Documentation sur Oracle Cloud Infrastructure

Provisionnement JIT depuis Entra ID vers OCI IAM

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre la console OCI et l'ID Entra, en utilisant l'ID Entra comme IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel traite des étapes suivantes :

  1. Configurer l'ID Entra IdP dans OCI IAM pour JIT.
  2. Mettre à jour la configuration de l'application OCI IAM dans Entra ID.
  3. Tester que vous pouvez provisionner de Entra ID vers OCI IAM.
Note

Ce tutoriel est propre au service IAM avec domaines d'identité.
Avant de commencer

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

En outre, vous devez avoir terminé le tutoriel sur l'authentification unique entre OCI et l'ID Entra Microsoft et avoir collecté l'ID objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par Entra ID

Pour que le provisionnement JIT fonctionne, des attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par Entra ID.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://entra.microsoft.com
  2. Naviguez jusqu'à Applications d'entreprise.
  3. Sélectionnez l'application de console Oracle Cloud Infrastructure.
    Note

    Il s'agit de l'application que vous avez créée dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID.
  4. Dans le menu de gauche, sélectionnez Connexion unique.
  5. Dans la section Attributs et réclamations, sélectionnez Modifier.
  6. Vérifiez que les attributs sont correctement configurés :
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si vous avez besoin de nouvelles réclamations, ajoutez-les.

  7. Notez tous les noms de réclamation configurés. Par exemple

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    est le nom de la réclamation pour First Name.

    Attributs et réclamations

  8. Naviguez jusqu'à Groupes. Vous verrez tous les groupes disponibles dans Entra ID.
  9. Notez les ID objets des groupes à inclure dans SAML à envoyer au service OCI IAM.

    Détails du groupe dans Entra ID

Configurations intra-ID supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Sélectionnez la réclamation de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtrer pour les groupes

À l'aide de cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe Administrators dans SAML.
Note

Cela aide les organisations à envoyer uniquement les groupes requis au service IAM pour OCI à partir d'Entra ID.
2. Configurer les attributs JIT dans OCI IAM

Dans OCI IAM, mettez à jour l'ID Entra IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré Entra ID en tant que IdP.
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez l'ID Entra IdP.
    Note

    Il s'agit de l'ID Entra IdP que vous avez créé dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID.
  10. Dans la page Entra ID IdP, sélectionnez Configure JIT.

    Page de configuration pour le fournisseur d'identités Entra ID dans IAM

  11. Dans la page Configure Just-in-time (JIT) provisioning :
    • Sélectionnez Provisionnement JIT.
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Mapper les attributs d'utilisateur :
    1. Laissez la première rangée de NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom d'attribut d'utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une rangée et entrez : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Pour l'attribut d'utilisateur du domaine d'identité, sélectionnez First name.

      Note

      Le nom d'affichage complet provient de 1. Configurer les attributs SAML envoyés par Entra ID.

    Ce diagramme montre à quoi doivent ressembler les attributs utilisateur dans OCI IAM (à droite) et le mappage des attributs utilisateur entre Entra ID et OCI IAM.

    Mappage des attributs d'utilisateur entre Entra ID et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance au groupe : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Sélectionnez Définir des mappages explicites à des appartenances à des groupes.
  16. Dans Nom du groupe IdP, indiquez l'ID objet du groupe dans l'ID Entra de l'étape précédente.
  17. Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM auquel mapper le groupe Entra ID.

    Affecter des mappages de groupes

    Ce diagramme montre à quoi doivent ressembler les attributs de groupe dans OCI IAM (à droite) et le mappage des attributs de groupe entre Entra ID et OCI IAM.

    Mappage des attributs de groupe entre Entra ID et OCI IAM

  18. Sous Assignment rules (Règles d'affectation), sélectionnez les éléments suivants :
    1. Lors de l'affectation des appartenances au groupe : Fusionnez-les avec les appartenances au groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignorer le groupe manquant

    définition des règles d'assignation

    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  19. Sélectionnez Enregistrer les modifications.
3. Tester le provisionnement JIT entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Entra ID et OCI IAM.
  1. Dans la console Entra ID, créez un nouvel utilisateur avec un ID courriel qui n'est pas présent dans OCI IAM.

  2. Affectez l'utilisateur aux groupes requis.

    affecter un utilisateur à des groupes

  3. Dans le navigateur, ouvrez la console OCI.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Sélectionnez Suivant.
  6. Dans les options d'authentification, sélectionnez Entra ID.
  7. Dans la page de connexion à Microsoft, entrez l'ID utilisateur nouvellement créé.

    Page de connexion à Microsoft

  8. Une fois l'authentification réussie de Microsoft :
    • Le compte d'utilisateur est créé dans l'OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  9. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres de l'utilisateur. Vérifiez les propriétés d'utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés d'utilisateur dans OCI IAM

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre Entra ID et OCI IAM.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :