Provisionnement JIT à partir de l'ID intra vers IAM pour OCI
Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre la console OCI et l'intra-ID, en utilisant l'intra-ID comme IdP.
Vous pouvez configurer le provisionnement JIT de sorte que des identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.
Ce tutoriel présente les étapes suivantes :
- Configurez l'ID Entra IdP dans IAM pour OCI pour JIT.
- Mettez à jour la configuration de l'application OCI IAM dans Entra ID.
- Testez que vous pouvez provisionner de Entra ID à IAM pour OCI.
Ce tutoriel est propre au service GIA avec des domaines d'identité.
Pour suivre ce tutoriel, vous devez disposer des éléments suivants :
-
Un compte payantOracle Cloud Infrastructure (OCI) ou un compte d'essai OCI. Voir Offre de gratuité pour Oracle Cloud Infrastructure.
- Rôle d'administrateur de domaine d'identité pour le domaine d'identité IAM pour OCI. Voir Présentation des rôles d'administrateur.
- Un compte Entra ID avec l'un des rôles Entra ID suivants :
- Administrateur général
- Administrateur d'application cloud
- Administrateur d'application
En outre, vous devez avoir terminé le tutoriel SSO Between OCI and Microsoft Entra ID et collecté l'ID objet des groupes que vous allez utiliser pour le provisionnement JIT.
Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par l'ID Entra.
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://entra.microsoft.com
- Naviguez jusqu'aux applications d'entreprise.
- Cliquez sur l'application de la console Oracle Cloud Infrastructure.Note
Il s'agit de l'application que vous avez créée dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID. - Dans le menu de gauche, cliquez sur authentification unique.
- Dans la section Attributs et revendications, cliquez sur Modifier.
- Vérifiez que les attributs sont bien configurés :
NameID
Email Address
First Name
Last Name
Si vous avez besoin de nouvelles réclamations, ajoutez-les.
- Notez tous les noms de réclamation configurés. Par exemple
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
est le nom de revendication pour
First Name
. - Naviguez jusqu'à Groupes. Vous verrez tous les groupes disponibles dans Entra ID.
- Notez les ID objet des groupes qui souhaitent faire partie de SAML à envoyer au service IAM pour OCI.
Configurations intra-ID supplémentaires
Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName
.
Par exemple, supposons que seul le groupe Administrators
doit être envoyé à l'aide de SAML :
- Cliquez sur la réclamation de groupe.
- Dans Réclamations de groupe, développez Options avancées.
- Sélectionnez Groupes de filtres.
- Pour Attribut à mettre en correspondance, sélectionnez
Display Name
. - Pour Correspondance avec, sélectionnez
contains
. - Pour Chaîne, indiquez le nom du groupe, par exemple
Administrators
.
- Pour Attribut à mettre en correspondance, sélectionnez
Cela aide les organisations à envoyer uniquement les groupes requis à OCI IAM à partir d'Entra ID.
Dans IAM pour OCI, mettez à jour l'ID Entra IdP pour JIT.
-
Ouvrez un navigateur pris en charge et entrez l'URL de la console :
- Entrez le nom de votre compte Oracle Cloud, également appelé nom de votre location, et cliquez sur Suivant.
- Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
- Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
- Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré l'ID Entra comme IdP.
- Cliquez sur Sécurité dans le menu à gauche, puis sur Fournisseurs d'identités.
- Cliquez sur Entra ID IdP.Note
Il s'agit de l'ID Entra IdP que vous avez créé dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID. - Dans la page Entra ID IdP, cliquez sur Configure JIT.
- Dans la page Configure Just-in-time (JIT) Provisioning :
- Sélectionnez Provisionnement JAT (Just-In-Time).
- Sélectionnez Créer un utilisateur du domaine d'identité.
- Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.
- Sous Map User attributes :
- Laissez la première rangée pour
NameID
inchangée. - Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez
Attribute
. - Indiquez le nom de l'attribut d'utilisateur IdP comme suit :
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Cliquez sur Ajouter une rangée et entrez :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
.Pour l'attribut d'utilisateur du domaine d'identité, sélectionnez
First name
.Note
Le nom d'affichage complet (FQDN) provient de 1. Configurer les attributs SAML envoyés par l'intra-ID.
Ce diagramme montre à quoi doivent ressembler les attributs d'utilisateur dans le service IAM pour OCI (à droite) et le mappage des attributs d'utilisateur entre l'ID Entra et le service IAM pour OCI.
- Laissez la première rangée pour
- Sélectionnez Affecter un mappage de groupe.
- Entrez le nom de l'attribut d'appartenance au groupe :
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
. - Sélectionnez Définir des mappages d'appartenance à des groupes explicites.
- Dans IdP Nom du groupe, indiquez l'ID objet du groupe dans l'ID Entra de l'étape précédente.
- Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans IAM OCI pour mapper le groupe Entra ID.
Ce diagramme montre à quoi doivent ressembler les attributs de groupe dans le service IAM pour OCI (à droite) et le mappage des attributs de groupe entre l'ID Entra et le service IAM pour OCI.
- Dans les règles d'affectation, sélectionnez les éléments suivants :
- Lors de l'affectation d'appartenances au groupe : Fusionner avec les appartenances au groupe existantes
- Lorsqu'un groupe n'est pas trouvé : Ignorer le groupe manquant
Note
Sélectionnez des options en fonction des besoins de votre organisation. - Cliquez sur enregistrer les modifications.
- Dans la console Entra ID, créez un nouvel utilisateur avec un ID courriel qui n'est pas présent dans le service IAM pour OCI.
-
Affecter l'utilisateur aux groupes requis.
- Dans le navigateur, ouvrez la console OCI.
- Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
- Cliquez sur Suivant.
- Dans les options de connexion, cliquez sur Entra ID.
- Dans la page de connexion à Microsoft, entrez l'ID utilisateur nouvellement créé.
- Lors de l'authentification réussie de Microsoft :
- Le compte d'utilisateur est créé dans le service IAM pour OCI.
- L'utilisateur est connecté à la console OCI.
- Sélectionnez le menu Profil (
), situé dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Mon profil. Vérifiez les propriétés d'utilisateur telles que l'ID courriel, le prénom, le nom de famille et les groupes associés.
Félicitations! Vous avez configuré le provisionnement JIT entre l'ID Entra et le service IAM pour OCI.
Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :