Authentification unique entre OCI et Microsoft Entra ID

Dans ce tutoriel, configurez l'authentification unique entre OCI IAM et Microsoft Entra ID, en utilisant Entra ID comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous montre comment intégrer le service IAM pour OCI, en tant que fournisseur de services, avec Entra ID, en tant que IdP. En configurant la fédération entre Entra ID et OCI IAM, vous activez l'accès des utilisateurs aux services et aux applications dans OCI à l'aide des données d'identification d'utilisateur authentifiées par Entra ID.

Ce tutoriel explique comment configurer Entra ID en tant que IdP pour OCI IAM.

  1. Tout d'abord, téléchargez les métadonnées du domaine d'identité GIA pour OCI.
  2. Dans les prochaines étapes, vous allez créer et configurer une application dans Entra ID.
  3. Dans Entra ID, configurez l'authentification unique avec OCI IAM à l'aide des métadonnées.
  4. Dans Entra ID, modifiez les attributs et les réclamations de sorte que le nom du courriel soit utilisé comme identificateur pour les utilisateurs.
  5. Dans Entra ID, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous retournez à votre domaine d'identité pour terminer la configuration et configuration.In OCI IAM, mettez à jour la politique IdP par défaut pour ajouter l'ID Entra.
  7. Testez le fonctionnement de l'authentification fédérée entre OCI IAM et Entra ID.
Note

Ce tutoriel est propre au service GIA avec des domaines d'identité.
Étapes préliminaires

Pour suivre ce tutoriel, vous devez disposer des éléments suivants :

Note

L'utilisateur utilisé pour l'authentification unique doit exister dans OCI IAM et Entra ID pour que l'authentification unique fonctionne. Une fois ce tutoriel sur l'authentification unique terminé, il existe un autre tutoriel, Gestion du cycle de vie des identités entre OCI IAM et Entra ID. Cet autre tutoriel explique comment provisionner des comptes d'utilisateur depuis Entra ID vers OCI IAM ou depuis OCI IAM vers Entra ID.
1. Obtenir les métadonnées du fournisseur de services à partir de GIA pour OCI

Vous avez besoin des métadonnées SP de votre domaine d'identité IAM OCI pour les importer dans l'application d'intra-ID SAML que vous créez. Le service GIA pour OCI fournit une URL directe pour télécharger les métadonnées du domaine d'identité que vous utilisez. Voici la marche à suivre pour télécharger les métadonnées :

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console :

    https://cloud.oracle.com.

  2. Entrez le nom du compte en nuage, également appelé nom de la location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité auquel se connecter. Il s'agit du domaine d'identité utilisé pour configurer l'authentification unique, par exemple Default.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  6. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Paramètres, puis sur Paramètres de domaine.
  7. Sous Accéder au certificat de signature, cochez Configurer l'accès client.

    Cela permet à un client d'accéder à la certification de signature pour le domaine d'identité sans se connecter au domaine.

  8. Sélectionnez Enregistrer les modifications.

    Configurez l'accès client dans la page Paramètres de domaine

  9. Retournez à l'aperçu du domaine d'identité en sélectionnant le nom du domaine d'identité dans la piste du chemin de navigation. Sélectionnez Copier à côté de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application où vous pouvez la modifier.

    Informations de domaine indiquant où se trouvent les informations d'URL de domaine.

  10. Dans un nouvel onglet du navigateur, collez l'URL que vous avez copiée et ajoutez /fed/v1/metadata à la fin.

    Par exemple,

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Les métadonnées du domaine d'identité s'affichent dans le navigateur. Enregistrez-le en tant que fichier XML sous le nom OCIMetadata.xml.
2. Créer une application d'entreprise intra-ID

Pour les prochaines étapes, vous travaillez dans Entra ID.

Créez une application d'entreprise SAML dans Entra ID.

  1. Dans le navigateur, connectez-vous à Microsoft Entra à l'aide de l'URL :
    https://entra.microsoft.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise, puis Nouvelle application.
  4. Dans Rechercher des applications, entrez Oracle Cloud Infrastructure Console.
  5. Sélectionnez la vignette Console Oracle Cloud Infrastructure par Oracle Corporation.
  6. Entrez un nom pour l'application, par exemple Oracle IAM, et sélectionnez Créer.

    L'application d'entreprise est créée dans Entra ID.

3. Configurer l'authentification unique pour l'application d'entreprise Entra ID

Configurez l'authentification unique pour l'application SAML Entra ID et téléchargez les métadonnées SAML Entra ID. Dans cette section, vous utilisez le fichier de métadonnées du fournisseur de services IAM pour OCI que vous avez enregistré dans 1. Obtenez les métadonnées du fournisseur de services à partir d'OCI IAM.

  1. Dans la page Démarrage, sélectionnez Démarrer sous Configurer l'authentification unique.
  2. Sélectionnez SAML, puis Charger le fichier de métadonnées (bouton en haut de la page). Parcourez le fichier XML contenant les métadonnées du domaine d'identité OCI, OCIMetadata.xml.
  3. Fournissez l'URL de connexion. Par exemple
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Sélectionnez Enregistrer.
  5. Fermer la page Charger le fichier de métadonnées à partir du X en haut à droite. Si on vous invite à tester l'application maintenant, choisissez de ne pas le faire, car vous allez tester l'application plus tard dans ce tutoriel.
  6. Dans la page Configuration de l'authentification unique avec SAML, faites glisser vers le bas et dans Certificat de connexion SAML, sélectionnez Télécharger à côté de XML des métadonnées de fédération.
  7. À l'invite, sélectionnez Enregistrer le fichier. Les métadonnées sont automatiquement enregistrées avec le nom de fichier par défaut <your_enterprise_app_name>.xml. Par exemple, OracleIAM.xml.

    Page SSO basée sur SAML Entra ID

4. Modifier les attributs et les revendications

Modifiez les attributs et les revendications dans votre nouvelle application Entra ID SAML de sorte que l'adresse de courriel de l'utilisateur soit utilisée comme nom d'utilisateur.

  1. Dans l'application d'entreprise, dans le menu de gauche, sélectionnez authentification unique.
  2. Dans Attributs et revendications, sélectionnez Modifier.
  3. Sélectionnez la réclamation requise :
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Dans la page Gérer la revendication, modifiez l'attribut Source de user.userprinciplename à user.mail.

    Attributs et réclamations intra-ID

  5. Sélectionnez Enregistrer.

Configurations intra-ID supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Sélectionnez la réclamation de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

À l'aide de cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe Administrateurs dans SAML.
Note

Cela permet aux organisations d'envoyer uniquement les groupes requis au service IAM OCI à partir de l'ID Entra.
5. Ajouter un utilisateur de test à l'application intra-ID

Créez un utilisateur de test pour votre application Entra ID. Plus tard, cet utilisateur peut utiliser ses données d'identification Entra ID pour se connecter à la console OCI.

  1. Dans le centre d'administration Microsoft Entra, sélectionnez Identité, Utilisateurs, puis Tous les utilisateurs.
  2. Sélectionnez Nouvel utilisateur, Créer un nouvel utilisateur, créez un utilisateur et entrez son ID courriel.
    Note

    Assurez-vous d'utiliser les détails d'un utilisateur présent dans le service GIA pour OCI avec le même ID courriel.
  3. Retournez au menu de l'application d'entreprise. Dans la section Introduction, sélectionnez Affecter des utilisateurs et des groupes. Vous pouvez également sélectionner Utilisateurs sous Gérer dans le menu à gauche.
  4. Sélectionnez Ajouter un utilisateur ou un groupe et, dans la page suivante, sous Utilisateurs, sélectionnez Aucune sélection.
  5. Dans la page Users, sélectionnez l'utilisateur de test que vous avez créé. Lorsque vous le sélectionnez, l'utilisateur apparaît sous Éléments sélectionnés. Sélectionnez Sélectionner.
  6. De retour dans la page Ajouter une affectation, sélectionnez Affecter.
6. Activer l'ID intra comme IdP pour OCI IAM

Pour ces étapes, vous utilisez le service GIA pour OCI.

Ajoutez l'ID Entra comme IdP pour OCI IAM. Dans cette section, vous utilisez le fichier de métadonnées Entra ID que vous avez enregistré dans 3. Configurez l'authentification unique pour l'application Enterprise Entra ID, par exemple Oracle IAM.xml.

  1. Dans la console OCI du domaine dans lequel vous travaillez, sélectionnez Sécurité, puis Fournisseurs d'identités.
  2. Sélectionnez Ajouter IdP, puis Ajouter SAML IdP.
  3. Entrez un nom pour SAML IdP, par exemple Entra ID. Sélectionnez Suivant.
  4. Assurez-vous que l'option Importer les métadonnées du fournisseur d'identités est sélectionnée, et naviguez et sélectionnez, ou faites glisser et déposez le fichier XML des métadonnées d'intra-ID, Oracle IAM.xml dans Métadonnées du fournisseur d'identités. Il s'agit du fichier de métadonnées que vous avez enregistré au cours de 3. Configurer l'authentification unique pour l'application d'entreprise intra-ID. Sélectionnez Suivant.
  5. Dans Mapper l'identité de l'utilisateur, définissez les éléments suivants
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut d'utilisateur du fournisseur d'identités, sélectionnez l'ID SAML assertion Name.
    • Sous Attribut d'utilisateur du domaine d'identité, sélectionnez Primary email address.

    Attributs du fournisseur d'identités SAML

  6. Sélectionnez Suivant.
  7. Sous Vérifier et créer, vérifiez les configurations et sélectionnez Créer IdP.
  8. Sélectionnez Activer.
  9. Sélectionnez Ajouter à la règle de politique IdP.
  10. Sélectionnez Politique de fournisseur d'identités par défaut pour l'ouvrir, sélectionnez le menu Actions (trois points) et sélectionnez Modifier la règle IdP.

    Menu contextuel affichant "Modifier la règle de fournisseur d'identités"

  11. Sélectionnez Affecter des fournisseurs d'identités, puis Entrer l'ID pour l'ajouter à la liste.

    ajout d'Entra ID en tant que fournisseur d'identités dans la règle IdP par défaut

  12. Sélectionnez enregistrer les modifications.
7. Tester l'authentification unique entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement de l'authentification fédérée entre OCI IAM et Entra ID.
Note

Pour que cela fonctionne, l'utilisateur utilisé pour l'authentification unique doit être présent à la fois dans OCI IAM et dans l'intra-ID. En outre, l'utilisateur doit être affecté à l'application IAM OCI créée dans Entra ID.

Vous pouvez le faire de deux façons :

  • Vous pouvez créer manuellement un utilisateur de test dans OCI IAM et Entra ID.
  • Toutefois, si vous voulez effectuer un test avec un utilisateur en temps réel, vous devez configurer le provisionnement entre Entra ID et OCI IAM en suivant les étapes du tutoriel, Gestion du cycle de vie des identités entre OCI IAM et Entra ID.
Si vous n'avez pas configuré d'utilisateurs pour tester ce tutoriel, vous voyez l'erreur suivante
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testez l'authentification unique lancée par le fournisseur de services.

  1. Ouvrez un navigateur pris en charge et entrez l'URL de la console OCI :

    https://cloud.oracle.com.

  2. Entrez le nom de votre compte en nuage, également appelé nom de votre location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité dans lequel la fédération intra-ID est configurée.
  4. Dans la page de connexion, vous pouvez voir une option pour vous connecter avec Entra ID.

    Page de connexion IAM OCI

  5. Sélectionnez Entra ID. Vous êtes réacheminé vers la page de connexion Microsoft.
  6. Fournissez vos données d'identification Entra ID.
  7. Une fois l'authentification effectuée, vous êtes connecté à la console OCI.
Étape suivante

Félicitations! Vous avez configuré l'authentification unique entre Entra ID et OCI IAM.

Si un utilisateur a déjà été créé dans l'entra ID et affecté à l'application, qui avait été provisionné pour OCI IAM, vous avez pu tester le fonctionnement de l'authentification de fédération entre OCI IAM et Entra ID. Si vous n'avez pas un tel utilisateur, vous pouvez en créer un en suivant l'un des tutoriels sur la gestion du cycle de vie des identités entre OCI IAM et Entra ID.

Pour en savoir plus sur le développement à l'aide des produits Oracle, consultez les sites suivants :