Documentation sur Oracle Cloud Infrastructure

Provisionnement JIT à partir de l'ID intra vers IAM pour OCI

Dans ce tutoriel, vous allez configurer le provisionnement juste à temps (JIT) entre la console OCI et l'intra-ID, en utilisant l'intra-ID comme IdP.

Vous pouvez configurer le provisionnement JIT de sorte que des identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel présente les étapes suivantes :

  1. Configurez l'ID Entra IdP dans IAM pour OCI pour JIT.
  2. Mettez à jour la configuration de l'application OCI IAM dans Entra ID.
  3. Testez que vous pouvez provisionner de Entra ID à IAM pour OCI.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

En outre, vous devez avoir terminé le tutoriel SSO Between OCI and Microsoft Entra ID et collecté l'ID objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par ID entrants

Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par l'ID Entra.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://entra.microsoft.com
  2. Naviguez jusqu'aux applications d'entreprise.
  3. Cliquez sur l'application de la console Oracle Cloud Infrastructure.
    Note

    Il s'agit de l'application que vous avez créée dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID.
  4. Dans le menu de gauche, cliquez sur authentification unique.
  5. Dans la section Attributs et revendications, cliquez sur Modifier.
  6. Vérifiez que les attributs sont bien configurés :
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si vous avez besoin de nouvelles réclamations, ajoutez-les.

  7. Notez tous les noms de réclamation configurés. Par exemple

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    est le nom de revendication pour First Name.

    Attributs et revendications

  8. Naviguez jusqu'à Groupes. Vous verrez tous les groupes disponibles dans Entra ID.
  9. Notez les ID objet des groupes qui souhaitent faire partie de SAML à envoyer au service IAM pour OCI.

    Détails du groupe dans l'intra-ID

Configurations intra-ID supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Cliquez sur la réclamation de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

À l'aide de cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe Administrateurs dans SAML.
Note

Cela aide les organisations à envoyer uniquement les groupes requis à OCI IAM à partir d'Entra ID.
2. Configurer les attributs JIT dans OCI IAM

Dans IAM pour OCI, mettez à jour l'ID Entra IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez le nom de votre compte Oracle Cloud, également appelé nom de votre location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer l'authentification unique.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
  6. Sous Identité, cliquez sur Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré l'ID Entra comme IdP.
  8. Cliquez sur Sécurité dans le menu à gauche, puis sur Fournisseurs d'identités.
  9. Cliquez sur Entra ID IdP.
    Note

    Il s'agit de l'ID Entra IdP que vous avez créé dans le cadre de l'authentification unique entre OCI et Microsoft Entra ID.
  10. Dans la page Entra ID IdP, cliquez sur Configure JIT.

    Page de configuration du fournisseur d'identités intra-ID dans IAM

  11. Dans la page Configure Just-in-time (JIT) Provisioning :
    • Sélectionnez Provisionnement JAT (Just-In-Time).
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur du domaine d'identité existant.

    activer le provisionnement juste-à-temps

  12. Sous Map User attributes :
    1. Laissez la première rangée pour NameID inchangée.
    2. Pour les autres attributs, sous Attribut d'utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut d'utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Cliquez sur Ajouter une rangée et entrez : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Pour l'attribut d'utilisateur du domaine d'identité, sélectionnez First name.

      Note

      Le nom d'affichage complet (FQDN) provient de 1. Configurer les attributs SAML envoyés par l'intra-ID.

    Ce diagramme montre à quoi doivent ressembler les attributs d'utilisateur dans le service IAM pour OCI (à droite) et le mappage des attributs d'utilisateur entre l'ID Entra et le service IAM pour OCI.

    Mappage des attributs d'utilisateur entre Entra ID et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance au groupe : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Sélectionnez Définir des mappages d'appartenance à des groupes explicites.
  16. Dans IdP Nom du groupe, indiquez l'ID objet du groupe dans l'ID Entra de l'étape précédente.
  17. Dans Nom du groupe de domaines d'identité, sélectionnez le groupe dans IAM OCI pour mapper le groupe Entra ID.

    Affecter des mappages de groupe

    Ce diagramme montre à quoi doivent ressembler les attributs de groupe dans le service IAM pour OCI (à droite) et le mappage des attributs de groupe entre l'ID Entra et le service IAM pour OCI.

    Mappage des attributs de groupe entre l'ID intra et l'IAM OCI

  18. Dans les règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances au groupe : Fusionner avec les appartenances au groupe existantes
    2. Lorsqu'un groupe n'est pas trouvé : Ignorer le groupe manquant

    définition des règles d'assignation

    Note

    Sélectionnez des options en fonction des besoins de votre organisation.
  19. Cliquez sur enregistrer les modifications.
3. Tester le provisionnement JIT entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre l'ID Entra et le service IAM pour OCI.
  1. Dans la console Entra ID, créez un nouvel utilisateur avec un ID courriel qui n'est pas présent dans le service IAM pour OCI.

  2. Affecter l'utilisateur aux groupes requis.

    affecter l'utilisateur à des groupes

  3. Dans le navigateur, ouvrez la console OCI.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Cliquez sur Suivant.
  6. Dans les options de connexion, cliquez sur Entra ID.
  7. Dans la page de connexion à Microsoft, entrez l'ID utilisateur nouvellement créé.

    Page de connexion Microsoft

  8. Lors de l'authentification réussie de Microsoft :
    • Le compte d'utilisateur est créé dans le service IAM pour OCI.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  9. Sélectionnez le menu Profil (icône de menu de profil), situé dans le coin supérieur droit de la barre de navigation en haut de la page, puis cliquez sur Mon profil. Vérifiez les propriétés d'utilisateur telles que l'ID courriel, le prénom, le nom de famille et les groupes associés.

    Vérifier les propriétés d'utilisateur dans OCI IAM

Étape suivante

Félicitations! Vous avez configuré le provisionnement JIT entre l'ID Entra et le service IAM pour OCI.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :