Documentation sur Oracle Cloud Infrastructure

Provisionnement JIT de Entra ID vers OCI IAM

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre la console OCI et l'ID intra, en utilisant l'ID intra comme IdP.

Vous pouvez configurer le provisionnement JIT de sorte que des identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel présente les étapes suivantes :

  1. Configurez l'ID Entra IdP dans OCI IAM pour JIT.
  2. Mettez à jour la configuration de l'application IAM OCI dans Entra ID.
  3. Testez que vous pouvez provisionner à partir d'Entra ID vers le service IAM pour OCI.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

En outre, vous devez avoir terminé le tutoriel sur l'authentification unique entre OCI et l'ID Entra Microsoft et avoir collecté l'ID objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par ID entrants

Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par Entra ID.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://entra.microsoft.com
  2. Naviguez jusqu'aux applications d'entreprise.
  3. Sélectionnez l'application de console Oracle Cloud Infrastructure.
    Note

    Il s'agit de l'application que vous avez créée dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID.
  4. Dans le menu de gauche, sélectionnez Authentification unique.
  5. Dans la section Attributs et réclamations, sélectionnez Modifier.
  6. Vérifiez que les attributs sont bien configurés :
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si vous avez besoin de nouvelles réclamations, ajoutez-les.

  7. Notez tous les noms de réclamation configurés. Par exemple

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    est le nom de revendication pour First Name.

    Attributs et revendications

  8. Naviguez jusqu'à Groupes. Vous verrez tous les groupes disponibles dans Entra ID.
  9. Notez les ID objet des groupes qui souhaitent faire partie de SAML à envoyer au service IAM OCI.

    Détails du groupe dans l'intra-ID

Configurations intra-ID supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Sélectionnez la réclamation de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

À l'aide de cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe Administrateurs dans SAML.
Note

Cela permet aux organisations d'envoyer uniquement les groupes requis au service IAM OCI à partir de l'ID Entra.
2. Configurer les attributs JIT dans OCI IAM

Dans OCI IAM, mettez à jour l'ID Entra IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré l'ID Entra comme IdP.
  8. Sélectionnez Sécurité dans le menu à gauche, puis Fournisseurs d'identités.
  9. Sélectionnez l'ID Entra IdP.
    Note

    Il s'agit de l'ID Entra IdP que vous avez créé dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID.
  10. Dans la page Entra ID IdP, sélectionnez Configure JIT.

    Page de configuration pour le fournisseur d'identités Entra ID dans IAM

  11. Dans la page Configure Just-in-time (JIT) Provisioning :
    • Sélectionnez Provisionnement JAT (Just-In-Time).
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Map User attributes :
    1. Laissez la première rangée pour NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut d'utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une rangée et entrez : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Pour l'attribut d'utilisateur du domaine d'identité, sélectionnez First name.

      Note

      Le nom d'affichage complet (FQDN) provient de 1. Configurer les attributs SAML envoyés par l'intra-ID.

    Ce diagramme montre à quoi doivent ressembler les attributs d'utilisateur dans le service IAM pour OCI (à droite) et le mappage des attributs d'utilisateur entre Entra ID et le service IAM pour OCI.

    Mappage des attributs d'utilisateur entre Entra ID et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance au groupe : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Sélectionnez Définir des mappages d'appartenance à des groupes explicites.
  16. Dans IdP Nom du groupe, indiquez l'ID objet du groupe dans l'ID Entra de l'étape précédente.
  17. Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans le service IAM OCI auquel mapper le groupe Entra ID.

    Affecter des mappages de groupes

    Ce diagramme présente l'apparence des attributs de groupe dans le service IAM pour OCI (à droite) et le mappage des attributs de groupe entre l'ID Entra et le service IAM pour OCI.

    Mappage des attributs de groupe entre Entra ID et OCI IAM

  18. Dans les règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances au groupe : Fusionner avec les appartenances au groupe existantes
    2. Lorsqu'un groupe n'est pas trouvé : Ignorer le groupe manquant

    définition des règles d'assignation

    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  19. Sélectionnez enregistrer les modifications.
3. Tester le provisionnement JIT entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Entra ID et OCI IAM.
  1. Dans la console Entra ID, créez un nouvel utilisateur avec un ID courriel qui n'est pas présent dans le service IAM pour OCI.

  2. Affecter l'utilisateur aux groupes requis.

    affecter un utilisateur à des groupes

  3. Dans le navigateur, ouvrez la console OCI.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Sélectionnez Suivant.
  6. Dans les options de connexion, sélectionnez Entra ID.
  7. Dans la page de connexion à Microsoft, entrez l'ID utilisateur nouvellement créé.

    Page de connexion à Microsoft

  8. Lors de l'authentification réussie de Microsoft :
    • Le compte d'utilisateur est créé dans le service IAM pour OCI.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  9. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres de l'utilisateur ou Mon profil, selon l'option que vous voyez. Vérifiez les propriétés d'utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés d'utilisateur dans OCI IAM

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre Entra ID et IAM OCI.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :