vous utiliserez ce fichier pour enregistrer ADFS dans le service IAM pour OCI.
  3. Dans la console OCI, naviguez jusqu'au domaine dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Sélectionnez Sécurité puis Fournisseurs d'identités.
  4. Sélectionnez Ajouter IdP, puis Ajouter SAML IdP.
  5. Entrez un nom pour SAML IdP, par exemple ADFS_IdP. Sélectionnez Suivant.
  6. Sélectionnez Entrer les métadonnées IdP.
  7. Téléchargez les métadonnées du fournisseur de services IAM pour OCI en sélectionnant Exporter les métadonnées SAML.
    1. Dans la page Exporter les métadonnées SAML sous Métadonnées avec certificats auto-signés, sélectionnez Télécharger le XML.
      Note

      Utilisez les métadonnées avec des certificats auto-signés lorsque le fournisseur d'identités effectue des vérifications CRL ou OCSP sur les certificats émis par une autorité de certification. Dans ce tutoriel, ADFS effectue cette opération lors de la validation du chemin du certificat.
    2. Enregistrez le fichier à un emplacement approprié.
    3. Transférez le fichier Metadata.xml vers le serveur Windows sur lequel ADFS est géré. Vous utiliserez ce fichier pour enregistrer le domaine IAM OCI dans ADFS.

    Exporter les métadonnées SAML pour IAM OCI

  8. Fermez la page Export SAML metadata.
  9. Sélectionnez Importer les métadonnées IdP, puis Charger. Sélectionnez le fichier FederationMetadata.xml que vous avez enregistré précédemment dans ADFS, sélectionnez Ouvrir, puis Suivant.
  10. Dans Mapper l'identité de l'utilisateur, définissez les éléments suivants
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut d'utilisateur du fournisseur d'identités, sélectionnez SAML assertion Name ID.
    • Sous Attribut d'utilisateur du domaine d'identité, sélectionnez Primary email address.

    Attributs du fournisseur d'identités SAML

  11. Sélectionnez Suivant.
  12. Sous Vérifier et créer, vérifiez les configurations, puis sélectionnez Créer IdP.
  13. Sélectionnez Activer.
  14. Sélectionnez Ajouter à la règle de politique IdP. L'ajout d'ADFS IdP à une politique IdP lui permet d'être affiché sur l'écran de connexion à IAM pour OCI.

  15. Sélectionnez Politique de fournisseur d'identités par défaut pour l'ouvrir, puis sélectionnez le menu Actions (trois points) pour la règle et sélectionnez Modifier la règle IdP.

    Menu contextuel affichant "Modifier la règle de fournisseur d'identités"

  16. Sélectionnez Affecter des fournisseurs d'identités, puis sélectionnez ADFS_IdP pour l'ajouter à la liste.

    ajout d'ADFS en tant que fournisseur d'identités dans la règle IdP par défaut

  17. Sélectionnez enregistrer les modifications.

ADFS est maintenant enregistré en tant que fournisseur d'identités dans le service IAM pour OCI.

Ensuite, vous enregistrez le service IAM pour OCI en tant que partie de confiance dans ADFS.

2. Enregistrer OCI IAM en tant que partie de confiance

Tout d'abord, enregistrez le service IAM pour OCI en tant que partie de confiance dans ADFS. Configurez ensuite les règles de réclamation pour OCI IAM en tant que partie de confiance.

Enregistrer la partie de confiance

  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Gestionnaire de serveurs de Windows 2016, sélectionnez Outils, puis Microsoft Active Directory Federation Services Management.
  2. Sélectionnez Action, puis Ajouter une approbation de partie de confiance.

  3. Dans la fenêtre Add Relying Party Trust Wizard, sélectionnez Start (Démarrer).

    Ajouter l'Assistant Approbation de partie de confiance dans ADFS

  4. Sélectionnez Importer les données concernant la partie de confiance à partir d'un fichier, puis sélectionnez Parcourir.

    Sélectionner une source de données

  5. Sélectionnez Metadata.xml que vous avez téléchargé précédemment à partir du service IAM pour OCI et sélectionnez Suivant.

