Documentation sur Oracle Cloud Infrastructure

Authentification unique entre OCI et Microsoft Entra ID

Dans ce tutoriel, configurez l'authentification unique entre IAM pour OCI et Microsoft Entra ID, en utilisant Entra ID comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous explique comment intégrer le service IAM pour OCI, en tant que fournisseur de services, avec Entra ID, en tant que IdP. En configurant la fédération entre l'ID Entra et le service IAM pour OCI, vous activez l'accès des utilisateurs aux services et aux applications dans OCI à l'aide des données d'identification d'utilisateur authentifiées par l'ID Entra.

Ce tutoriel explique comment configurer Entra ID en tant que IdP pour OCI IAM.

  1. Tout d'abord, téléchargez les métadonnées du domaine d'identité GIA pour OCI.
  2. Dans les prochaines étapes, vous allez créer et configurer une application dans Entra ID.
  3. Dans Entra ID, configurez l'authentification unique avec le service IAM pour OCI à l'aide des métadonnées.
  4. Dans Entra ID, modifiez les attributs et les réclamations de sorte que le nom du courriel soit utilisé comme identificateur pour les utilisateurs.
  5. Dans Entra ID, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous retournez à votre domaine d'identité pour terminer la configuration et configuration.In IAM pour OCI, mettez à jour la politique IdP par défaut pour ajouter l'ID Entra.
  7. Vérifiez que l'authentification fédérée fonctionne entre IAM pour OCI et l'ID Entra.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

Note

L'utilisateur utilisé pour l'authentification unique doit exister à la fois dans IAM pour OCI et dans l'intra-ID pour que l'authentification unique fonctionne. Une fois ce tutoriel d'authentification unique terminé, il existe un autre tutoriel, Gestion du cycle de vie des identités entre OCI IAM et Entra ID. Cet autre tutoriel explique comment provisionner des comptes d'utilisateur de Entra ID à OCI IAM ou de OCI IAM à Entra ID.
1. Obtenir les métadonnées du fournisseur de services à partir de GIA pour OCI

Vous avez besoin des métadonnées du fournisseur de services de votre domaine d'identité IAM pour OCI pour les importer dans l'application d'intra-ID SAML que vous créez. Le service GIA pour OCI fournit une URL directe pour télécharger les métadonnées du domaine d'identité que vous utilisez. Voici la marche à suivre pour télécharger les métadonnées :

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com.

  2. Entrez le nom de votre compte en nuage, également appelé nom de la location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité auquel se connecter. Il s'agit du domaine d'identité utilisé pour configurer l'authentification unique, par exemple Default.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Sécurité de l'identité. Sous Identité, cliquez sur Domaines.
  6. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Paramètres, puis sur Paramètres de domaine.
  7. Sous Accéder au certificat de signature, cochez Configurer l'accès client.

    Cela permet à un client d'accéder à la certification de signature pour le domaine d'identité sans se connecter au domaine.

  8. Cliquez sur enregistrer les modifications.

    Configurez l'accès client dans la page Paramètres de domaine

  9. Retournez à l'aperçu du domaine d'identité en cliquant sur le nom du domaine d'identité dans la piste de navigation du chemin de navigation. Cliquez sur Copier à côté de l'URL du domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

  10. Dans un nouvel onglet du navigateur, collez l'URL que vous avez copiée et ajoutez /fed/v1/metadata à la fin.

    Par exemple,

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Les métadonnées du domaine d'identité s'affichent dans le navigateur. Enregistrez-le en tant que fichier XML sous le nom OCIMetadata.xml.
2. Créer une application d'entreprise intra-ID

Pour les prochaines étapes, vous travaillez dans Entra ID.

Créez une application d'entreprise SAML dans Entra ID.

  1. Dans le navigateur, connectez-vous à Microsoft Entra à l'aide de l'URL :
    https://entra.microsoft.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur Applications d'entreprise, puis sur Nouvelle application.
  4. Dans Rechercher des applications, entrez Oracle Cloud Infrastructure Console.
  5. Cliquez sur la vignette Console Oracle Cloud Infrastructure par Oracle Corporation.
  6. Entrez un nom pour l'application, par exemple GIA pour Oracle, et cliquez sur Créer.

    L'application d'entreprise est créée dans Entra ID.

3. Configurer l'authentification unique pour l'application d'entreprise Entra ID

Configurez l'authentification unique pour l'application SAML Entra ID et téléchargez les métadonnées SAML Entra ID. Dans cette section, vous utilisez le fichier de métadonnées SP OCI IAM que vous avez enregistré dans 1. Obtenez les métadonnées du fournisseur de services à partir d'OCI IAM.

  1. Dans la page Démarrage, cliquez sur Démarrer sous Configurer l'authentification unique.
  2. Cliquez sur SAML, puis sur Charger le fichier de métadonnées (bouton en haut de la page). Naviguez jusqu'au fichier XML contenant les métadonnées du domaine d'identité OCI, OCIMetadata.xml.
  3. Fournissez l'URL de connexion. Par exemple 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Cliquez sur enregistrer.
  5. Fermer la page Charger le fichier de métadonnées à partir du X en haut à droite. Si on vous invite à tester l'application maintenant, choisissez de ne pas le faire, car vous allez tester l'application plus tard dans ce tutoriel.
  6. Dans la page Configuration de l'authentification unique avec SAML, cliquez sur Télécharger à côté de XML des métadonnées de fédération.
  7. À l'invite, sélectionnez Enregistrer le fichier. Les métadonnées sont automatiquement enregistrées avec le nom de fichier par défaut <your_enterprise_app_name>.xml. Par exemple, OracleIAM.xml.

    Page SSO basée sur SAML Entra ID

4. Modifier les attributs et les revendications

Modifiez les attributs et les revendications dans votre nouvelle application Entra ID SAML de sorte que l'adresse de courriel de l'utilisateur soit utilisée comme nom d'utilisateur.

  1. Dans l'application d'entreprise, dans le menu de gauche, cliquez sur authentification unique.
  2. Dans Attributs et revendications, cliquez sur Modifier.
  3. Cliquez sur la revendication requise : 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Dans la page Gérer la revendication, modifiez l'attribut Source de user.userprinciplename à user.mail.

    Attributs et réclamations intra-ID

  5. Cliquez sur enregistrer.

Configurations intra-ID supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Cliquez sur la réclamation de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

À l'aide de cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe Administrateurs dans SAML.
Note

Cela aide les organisations à envoyer uniquement les groupes requis à OCI IAM à partir d'Entra ID.
5. Ajouter un utilisateur de test à l'application intra-ID

Créez un utilisateur de test pour votre application Entra ID. Par la suite, cet utilisateur peut utiliser ses données d'identification Entra ID pour se connecter à la console OCI.

  1. Dans le centre d'administration Microsoft Entra, cliquez sur Identité, puis sur Utilisateurs, puis sur Tous les utilisateurs.
  2. Cliquez sur Nouvel utilisateur, puis sur Créer un nouvel utilisateur, créez un utilisateur et entrez son ID courriel.
    Note

    Assurez-vous d'utiliser les détails d'un utilisateur présent dans le service GIA pour OCI avec le même ID courriel.
  3. Retournez au menu de l'application d'entreprise. Sous Démarrage, cliquez sur Affecter des utilisateurs et des groupes. Vous pouvez également cliquer sur Utilisateurs sous Gérer dans le menu à gauche.
  4. Sélectionnez Ajouter un utilisateur/groupe et, dans la page suivante, sous Utilisateurs, cliquez sur Aucune sélection.
  5. Dans la page Users, cliquez sur l'utilisateur de test que vous avez créé. Lorsque vous le sélectionnez, l'utilisateur apparaît sous Éléments sélectionnés. Cliquez sur Sélectionner.
  6. De retour dans la page Ajouter une affectation, cliquez sur Affecter.
6. Activer l'ID intra comme IdP pour OCI IAM

Pour ces étapes, vous utilisez le service GIA pour OCI.

Ajoutez l'ID Entra comme IdP pour le service IAM pour OCI. Dans cette section, vous utilisez le fichier de métadonnées Entra ID que vous avez enregistré dans 3. Configurez l'authentification unique pour l'application Enterprise Entra ID, par exemple Oracle IAM.xml.

  1. Dans la console OCI du domaine dans lequel vous travaillez, cliquez sur Sécurité, puis sur Fournisseurs d'identités.
  2. Cliquez sur Ajouter un fournisseur d'identités, puis sur Ajouter un fournisseur d'identités SAML.
  3. Entrez un nom pour SAML IdP, par exemple Entra ID. Cliquez sur Suivant.
  4. Assurez-vous que l'option Importer les métadonnées du fournisseur d'identités est sélectionnée, et naviguez et sélectionnez, ou faites glisser et déposez le fichier XML des métadonnées d'intra-ID, Oracle IAM.xml dans Métadonnées du fournisseur d'identités. Il s'agit du fichier de métadonnées que vous avez enregistré au cours de 3. Configurer l'authentification unique pour l'application d'entreprise intra-ID. Cliquez sur Suivant.
  5. Dans Mapper l'identité de l'utilisateur, définissez les éléments suivants
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut d'utilisateur du fournisseur d'identités, sélectionnez l'ID SAML assertion Name.
    • Sous Attribut d'utilisateur du domaine d'identité, sélectionnez Primary email address.

    Attributs du fournisseur d'identités SAML

  6. Cliquez sur Suivant.
  7. Sous Vérifier et créer, vérifiez les configurations et cliquez sur Créer IdP.
  8. Cliquez sur Activer.
  9. Cliquez sur Ajouter à la règle de politique IdP.

  10. Cliquez sur Politique de fournisseur d'identités par défaut pour l'ouvrir, cliquez sur le menu Actions (Menu Actions) et cliquez sur Modifier la règle IdP.

    Menu contextuel affichant "Modifier la règle de fournisseur d'identités"

  11. Cliquez sur Affecter des fournisseurs d'identités, puis sur Entrer l'ID pour l'ajouter à la liste.

    ajout d'Entra ID en tant que fournisseur d'identités dans la règle IdP par défaut

  12. Cliquez sur enregistrer les modifications.
7. Tester l'authentification unique entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement de l'authentification fédérée entre le service IAM pour OCI et l'ID Entra.
Note

Pour que cela fonctionne, l'utilisateur utilisé pour l'authentification unique doit être présent à la fois dans IAM pour OCI et dans l'intra-ID. En outre, l'utilisateur doit être affecté à l'application IAM pour OCI créée dans Entra ID.

Vous pouvez le faire de deux façons :

Si vous n'avez pas configuré d'utilisateurs pour tester ce tutoriel, vous voyez l'erreur suivante
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testez l'authentification unique lancée par le fournisseur de services.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console OCI :

    https://cloud.oracle.com.

  2. Entrez le nom de votre compte Oracle Cloud, également appelé nom de votre location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité dans lequel la fédération intra-ID est configurée.
  4. Dans la page de connexion, vous pouvez voir une option pour vous connecter avec Entra ID.

    Page de connexion IAM OCI

  5. Sélectionnez Entra ID. Vous êtes réacheminé vers la page de connexion Microsoft.
  6. Fournissez vos données d'identification Entra ID.
  7. Une fois l'authentification effectuée, vous êtes connecté à la console OCI.
Étape suivante

Félicitations! Vous avez configuré l'authentification unique entre l'ID Entra et le service IAM pour OCI.

Si un utilisateur a déjà été créé dans Entra ID et affecté à l'application, qui avait été provisionné pour OCI IAM, vous avez pu tester le fonctionnement de l'authentification de fédération entre OCI IAM et Entra ID. Si vous ne disposez pas d'un tel utilisateur, vous pouvez en créer un en suivant l'un des tutoriels sur la gestion du cycle de vie des identités entre OCI IAM et Entra ID.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :