Documentation sur Oracle Cloud Infrastructure

Intégration avec Microsoft Entra ID

Préalables

Avant d'installer et de configurer un système orchestré Microsoft Entra ID, vous devez tenir compte des préalables et des tâches suivants.

Composants certifiés

Le système Microsoft Entra ID peut être l'un des suivants :

Composants certifiés
Type du composant Composant
Système
  • Microsoft Entra ID
  • Microsoft Entra ID avec client compatible Business-to-Consumer (B2C)
Version d'API du système
  • Microsoft Entra ID
  • API Microsoft Graph v1.0
  • API d'authentification Microsoft version v2.0 (OAuth 2.0)

Modes pris en charge

Le système orchestré Microsoft Entra ID prend en charge les modes suivants :

  • Source de l'autorité source
  • Système géré

Opérations prises en charge

Le système orchestré Microsoft Entra ID prend en charge les opérations suivantes sur Microsoft Entra ID :
  • Créer un utilisateur
  • Supprimer l'utilisateur
  • Réinitialiser le mot de passe
  • Affecter des rôles à un utilisateur
  • Révoquer les rôles d'un utilisateur
  • Affecter des licences à un utilisateur
  • Supprimer les licences d'un utilisateur
  • Affecter SecurityGroup à un utilisateur
  • Supprimer SecurityGroup d'un utilisateur
  • Affecter OfficeGroup à un utilisateur
  • Supprimer OfficeGroup d'un utilisateur

Attributs pris en charge par défaut

Le système orchestré Microsoft Entra ID prend en charge les attributs par défaut suivants. Ces attributs sont mappés en fonction de la direction de la connexion, par exemple :
  • Les données ingérées par Oracle Access Governance à partir de Microsoft Entra ID : User.givenName seront mappées à Identity.firstName
  • Données en cours de provisionnement dans Microsoft Entra ID à partir d'Oracle Access Governance : account.lastName sera mappé à User.surname
Attributs par défaut - Source faisant autorité
Entité de locataire activée pour Microsoft Entra ID/Microsoft Entra ID B2C Nom d'attribut dans le système géré Nom d'attribut d'identité d'Oracle Access Governance Nom d'affichage de l'attribut d'identité d'Oracle Access Governance
Utilisateur id uid ID unique
mailNickname name Nom d'utilisateur de l'employé
userPrincipalName courriel Adresse de courriel
givenName firstName Prénom
nom lastName Nom de famille
displayName displayName Nom
usageLocation usageLocation Nom de localité
gestionnaire managerLogin Gestionnaire
preferredLanguage preferredLanguage Langue préférée
accountEnabled statut Statut
Attributs supplémentaires pour le locataire activé pour B2C identités identities.issuerAssignedId identités
identités identities.signInType Type de connexion
identités identities.issuer Émetteur
passwordPolicies passwordPolicy Politique de mot de passe
Attributs par défaut - Système géré
Entité de locataire activée pour Microsoft Entra ID/Microsoft Entra ID B2C Nom d'attribut dans le système géré Nom d'attribut de compte Oracle Access Governance Nom d'affichage de l'attribut de compte Oracle Access Governance
Utilisateur id uid ID unique
userPrincipalName name Nom de connexion d'utilisateur
givenName firstName Prénom
nom lastName Nom de famille
displayName displayName Nom
mailNickname mailNickname Alias de courriel
courriel courriel Adresse de courriel
usageLocation usageLocation Emplacement d'utilisation de l'élément
ville ville Ville
pays pays Pays
gestionnaire managerLogin Gestionnaire
passwordProfile.forceChangePasswordNextSignIn forceChangePasswordNextSignIn Modifier le mot de passe à la prochaine connexion
preferredLanguage preferredLanguage Langue préférée
userType userType Type d'employé
accountEnabled statut Statut
Mot de passe Mot de passe Mot de passe
Attributs supplémentaires pour le locataire activé pour B2C
identities.issuerAssignedId issuerAssignedId ID affecté par l’émetteur
identities.signInType signInType Type de connexion
identities.issuer émetteur Émetteur
passwordPolicies passwordPolicy Politique de mot de passe
Licences licences en tant que droits

