Documentation sur Oracle Cloud Infrastructure

Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery

Configurez Entra ID en tant que magasin d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie Entra ID.

  1. Configurer OCI IAM de sorte qu'Entra ID soit le magasin d'identités pour gérer les identités dans OCI IAM. Dans OCI IAM, créez une application confidentielle.
  2. Générez un jeton de clé secrète à partir de l'ID client et de la clé secrète client du domaine d'identité OCI IAM. Utilisez cette adresse, ainsi que l'URL du domaine, dans Entra ID.
  3. Créez une application dans Entra ID et utilisez le jeton de clé secrète et l'URL du domaine d'identité pour spécifier le domaine d'identité OCI IAM et prouver qu'elle fonctionne en poussant les utilisateurs d'Entra ID vers OCI IAM.
  4. Affectez les utilisateurs et les groupes que vous voulez provisionner pour OCI IAM à l'application Entra ID.
  1. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Empêcher les utilisateurs d'obtenir des courriels d'avis lorsque leur compte est créé ou mis à jour.
1. Créer une application confidentielle

Dans cette section, vous configurez Entra ID pour qu'il agisse en tant que gestionnaire d'identités afin que les comptes d'utilisateur soient synchronisés entre Entra ID et OCI IAM.

  1. Dans le domaine d'identité dans lequel vous travaillez, sélectionnez Applications.
  2. Select Add Application, and choose Confidential Application and select Launch workflow.

    Application confidentielle

  3. Entrez un nom pour l'application, par exemple Entra ID, sélectionnez Suivant.
  4. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    Configurer l'application en tant que client

  5. Sous Autorisation, cochez Données d'identification du client.

    Configurer l'application pour les données d'identification de client

  6. Sous Type de client, sélectionnez Confidentiel.
  7. Allez vers le bas et, dans la section Politique d'émission de jetons, réglez l'option Ressources autorisées à Spécifique.

    Politique d'émission de jetons

  8. Sélectionnez Ajouter des rôles d'application.
  9. Dans la section Rôles d'application, sélectionnez Ajouter des rôles, et dans la page Ajouter des rôles d'application, sélectionnez Administrateur d'utilisateur, puis Ajouter.

    Ajouter des rôles d'application

  10. Sélectionnez Next (Suivant), puis Finish (Terminer).
  11. Dans la page d'aperçu de l'application, sélectionnez Activer et confirmez que vous voulez activer l'application.

    L'application confidentielle est activée.

2. Rechercher l'URL du domaine et générer un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion pour l'application d'entreprise que vous créez dans Entra ID :

  • URL de domaine.
  • Jeton de clé secrète généré à partir de l'ID client et de la clé secrète client.
  1. Retournez à l'aperçu du domaine d'identité en sélectionnant le nom du domaine d'identité dans les chemins de navigation. Sélectionnez Copier à côté de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

  2. Dans l'application confidentielle dans OCI IAM, sélectionnez Configuration OAuth sous Ressources.
  3. Faites défiler l'affichage vers le bas et recherchez l'ID client et la clé secrète client sous Informations générales.
  4. Copiez l'ID client et stockez-le
  5. Sélectionner Afficher la clé secrète et copier la clé secrète et la stocker.

    ID client et clé secrète client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret> , ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton de clé secrète sous Windows, Linux ou MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer l'encodage base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    Sous Linux, utilisez
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Dans MacOS, utilisez
    echo -n <clientID>:<clientsecret> | base64
    Le jeton de clé secrète est retourné. Par exemple 
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton de clé secrète.

3. Créer une application OCI dans Entra ID

Configurez Entra ID pour permettre à Entra ID d'être le magasin d'identités faisant autorité pour gérer les identités dans IAM.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    
                            https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise.

    Ajouter une application d'entreprise

  4. Dans la page Applications d'entreprise, sélectionnez Nouvelle application, puis Oracle.
  5. Sélectionnez Console Oracle Cloud Infrastructure

    Choisir Console Oracle Cloud Infrastructure

  6. Entrez un nom ou acceptez la valeur par défaut Oracle Cloud Infrastructure Console.
  7. Sélectionnez Créer.

    Créer une application de console OCI IAM

  8. Sélectionnez Provisionnement dans le menu de gauche sous Gérer.

    Page de provisionnement pour l'application d'entreprise dans Entra ID

  9. Sélectionnez Démarrer et remplacez Mode de provisionnement par Automatique.
  10. Dans URL du locataire, entrez l'URL du domaine OCI IAM à partir de 2. Recherchez l'URL du domaine et générez un jeton secret, suivi de /admin/v1. Autrement dit, l'URL du locataire est 
    https://<domainURL>/admin/v1
  11. Entrez le jeton de clé secrète que vous avez généré à l'étape 2. Rechercher l'URL du domaine et générer un jeton secret.

    Entrer les données d'identification de l'administrateur

  12. Sélectionnez Tester la connexion. Lorsque ce message s'affiche, la connexion est établie
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Sélectionnez Provisionnement dans le menu de gauche sous Gérer et sélectionnez Démarrer le provisionnement. Le cycle de provisionnement commence et le statut du provisionnement s'affiche.
4. Affecter des utilisateurs et des groupes à l'application Entra ID

Affectez les utilisateurs que vous voulez provisionner pour OCI IAM à l'application Entra ID.

  1. Dans Entra ID, dans le menu de gauche, sélectionnez Applications d'entreprise.
  2. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  3. Dans le menu de gauche sous Gérer, sélectionnez Utilisateurs et groupes.
  4. Dans la page Utilisateurs et groupes, sélectionnez Ajouter un utilisateur/groupe.
  5. Dans la page Add Assignment (Ajouter une affectation), à gauche sous Users and groups (Utilisateurs et groupes), sélectionnez None Selected (Aucune sélection).

    La page Utilisateurs et groupes s'ouvre.

  6. Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste en les sélectionnant. Les éléments que vous sélectionnez sont répertoriés sous Éléments sélectionnés.

    Utilisateurs et groupes

  7. Sélectionnez Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché dans la page Ajout affectation.

    Le nombre d'utilisateurs et de groupes que vous avez sélectionnés est affiché dans la page Ajout affectation.

  8. Dans la page Ajouter une affectation, sélectionnez Affecter.

    La page Utilisateurs et groupes affiche désormais les utilisateurs et les groupes que vous avez sélectionnés.

    Les utilisateurs et le groupe que vous avez choisis sont affichés dans la liste des utilisateurs et des groupes pour l'application.

  9. Sélectionnez Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.

    Journal de provisionnement affichant le statut Réussite.

  10. Une fois le provisionnement réussi, le statut du cycle courant indique que le cycle incrémentiel est terminé et que le nombre d'utilisateurs provisionnés pour OCI IAM est affiché.

    Le statut du provisionnement est affiché, ainsi que le nombre d'utilisateurs provisionnés pour le service GIA pour OCI

    Dans OCI IAM, vous pouvez désormais voir les utilisateurs et les groupes provisionnés à partir d'Entra ID.

    Utilisateurs Entra ID désormais provisionnés dans IAM
    Note

    Lorsque vous supprimez des utilisateurs de l'application de la console Oracle Cloud Infrastructure sur Entra ID, l'utilisateur ne sera désactivé que sur OCI IAM.

    Les groupes Entra ID sont maintenant provisionnés dans IAM

5. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs pour qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels d'avis envoyés à l'utilisateur lorsque son compte est créé ou mis à jour.
a. Définition du statut fédéré des utilisateurs

Les utilisateurs fédérés n'ont pas de données d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, réglez l'attribut fédéré à Vrai pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    
                                https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Dans la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappages, sélectionnez Provisionner les utilisateurs avec ID interne.

  8. Sous Mappages d'attribut, faites défiler l'affichage vers le bas et sélectionnez Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Edit Attribute :
    • Pour Type de mappage, sélectionnez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      modification des attributs, page

  10. Sélectionnez OK.
  11. Dans la page Mappage d'attribut, sélectionnez Enregistrer.

Maintenant, lorsque les utilisateurs sont provisionnés de Entra ID à OCI, leur statut fédéré est réglé à Vrai. Vous pouvez le voir dans la page de profil de l'utilisateur.

  • Dans la console OCI, naviguez jusqu'au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré est affiché comme Yes.

    Informations sur l'utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les avis pour la création ou les mises à jour de compte

L'indicateur Ignorer l'avis contrôle si un avis par courriel est envoyé après la création ou la mise à jour d'un compte d'utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient avisés que le compte a été créé pour eux, réglez l'indicateur Ignorer l'avis à Vrai.

Pour définir l'indicateur d'avis de contournement :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    
                                https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Dans la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappages, sélectionnez Provisionner les utilisateurs avec ID interne.

    Provisionner les utilisateurs intra-ID sous Mappages, dans la page Mode de provisionnement

  8. Sous Mappages d'attribut, faites défiler l'affichage vers le bas et sélectionnez Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Edit Attribute :
    • Pour Type de mappage, sélectionnez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      modification des attributs, page

  10. Sélectionnez OK.
  11. Dans la page Mappage d'attribut, sélectionnez Enregistrer.