Tâche 8 : Configurer la fédération d'identités (facultatif)

Voyez comment configurer la fédération des identités pour Oracle Database@Azure.

La configuration de la fédération des identités pour Oracle Database@Azure est facultative. La fédération permet aux utilisateurs de se connecter à la location OCI associée au service à l'aide des données d'identification Azure Entra ID. Bien que la plupart des opérations quotidiennes de base de données soient effectuées dans l'environnement Azure et ne nécessitent pas l'utilisation de la console OCI, certaines tâches de gestion de base de données nécessitent une connexion à OCI.

Utilisez les instructions suivantes pour faire d'Azure Entra ID le fournisseur d'identification de votre location OCI.

1. Connectez-vous au portail Azure à l'adresse https://portal.azure.com/.

2. Recherchez "Microsoft Entra ID" et sélectionnez Microsoft Entra ID dans les résultats de recherche pour naviguer jusqu'à la page Aperçu d'Entra ID.

3. Sous Gérer, sélectionnez Applications d'entreprise.

   

4. Dans la page Toutes les applications, sélectionnez Nouvelle application.

   

5. Recherchez "Oracle Cloud Infrastructure Console" et sélectionnez le résultat de la recherche pour accéder à la page de l'application.

   

6. Dans le panneau Console Oracle Cloud Infrastructure, entrez un nom pour le nom d'affichage de l'application dans votre environnement Azure. Par exemple : "Oracle Cloud Infrastructure Console", "OCI Console" ou "OCI Console Contoso Sales". Sélectionnez ensuite Créer pour continuer.

   

7. Dans la page Aperçu de la nouvelle application, sélectionnez Configurer l'authentification unique.

   

8. Dans la page Authentification unique, sélectionnez SAML pour sélectionner le protocole SAML (Security Assertion Markup Language).

   

   Le portail redirige vers la page Connexion basée sur SAML. Laissez cette fenêtre de navigateur ouverte sur votre ordinateur pendant que vous effectuez les étapes suivantes dans la console OCI. Dans la console OCI, vous allez exporter un fichier XML de métadonnées SAML. Vous retournerez dans Azure pour charger le fichier XML et poursuivre la configuration de l'authentification unique.

   

9. Dans la console OCI, naviguez jusqu'à Identité et sécurité, puis sélectionnez Domaines.

   

10. Dans la vue de liste Domaines, sélectionnez le nom du domaine "Par défaut" pour ouvrir la page des détails du domaine. Facultativement, vous pouvez sélectionner un autre domaine pour configurer l'authentification unique (SSO) pour ce domaine.

    

11. Sélectionnez Sécurité dans le menu de navigation de la page Aperçu du domaine d'identité.

    

12. Dans la page Sécurité du domaine, sélectionnez Fournisseurs d'identités dans le menu de navigation.

    

13. Dans la page Fournisseurs d'identités, sélectionnez Ajouter IdP, puis Ajouter SAML IdP.

    

14. Dans la page Ajouter des détails, entrez le nom à afficher dans votre page de connexion OCI lors de l'authentification unique. