Documentation sur Oracle Cloud Infrastructure

Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery

Configurez Entra ID en tant que magasin d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie Entra ID.

  1. Configurez le service IAM pour OCI afin qu'Entra ID soit le magasin d'identités pour gérer les identités dans le service IAM pour OCI. Dans le service GIA pour OCI, créez une application confidentielle.
  2. Générez un jeton de clé secrète à partir de l'ID client et de la clé secrète client du domaine d'identité GIA pour OCI. Utilisez ceci, avec l'URL du domaine, dans Entra ID.
  3. Créez une application dans Entra ID et utilisez le jeton de clé secrète et l'URL du domaine d'identité pour spécifier le domaine d'identité OCI IAM et prouver qu'il fonctionne en poussant les utilisateurs de Entra ID vers OCI IAM.
  4. Affectez les utilisateurs et les groupes que vous voulez provisionner au service IAM pour OCI à l'application intra-ID.
  1. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Arrêtez aux utilisateurs d'obtenir des courriels d'avis lorsque leur compte est créé ou mis à jour.
1. Créer une application confidentielle

Dans cette section, vous configurez Entra ID pour agir en tant que gestionnaire d'identités afin que les comptes d'utilisateur soient synchronisés entre Entra ID et IAM pour OCI.

  1. Dans le domaine d'identité dans lequel vous travaillez, cliquez sur Applications.
  2. Cliquez sur Ajouter une application, sélectionnez Application confidentielle et cliquez sur Lancer le flux de travail.

    Application confidentielle

  3. Entrez un nom pour l'application, par exemple Entra ID, cliquez sur Next.
  4. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    Configurer l'application en tant que client

  5. Sous Autorisation, vérifiez les données d'identification du client.

    Configurer l'application pour les données d'identification du client

  6. Sous Type de client, sélectionnez Confidentiel.
  7. Faites défiler l'affichage vers le bas et, dans la section Politique d'émission de jetons, réglez l'option Ressources autorisées à Spécifique.

    Politique d'émission de jetons

  8. Sélectionnez Ajouter des rôles d'application.
  9. Dans la section Rôles d'application, cliquez sur Ajouter des rôles, et dans la page Ajouter des rôles d'application, sélectionnez Administrateur d'utilisateurs, puis cliquez sur Ajouter.

    Ajouter des rôles d'application

  10. Cliquez sur Suivant, puis sur Terminer.
  11. Dans la page d'aperçu de l'application, cliquez sur Activer et confirmez que vous souhaitez activer l'application.

    L'application confidentielle est activée.

2. Rechercher l'URL du domaine et générer un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion pour l'application d'entreprise que vous créez dans Entra ID :

  • URL de domaine.
  • Jeton de clé secrète généré à partir de l'ID client et de la clé secrète client.
  1. Retournez à l'aperçu du domaine d'identité en cliquant sur le nom du domaine d'identité dans les chemins de navigation. Cliquez sur Copier à côté de l'URL du domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

  2. Dans l'application confidentielle du service GIA pour OCI, cliquez sur Configuration OAuth sous Ressources.
  3. Faites défiler l'affichage vers le bas et recherchez l'ID client et la clé secrète client sous Informations générales.
  4. Copiez l'ID client et stockez-le
  5. Cliquez sur Afficher la clé secrète et copiez la clé secrète et stockez-la.

    ID client et clé secrète client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton de clé secrète sous Windows, Linux ou MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Dans Linux, utilisez
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Dans MacOS, utilisez
    echo -n <clientID>:<clientsecret> | base64
    Le jeton de clé secrète est retourné. Par exemple 
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton de clé secrète.

3. Créer une application OCI dans Entra ID

Configurez Entra ID pour permettre à Entra ID d'être le magasin d'identités faisant autorité pour gérer les identités dans IAM.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur applications d'entreprise.

    Ajouter une application d'entreprise

  4. Dans la page Applications d'entreprise, cliquez sur Nouvelle application, puis sur Oracle.
  5. Sélectionnez Console Oracle Cloud Infrastructure

    Choisir Console Oracle Cloud Infrastructure

  6. Entrez un nom ou acceptez la valeur par défaut Oracle Cloud Infrastructure Console.
  7. Cliquez sur Créer.

    Créer une application de console IAM pour OCI

  8. Sélectionnez Provisionnement dans le menu de gauche sous Gérer.

    Page Provisionnement pour l'application d'entreprise dans Entra ID

  9. Cliquez sur Démarrer et remplacez Mode de provisionnement par Automatique.
  10. Dans URL du locataire, entrez l'URL du domaine GIA pour OCI de l'étape 2. Rechercher l'URL du domaine et générer un jeton secret suivi de /admin/v1. Autrement dit, l'URL du locataire est 
    https://<domainURL>/admin/v1
  11. Entrez le jeton de clé secrète que vous avez généré à l'étape 2. Rechercher l'URL du domaine et générer un jeton secret.

    Entrer les données d'identification de l'administrateur

  12. Cliquez sur Tester la connexion. Lorsque ce message s'affiche, la connexion est établie
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Sélectionnez Provisionnement dans le menu de gauche sous Gérer et cliquez sur Démarrer le provisionnement. Le cycle de provisionnement commence et le statut du provisionnement s'affiche.
4. Affecter des utilisateurs et des groupes à l'application intra-ID

Affectez les utilisateurs que vous voulez provisionner au service IAM pour OCI à l'application intra-ID.

  1. Dans Entra ID, dans le menu de gauche, cliquez sur applications d'entreprise.
  2. Cliquez sur l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  3. Dans le menu de gauche sous Gérer, cliquez sur Utilisateurs et groupes.
  4. Dans la page Utilisateurs et groupes, cliquez sur Ajouter un utilisateur ou un groupe.
  5. Dans la page Ajouter une affectation, à gauche sous Utilisateurs et groupes, cliquez sur Aucune sélection.

    La page Utilisateurs et groupes s'ouvre.

  6. Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste en cliquant dessus. Les éléments que vous sélectionnez sont répertoriés sous Éléments sélectionnés.

    Utilisateurs et groupes

  7. Cliquez sur Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché dans la page Ajout affectation.

    Le nombre d'utilisateurs et de groupes que vous avez sélectionnés est affiché dans la page Ajout affectation.

  8. Dans la page Ajouter une affectation, cliquez sur Affecter.

    La page Utilisateurs et groupes affiche maintenant les utilisateurs et les groupes que vous avez sélectionnés.

    Les utilisateurs et le groupe que vous avez sélectionnés s'affichent dans la liste des utilisateurs et des groupes de l'application.

  9. Cliquez sur Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.

    Journal de provisionnement affichant le statut Réussite.

  10. Lorsque le provisionnement a réussi, le statut du cycle courant indique que le cycle incrémentiel est terminé et que le nombre d'utilisateurs provisionnés pour GIA pour OCI est affiché.

    Le statut du provisionnement est affiché, ainsi que le nombre d'utilisateurs provisionnés pour le service GIA pour OCI

    Dans le service IAM pour OCI, vous pouvez maintenant voir les utilisateurs et les groupes provisionnés à partir de l'ID Entra.

    Les utilisateurs Entra ID sont maintenant provisionnés dans IAM
    Note

    Lorsque vous supprimez des utilisateurs de l'application de la console Oracle Cloud Infrastructure sur Entra ID, l'utilisateur ne sera désactivé que sur OCI IAM.

    Les groupes Entra ID sont maintenant provisionnés dans IAM

5. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels d'avis envoyés à l'utilisateur lorsque son compte est créé ou mis à jour.
a. Définition du statut fédéré des utilisateurs

Les utilisateurs fédérés n'ont pas de données d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, réglez l'attribut fédéré à Vrai pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur applications d'entreprise.
  4. Cliquez sur l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
  6. Dans la page Provisionnement, cliquez sur Mappages.

  7. Sous Mappages, cliquez sur Provisionner les utilisateurs intra-ID.

  8. Sous Mappages d'attributs, faites défiler l'affichage vers le bas et cliquez sur Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Edit Attribute :
    • Pour Type de mappage, sélectionnez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      modification des attributs, page

  10. Cliquez sur Ok.
  11. Dans la page Mappage d'attributs, cliquez sur Enregistrer.

Maintenant, lorsque les utilisateurs sont provisionnés de l'ID Entra à OCI, leur statut fédéré est réglé à Vrai. Vous pouvez le voir dans la page de profil de l'utilisateur.

  • Dans la console OCI, naviguez jusqu'au domaine d'identité que vous utilisez, cliquez sur Utilisateurs, puis cliquez sur l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré est affiché comme Yes.

    Informations sur l'utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les avis pour la création ou la mise à jour de compte

L'indicateur Ignorer l'avis contrôle si un avis par courriel est envoyé après la création ou la mise à jour d'un compte d'utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient avisés que le compte a été créé pour eux, réglez l'indicateur d'avis de contournement à Vrai.

Pour définir l'indicateur d'avis de contournement :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur applications d'entreprise.
  4. Cliquez sur l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
  6. Dans la page Provisionnement, cliquez sur Mappages.

  7. Sous Mappages, cliquez sur Provisionner les utilisateurs intra-ID.

    Provisionner les utilisateurs intra-ID sous Mappings, dans la page Provisioning Mode (Mode de provisionnement)

  8. Sous Mappages d'attributs, faites défiler l'affichage vers le bas et cliquez sur Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Edit Attribute :
    • Pour Type de mappage, sélectionnez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      modification des attributs, page

  10. Cliquez sur Ok.
  11. Dans la page Mappage d'attributs, cliquez sur Enregistrer.