Documentation sur Oracle Cloud Infrastructure

Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery

Configurez Entra ID en tant que magasin d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie Entra ID.

  1. Configurez le service IAM pour OCI afin qu'Entra ID soit le magasin d'identités pour gérer les identités dans le service IAM pour OCI. Dans le service GIA pour OCI, créez une application confidentielle.
  2. Générez un jeton de clé secrète à partir de l'ID client et de la clé secrète client du domaine d'identité GIA pour OCI. Utilisez ceci, avec l'URL du domaine, dans Entra ID.
  3. Créez une application dans Entra ID et utilisez le jeton de clé secrète et l'URL du domaine d'identité pour spécifier le domaine d'identité IAM OCI et prouver qu'il fonctionne en poussant les utilisateurs de Entra ID vers OCI IAM.
  4. Affectez les utilisateurs et les groupes que vous voulez provisionner au service IAM pour OCI à l'application intra-ID.
  1. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Arrêtez aux utilisateurs d'obtenir des courriels d'avis lorsque leur compte est créé ou mis à jour.
1. Créer une application confidentielle

Dans cette section, vous configurez Entra ID pour agir en tant que gestionnaire d'identités afin que les comptes d'utilisateur soient synchronisés entre Entra ID et OCI IAM.

  1. Dans le domaine d'identité dans lequel vous travaillez, sélectionnez Applications.
  2. Sélectionnez Ajouter une application, puis Application confidentielle, puis Lancer le flux de travail.

    Application confidentielle

  3. Entrez un nom pour l'application, par exemple Entra ID, sélectionnez Suivant.
  4. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    Configurer l'application en tant que client

  5. Sous Autorisation, vérifiez les données d'identification du client.

    Configurer l'application pour les données d'identification du client

  6. Sous Type de client, sélectionnez Confidentiel.
  7. Faites défiler l'affichage vers le bas et, dans la section Politique d'émission de jetons, réglez l'option Ressources autorisées à Spécifique.

    Politique d'émission de jetons

  8. Sélectionnez Ajouter des rôles d'application.
  9. Dans la section Rôles d'application, sélectionnez Ajouter des rôles, et dans la page Ajouter des rôles d'application, sélectionnez Administrateur d'utilisateurs, puis Ajouter.

    Ajouter des rôles d'application

  10. Sélectionnez Suivant, puis Terminer.
  11. Dans la page d'aperçu de l'application, sélectionnez Activer et confirmez que vous souhaitez activer l'application.

    L'application confidentielle est activée.

2. Rechercher l'URL du domaine et générer un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion pour l'application d'entreprise que vous créez dans Entra ID :

  • URL de domaine.
  • Jeton de clé secrète généré à partir de l'ID client et de la clé secrète client.
  1. Retournez à l'aperçu du domaine d'identité en sélectionnant le nom du domaine d'identité dans les chemins de navigation. Sélectionnez Copier à côté de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

  2. Dans l'application confidentielle du service IAM pour OCI, sélectionnez OAuth configuration sous Ressources.
  3. Faites défiler l'affichage vers le bas et recherchez l'ID client et la clé secrète client sous Informations générales.
  4. Copiez l'ID client et stockez-le
  5. Sélectionnez Afficher la clé secrète et copiez la clé secrète et stockez-la.

    ID client et clé secrète client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton de clé secrète sous Windows, Linux ou MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    Dans Linux, utilisez
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Dans MacOS, utilisez
    echo -n <clientID>:<clientsecret> | base64
    Le jeton de clé secrète est retourné. Par exemple 
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton de clé secrète.

3. Créer une application OCI dans Entra ID

Configurez Entra ID pour permettre à Entra ID d'être le magasin d'identités faisant autorité pour gérer les identités dans IAM.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications Enterprise.

    Ajouter une application d'entreprise

  4. Dans la page Applications d'entreprise, sélectionnez Nouvelle application, puis Oracle.
  5. Sélectionnez Console Oracle Cloud Infrastructure

    Choisir Console Oracle Cloud Infrastructure

  6. Entrez un nom ou acceptez la valeur par défaut Oracle Cloud Infrastructure Console.
  7. Sélectionnez Créer.

    Créer une application de console IAM pour OCI

  8. Sélectionnez Provisionnement dans le menu de gauche sous Gérer.

    Page Provisionnement pour l'application d'entreprise dans Entra ID

  9. Sélectionnez Démarrer et réglez Mode de provisionnement à Automatique.
  10. Dans URL du locataire, entrez l'URL du domaine GIA pour OCI de l'étape 2. Rechercher l'URL du domaine et générer un jeton secret suivi de /admin/v1. Autrement dit, l'URL du locataire est 
    https://<domainURL>/admin/v1
  11. Entrez le jeton de clé secrète que vous avez généré à l'étape 2. Rechercher l'URL du domaine et générer un jeton secret.

    Entrer les données d'identification de l'administrateur

  12. Sélectionnez Tester la connexion. Lorsque ce message s'affiche, la connexion est établie
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Sélectionnez Provisionnement dans le menu de gauche sous Gérer et sélectionnez Lancer le provisionnement. Le cycle de provisionnement commence et le statut du provisionnement s'affiche.
4. Affecter des utilisateurs et des groupes à l'application intra-ID

Affectez les utilisateurs que vous voulez provisionner au service IAM pour OCI à l'application intra-ID.

  1. Dans Entra ID, dans le menu de gauche, sélectionnez Applications d'entreprise.
  2. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  3. Dans le menu de gauche sous Gérer, sélectionnez Utilisateurs et groupes.
  4. Dans la page Utilisateurs et groupes, sélectionnez Ajouter un utilisateur/groupe.
  5. Dans la page Ajouter une affectation, à gauche sous Utilisateurs et groupes, sélectionnez Aucune sélection.

    La page Utilisateurs et groupes s'ouvre.

  6. Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste en les sélectionnant. Les éléments que vous sélectionnez sont répertoriés sous Éléments sélectionnés.

    Utilisateurs et groupes

  7. Sélectionnez Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché dans la page Ajout affectation.

    Le nombre d'utilisateurs et de groupes que vous avez sélectionnés est affiché dans la page Ajout affectation.

  8. Dans la page Ajouter une affectation, sélectionnez Affecter.

    La page Utilisateurs et groupes affiche maintenant les utilisateurs et les groupes que vous avez sélectionnés.

    Les utilisateurs et le groupe que vous avez sélectionnés s'affichent dans la liste des utilisateurs et des groupes de l'application.

  9. Sélectionnez Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.

    Journal de provisionnement affichant le statut Réussite.

  10. Lorsque le provisionnement a réussi, le statut du cycle courant indique que le cycle incrémentiel est terminé et que le nombre d'utilisateurs provisionnés pour GIA pour OCI est affiché.

    Le statut du provisionnement est affiché, ainsi que le nombre d'utilisateurs provisionnés pour le service GIA pour OCI

    Dans le service IAM pour OCI, vous pouvez maintenant voir les utilisateurs et les groupes provisionnés à partir d'Entra ID.

    Les utilisateurs Entra ID sont maintenant provisionnés dans IAM
    Note

    Lorsque vous supprimez des utilisateurs de l'application de console Oracle Cloud Infrastructure sur Entra ID, l'utilisateur ne sera désactivé que sur le service IAM pour OCI.

    Les groupes Entra ID sont maintenant provisionnés dans IAM

5. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels d'avis envoyés à l'utilisateur lorsque son compte est créé ou mis à jour.
a. Définition du statut fédéré des utilisateurs

Les utilisateurs fédérés n'ont pas de données d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, réglez l'attribut fédéré à Vrai pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications Enterprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Dans la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappages, sélectionnez Provisionner les utilisateurs intra-ID.

  8. Sous Mappages d'attributs, faites défiler l'affichage vers le bas et sélectionnez Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Edit Attribute :
    • Pour Type de mappage, sélectionnez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      modification des attributs, page

  10. Sélectionnez Ok.
  11. Dans la page Mappage d'attributs, sélectionnez Enregistrer.

Maintenant, lorsque les utilisateurs sont provisionnés de Entra ID à OCI, leur statut fédéré est réglé à Vrai. Vous pouvez le voir dans la page de profil de l'utilisateur.

  • Dans la console OCI, naviguez jusqu'au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré est affiché comme Yes.

    Informations sur l'utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les avis pour la création ou la mise à jour de compte

L'indicateur Ignorer l'avis contrôle si un avis par courriel est envoyé après la création ou la mise à jour d'un compte d'utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient avisés que le compte a été créé pour eux, réglez l'indicateur d'avis de contournement à Vrai.

Pour définir l'indicateur d'avis de contournement :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications Enterprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Dans la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappages, sélectionnez Provisionner les utilisateurs intra-ID.

    Provisionner les utilisateurs intra-ID sous Mappings, dans la page Provisioning Mode (Mode de provisionnement)

  8. Sous Mappages d'attributs, faites défiler l'affichage vers le bas et sélectionnez Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Edit Attribute :
    • Pour Type de mappage, sélectionnez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      modification des attributs, page

  10. Sélectionnez Ok.
  11. Dans la page Mappage d'attributs, sélectionnez Enregistrer.