Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery
Configurez Entra ID en tant que magasin d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie Entra ID.
- Configurez le service IAM pour OCI afin qu'Entra ID soit le magasin d'identités pour gérer les identités dans le service IAM pour OCI. Dans le service GIA pour OCI, créez une application confidentielle.
- Générez un jeton de clé secrète à partir de l'ID client et de la clé secrète client du domaine d'identité GIA pour OCI. Utilisez ceci, avec l'URL du domaine, dans Entra ID.
- Créez une application dans Entra ID et utilisez le jeton de clé secrète et l'URL du domaine d'identité pour spécifier le domaine d'identité OCI IAM et prouver qu'il fonctionne en poussant les utilisateurs de Entra ID vers OCI IAM.
- Affectez les utilisateurs et les groupes que vous voulez provisionner au service IAM pour OCI à l'application intra-ID.
- En outre, des instructions sur la façon de
- Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
- Arrêtez aux utilisateurs d'obtenir des courriels d'avis lorsque leur compte est créé ou mis à jour.
Dans cette section, vous configurez Entra ID pour agir en tant que gestionnaire d'identités afin que les comptes d'utilisateur soient synchronisés entre Entra ID et IAM pour OCI.
- Dans le domaine d'identité dans lequel vous travaillez, cliquez sur Applications.
- Cliquez sur Ajouter une application, sélectionnez Application confidentielle et cliquez sur Lancer le flux de travail.
- Entrez un nom pour l'application, par exemple
Entra ID
, cliquez sur Next. - Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
- Sous Autorisation, vérifiez les données d'identification du client.
- Sous Type de client, sélectionnez Confidentiel.
- Faites défiler l'affichage vers le bas et, dans la section Politique d'émission de jetons, réglez l'option Ressources autorisées à Spécifique.
- Sélectionnez Ajouter des rôles d'application.
- Dans la section Rôles d'application, cliquez sur Ajouter des rôles, et dans la page Ajouter des rôles d'application, sélectionnez Administrateur d'utilisateurs, puis cliquez sur Ajouter.
- Cliquez sur Suivant, puis sur Terminer.
- Dans la page d'aperçu de l'application, cliquez sur Activer et confirmez que vous souhaitez activer l'application.
L'application confidentielle est activée.
Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion pour l'application d'entreprise que vous créez dans Entra ID :
- URL de domaine.
- Jeton de clé secrète généré à partir de l'ID client et de la clé secrète client.
- Retournez à l'aperçu du domaine d'identité en cliquant sur le nom du domaine d'identité dans les chemins de navigation. Cliquez sur Copier à côté de l'URL du domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.
- Dans l'application confidentielle du service GIA pour OCI, cliquez sur Configuration OAuth sous Ressources.
- Faites défiler l'affichage vers le bas et recherchez l'ID client et la clé secrète client sous Informations générales.
- Copiez l'ID client et stockez-le
- Cliquez sur Afficher la clé secrète et copiez la clé secrète et stockez-la.Le jeton secret est l'encodage base64 de
<clientID>:<clientsecret>
, oubase64(<clientID>:<clientsecret>)
Ces exemples montrent comment générer le jeton de clé secrète sous Windows, Linux ou MacOS.
Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"
Dans Linux, utilisezecho -n <clientID>:<clientsecret> | base64 --wrap=0
Dans MacOS, utilisezecho -n <clientID>:<clientsecret> | base64
Le jeton de clé secrète est retourné. Par exempleecho -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==
Notez la valeur du jeton de clé secrète.
Configurez Entra ID pour permettre à Entra ID d'être le magasin d'identités faisant autorité pour gérer les identités dans IAM.
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://portal.azure.com
- Cliquez sur Identité, puis sur Applications.
- Cliquez sur applications d'entreprise.
- Dans la page Applications d'entreprise, cliquez sur Nouvelle application, puis sur Oracle.
- Sélectionnez Console Oracle Cloud Infrastructure
- Entrez un nom ou acceptez la valeur par défaut
Oracle Cloud Infrastructure Console
. - Cliquez sur Créer.
- Sélectionnez Provisionnement dans le menu de gauche sous Gérer.
- Cliquez sur Démarrer et remplacez Mode de provisionnement par Automatique.
- Dans URL du locataire, entrez l'URL du domaine GIA pour OCI de l'étape 2. Rechercher l'URL du domaine et générer un jeton secret suivi de
/admin/v1
. Autrement dit, l'URL du locataire esthttps://<domainURL>/admin/v1
- Entrez le jeton de clé secrète que vous avez généré à l'étape 2. Rechercher l'URL du domaine et générer un jeton secret.
- Cliquez sur Tester la connexion. Lorsque ce message s'affiche, la connexion est établie
Testing connection to Oracle Cloud Infrastructure Console The supplied credentials are authorized to enable provisioning
- Sélectionnez Provisionnement dans le menu de gauche sous Gérer et cliquez sur Démarrer le provisionnement. Le cycle de provisionnement commence et le statut du provisionnement s'affiche.
Affectez les utilisateurs que vous voulez provisionner au service IAM pour OCI à l'application intra-ID.
- Dans Entra ID, dans le menu de gauche, cliquez sur applications d'entreprise.
- Cliquez sur l'application que vous avez créée précédemment,
Oracle Cloud Infrastructure Console
. - Dans le menu de gauche sous Gérer, cliquez sur Utilisateurs et groupes.
- Dans la page Utilisateurs et groupes, cliquez sur Ajouter un utilisateur ou un groupe.
- Dans la page Ajouter une affectation, à gauche sous Utilisateurs et groupes, cliquez sur Aucune sélection.
La page Utilisateurs et groupes s'ouvre.
- Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste en cliquant dessus. Les éléments que vous sélectionnez sont répertoriés sous Éléments sélectionnés.
- Cliquez sur Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché dans la page Ajout affectation.
- Dans la page Ajouter une affectation, cliquez sur Affecter.
La page Utilisateurs et groupes affiche maintenant les utilisateurs et les groupes que vous avez sélectionnés.
- Cliquez sur Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.
- Lorsque le provisionnement a réussi, le statut du cycle courant indique que le cycle incrémentiel est terminé et que le nombre d'utilisateurs provisionnés pour GIA pour OCI est affiché.
Dans le service IAM pour OCI, vous pouvez maintenant voir les utilisateurs et les groupes provisionnés à partir de l'ID Entra.
Note
Lorsque vous supprimez des utilisateurs de l'application de la console Oracle Cloud Infrastructure sur Entra ID, l'utilisateur ne sera désactivé que sur OCI IAM.
- Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
- Vous pouvez désactiver les courriels d'avis envoyés à l'utilisateur lorsque son compte est créé ou mis à jour.
Les utilisateurs fédérés n'ont pas de données d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, réglez l'attribut fédéré à Vrai pour ces utilisateurs.
Pour définir le statut fédéré de l'utilisateur :
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://portal.azure.com
- Cliquez sur Identité, puis sur Applications.
- Cliquez sur applications d'entreprise.
- Cliquez sur l'application que vous avez créée précédemment,
Oracle Cloud Infrastructure Console
. - Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
- Dans la page Provisionnement, cliquez sur Mappages.
-
Sous Mappages, cliquez sur Provisionner les utilisateurs intra-ID.
- Sous Mappages d'attributs, faites défiler l'affichage vers le bas et cliquez sur Ajouter un nouveau mappage.
- Dans la page Edit Attribute :
- Pour Type de mappage, sélectionnez
Expression
. - Pour Expression, entrez
CBool("true")
. - Pour Attribut cible, sélectionnez
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser
.
- Pour Type de mappage, sélectionnez
- Cliquez sur Ok.
- Dans la page Mappage d'attributs, cliquez sur Enregistrer.
Maintenant, lorsque les utilisateurs sont provisionnés de l'ID Entra à OCI, leur statut fédéré est réglé à Vrai. Vous pouvez le voir dans la page de profil de l'utilisateur.
- Dans la console OCI, naviguez jusqu'au domaine d'identité que vous utilisez, cliquez sur Utilisateurs, puis cliquez sur l'utilisateur pour afficher les informations sur l'utilisateur.
- Fédéré est affiché comme
Yes
.
L'indicateur Ignorer l'avis contrôle si un avis par courriel est envoyé après la création ou la mise à jour d'un compte d'utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient avisés que le compte a été créé pour eux, réglez l'indicateur d'avis de contournement à Vrai.
Pour définir l'indicateur d'avis de contournement :
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://portal.azure.com
- Cliquez sur Identité, puis sur Applications.
- Cliquez sur applications d'entreprise.
- Cliquez sur l'application que vous avez créée précédemment,
Oracle Cloud Infrastructure Console
. - Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
- Dans la page Provisionnement, cliquez sur Mappages.
-
Sous Mappages, cliquez sur Provisionner les utilisateurs intra-ID.
- Sous Mappages d'attributs, faites défiler l'affichage vers le bas et cliquez sur Ajouter un nouveau mappage.
- Dans la page Edit Attribute :
- Pour Type de mappage, sélectionnez
Expression
. - Pour Expression, entrez
CBool("true")
. - Pour Attribut cible, sélectionnez
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification
.
- Pour Type de mappage, sélectionnez
- Cliquez sur Ok.
- Dans la page Mappage d'attributs, cliquez sur Enregistrer.