Configuration et paramètres de l'application Microsoft Enterprise

Avant de pouvoir établir une connexion, vous devez effectuer les tâches suivantes dans votre centre d'administration Microsoft Entra ID pour l'application Enterprise :
  1. Créez et enregistrez une application d'entreprise à intégrer à Oracle Access Governance. Pour plus d'informations, consultez la documentation de Microsoft.
  2. Générer une clé secrète client pour l'application
  3. Accordez les autorisations déléguées et d'application suivantes à l'API Microsoft Graph :

    Autorisation déléguée

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.Read
    • User.ReadWrite

    Autorisation d'application

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.ReadWrite.All
    • RoleManagement.ReadWrite.Directory
  4. Sélectionnez le bouton Accorder le consentement de l'administrateur pour fournir des autorisations complètes à l'échelle du répertoire permettant d'effectuer les tâches d'API connexes pour un système intégré

Pour plus d'informations, consultez la documentation de Microsoft.

Règles de correspondance par défaut

Pour mapper des comptes aux identités dans Oracle Access Governance, vous devez disposer d'une règle de correspondance pour chaque règle de correspondance par défaut system.The orchestrée pour le système orchestré Microsoft Entra ID :

Règles de correspondance par défaut
Mode Règle de correspondance par défaut
Source faisant autorité

La correspondance d'identité vérifie si les identités entrantes correspondent à une identité existante ou sont nouvelles.

Pour Microsoft Entra ID/Pour Microsoft Entra ID B2C - Client activé :

Valeur d'écran :

User login = Email

Nom de l'attribut :

Account.userPrincipalName = Identity.name

Système géré

La correspondance de compte vérifie si les comptes entrants correspondent aux identités existantes.

Pour Microsoft Entra ID :

Valeur d'écran :

User login = Email

Nom de l'attribut :

Account.userPrincipalName = Identity.name

Pour le locataire activé pour Microsoft Entra ID B2C :

Valeur d'écran :

Email = Email

Nom de l'attribut :

Account.mail = Identity.email

Configurer

Vous pouvez établir une connexion entre Microsoft Entra ID (anciennement Azure Active Directory) et Oracle Access Governance en entrant les détails de connexion. Pour ce faire, utilisez les fonctionnalités des systèmes orchestrés disponibles dans la console Oracle Access Governance.

Naviguer jusqu'à la page Systèmes orchestrés

Accédez à la page Orchestrated Systems de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation d'Oracle Access Governance Menu de navigation, sélectionnez Administration du service → Systèmes orchestrés.
  2. Sélectionnez le bouton Ajouter un système orchestré pour démarrer le flux de travail.

Sélectionner un système

À l'étape Sélectionner un système du flux de travail, vous pouvez spécifier le type de système à intégrer. Vous pouvez rechercher le système requis par son nom à l'aide du champ Rechercher.

  1. Sélectionnez Microsoft Entra ID.
  2. Cliquez sur Next (Suivant).

Entrer les détails

À l'étape Ajouter des détails du flux de travail, entrez les détails du système orchestré :
  1. Dans le champ Nom, entrez le nom du système auquel vous souhaitez vous connecter.
  2. Entrez une description du système dans le champ Description.
  3. Déterminez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les autorisations en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez une des options suivantes :

      • Source des identités et de leurs attributs : Le système agit en tant qu'identités sources et attributs associés. Cette option permet de créer de nouvelles identités.
      • Source des attributs d'identité uniquement : Le système ingère des détails supplémentaires sur les attributs d'identité et s'applique aux identités existantes. Cette option n'ingère pas ou ne crée pas de nouveaux enregistrements d'identité.
    • Je veux gérer les autorisations pour ce système
    La valeur par défaut de chaque cas est Non sélectionné.
  4. Sélectionnez Suivant.
Note

Le système orchestré Microsoft Entra ID vous permet de gérer les groupes dans Microsoft Entra ID à l'aide de l'option Je veux gérer les collections d'identités pour ce système orchestré. Si cette case est cochée, vous pouvez gérer les groupes Microsoft Entra ID à partir d'Oracle Access Governance. Toute modification apportée aux groupes Microsoft Entra ID sera rapprochée entre Oracle Access Governance et le système orchestré. De même, toute modification apportée dans Microsoft Entra ID sera répercutée dans Oracle Access Governance

Ajouter des responsables

Vous pouvez associer la responsabilité de la ressource en ajoutant des responsables principaux et supplémentaires. Ces responsables peuvent ainsi gérer (lire, mettre à jour ou supprimer) les ressources dont ils sont responsables. Par défaut, le créateur de la ressource est désigné comme responsable de la ressource. Vous pouvez affecter un responsable principal et jusqu'à 20 responsables supplémentaires aux ressources.
Note

Lors de la configuration du premier système orchestré pour votre instance de service, vous ne pouvez affecter des responsables qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des responsables :
  1. Sélectionnez un utilisateur actif d'Oracle Access Governance en tant que responsable principal dans le champ Qui est le responsable principal?.
  2. Sélectionnez un ou plusieurs responsables supplémentaires dans la liste Qui en est le responsable?. Vous pouvez ajouter jusqu'à 20 responsables supplémentaires pour la ressource.
Vous pouvez voir le responsable principal dans la liste. Tous les responsables peuvent voir et gérer les ressources dont ils sont responsables.

Paramètres du compte

À l'étape Paramètres du compte du flux de travail, entrez la façon dont Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas déjà, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les autorisations ne sont provisionnées que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels d'avis lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, les avis ne sont pas envoyés lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer les comptes existants
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.
    1. Sélectionner les actions à effectuer avec les comptes au début d'une cessation d'emploi anticipée : Sélectionnez l'action à effectuer au début d'une cessation d'emploi anticipée. Cela se produit lorsque vous devez révoquer les accès d'identité avant la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge cette action, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
      • Aucune action : Aucune action n'est effectuée lorsqu'une identité est marquée pour résiliation anticipée par Oracle Access Governance.
    2. Sélectionner les actions à effectuer avec les comptes à la date de cessation : Sélectionnez l'action à effectuer lors de la cessation officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de cessation officielle.
      • Supprimer : Supprime tous les comptes et autorisations gérés par Oracle Access Governance.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : Désactive tous les comptes et désactive les autorisations gérées par Oracle Access Governance.
        • Supprimer les autorisations pour les comptes désactivés : Pour garantir l'absence d'accès résiduel, sélectionnez cette option pour supprimer les autorisations affectées directement et les autorisations accordées par une politique lors de la désactivation du compte.
        Note

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : Aucune action n'est effectuée sur les comptes et les autorisations par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Note

    Vous ne pouvez définir ces configurations que si l'administrateur de système l'autorise. Lorsque les paramètres globaux d'arrêt de compte sont activés, les administrateurs d'application ne peuvent pas gérer les paramètres d'arrêt de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : Supprimez tous les comptes et autorisations gérés par Oracle Access Governance.
    • Désactiver : Désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les autorisations pour les comptes désactivés : Supprimez les autorisations directement affectées et accordées par une politique lors de la désactivation du compte afin de garantir l'absence d'accès résiduel.
    • Aucune action : Ne rien faire lorsqu'une identité quitte l'organisation.
    Note

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si Supprimer n'est pas pris en charge, vous ne verrez que les options Désactiver et Aucune action.
  5. Lorsque toutes les autorisations d'un compte sont supprimées, par exemple lorsqu'une identité se déplace entre les services, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Suppression
    • Désactiver
    • Aucune action
  6. Gérer les comptes qui ne sont pas créés par la gouvernance des accès : Sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher des comptes existants et les gérer à partir d'Oracle Access Governance.
Note

Si vous ne configurez pas le système en tant que système géré, cette étape du flux de travail s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du flux de travail.
Note

Si votre système orchestré nécessite une détection de schéma dynamique, comme pour les intégrations REST générique et des tables d'application de base de données, seule la destination de courriel d'avis peut être définie (utilisateur, utilisateur) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les départs. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres du compte comme décrit sous Configurer les paramètres du compte de système orchestré.

Paramètres d'intégration

À l'étape Paramètres d'intégration du flux de travail, entrez les détails de configuration requis pour permettre à Oracle Access Governance de se connecter à Microsoft Entra ID.

  1. Dans le champ Hôte, entrez le nom d'hôte de la machine qui héberge votre système géré. Par exemple, pour l'API Microsoft Graph, vous pouvez entrer graph.microsoft.com
  2. Dans le champ Port, entrez le numéro de port auquel le système sera accessible. Par défaut, Microsoft Entra ID utilise le port 443.
  3. Entrez l'URL du serveur d'authentification qui valide l'ID et la clé secrète du client pour votre système géré dans le champ URL du serveur d'authentification. Par exemple, pour authentifier l'application à l'aide de l'API OAuth 2.0, entrez la syntaxe suivante 
    https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token
    Pour savoir comment extraire votre domaine principal ou votre ID locataire, consultez la documentation de Microsoft.
  4. Dans le champ ID client, entrez l'identificateur de client (chaîne unique) émis par le serveur d'autorisation à votre système client lors du processus d'enregistrement. L'ID client, également appelé ID application, est obtenu lors de l'enregistrement d'une application dans Microsoft Entra ID. Cette valeur identifie votre application dans la plate-forme d'identité Microsoft. Pour plus de détails, consultez la documentation de Microsoft.
  5. Dans le champ Clé secrète client, entrez la valeur de l'ID clé secrète client pour authentifier l'identité de votre système. Vous devez créer une nouvelle clé secrète client pour votre système et entrer la valeur dans ce champ. Utilisez cette valeur uniquement lorsque vous n'utilisez pas de clé privée pour l'authentification.
    Note

    Vous devez noter ou copier cette valeur de clé secrète client, car vous ne pourrez plus y accéder ou la voir une fois que vous aurez quitté la page.
    Pour plus de détails, consultez la documentation de Microsoft.
  6. Entrez la clé privée PEM dans le champ Clé privée, uniquement lorsque vous n'utilisez pas la clé secrète client pour l'authentification.

    À des fins de test uniquement, vous pouvez générer un certificat auto-signé en procédant comme suit :

    1. Créez une clé privée chiffrée que vous chargerez dans l'instance Entra ID.
      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365
    2. Déchiffrez la clé privée pour créer un fichier .pem (decrypted_key.pem dans l'exemple) que vous pouvez entrer comme valeur pour la clé privée lors de la configuration d'Oracle Access Governance.
      openssl rsa -in encrypted_key.pem -out decrypted_key.pem
    3. Facultativement, si votre clé privée est au format PKCS1, convertissez la clé déchiffrée au format PKCS8, qui est prise en charge dans Oracle Access Governance.
      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
  7. Entrez la valeur de l'empreinte numérique du certificat (X509) dans le champ Empreinte numérique du certificat, uniquement lorsque vous n'utilisez pas la clé secrète client pour l'authentification.

    Pour obtenir l'empreinte numérique du certificat, procédez comme suit :

    1. Convertissez la valeur hexadécimale de l'empreinte numérique du certificat en valeur binaire.
      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin
    2. Convertissez l'empreinte binaire en base64, qui peut être utilisée dans le champ Empreinte numérique du certificat.
      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
  8. Cochez la case Est-ce que cet environnement avec client activé pour B2C? pour ingérer des attributs d'identité (Émetteur, Type de connexion, ID émetteur) pour chaque utilisateur. Si l'un des attributs d'identité est retourné nul ou vide, Oracle Access Governance ignore le chargement des données pour cet utilisateur et n'ingère pas l'utilisateur.
  9. Dans le champ Quelle est la temporisation de la demande?, entrez la durée maximale d'attente d'un serveur pour répondre à une demande.
  10. Cliquez sur Ajouter pour créer le système orchestré.

Terminer

Enfin, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionner une valeur dans :
  • Personnaliser avant d'activer les chargements de données pour le système
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Post-configuration

Aucune étape de postinstallation n'est associée à un système Microsoft Entra ID.