  6. Entrez un nom d'affichage, par exemple OCI IAM, et éventuellement une description sous Notes. Sélectionnez Suivant.

    Définition du nom d'affichage

  7. Continuez avec les options par défaut jusqu'à ce que vous atteigniez l'étape Terminer, puis sélectionnez Fermer. La fenêtre Modifier les règles de réclamation s'ouvre.

    Fenêtre Modifier les réclamations

Configurer les règles de réclamation

Les règles de réclamation définissent les informations sur un utilisateur connecté envoyé par ADFS à OCI IAM après une authentification réussie. Ici, vous définissez deux règles de réclamation pour qu'OCI IAM agisse en tant que partie de confiance :

  • Courriel : Cette règle indique que l'adresse de courriel de l'utilisateur est envoyée au service IAM OCI dans l'assertion SAML.
  • ID nom : Cette règle indique que le résultat de la règle de courriel est envoyé au service IAM OCI dans l'élément Objet NameID de l'assertion SAML.
  1. Dans la fenêtre Modifier les règles de revendication, sélectionnez Ajouter une règle.
  2. Sélectionnez Envoyer les attributs LDAP en tant que réclamations comme modèle de règle de réclamation, puis sélectionnez Suivant
  3. Dans la page Choisir un type de règle, fournissez les informations suivantes pour la règle de courriel :
    • Nom de la règle de réclamation : Email
    • Magasin d'attributs : Active Directory
    • Mappage des attributs LDAP aux types de réclamation sortants :
      • Attribut LDAP : E-Mail-Addresses
      • Type de réclamation sortante : E-Mail Address

      Sélectionnez la page Type de règle de l'Assistant Ajouter une règle de réclamation de transformation.

  4. Sélectionnez Terminer.
  5. Dans la fenêtre Modifier les règles de revendication, sélectionnez Ajouter une règle pour ajouter la deuxième règle de revendication.
  6. Sélectionnez Transformer une réclamation entrante comme modèle de règle de revendication, puis sélectionnez Suivant.
  7. Dans la page Choose Rule Type, fournissez les informations suivantes pour la règle Name ID :
    • Nom de la règle de revendication : Name ID
    • Type de réclamation entrante : E-Mail Address
    • Type de revendication sortante : Name ID
    • Format d'ID nom sortant : Email

    Sélectionnez la page Type de règle de l'Assistant Ajouter une règle de réclamation de transformation.

  8. Sélectionnez Terminer.
  9. Dans la fenêtre Modifier les règles de réclamation pour Oracle Cloud, vérifiez que les règles de courriel et d'ID nom ont été créées.

    Confirmer la présence des deux réclamations

ADFS et OCI IAM disposent désormais de suffisamment d'informations pour établir l'authentification unique et vous pouvez tester l'intégration.

3. Tester l'authentification unique entre ADFS et OCI

Dans cette tâche, vous testez l'authentification entre OCI IAM et ADFS. Si l'authentification réussit, vous activez le fournisseur d'identités pour les utilisateurs finaux.

  1. Redémarrez votre navigateur et entrez l'URL de la console pour accéder à la console IAM OCI :

    https://cloud.oracle.com

  2. Entrez le nom du compte en nuage, également appelé nom de la location, et sélectionnez Suivant.
  3. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  4. Sélectionnez le domaine pour lequel vous avez configuré ADFS IdP.
  5. Sélectionnez Sécurité puis Fournisseurs d'identités.
  6. Sélectionnez l'entrée ADFS IdP.
  7. Dans la page de détails de IdP, sélectionnez Actions supplémentaires, puis Tester la connexion.
  8. Faites défiler l'affichage vers le bas et sélectionnez Tester la connexion.
  9. Dans la page de connexion ADFS, connectez-vous avec un utilisateur qui existe sur ADFS et IAM OCI.

    Page de connexion ADFS

  10. Le message de confirmation Votre connexion a réussi s'affiche.

    Message de confirmation

Étape suivante

Félicitations! Vous avez configuré l'authentification unique entre ADFS et IAM OCI.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :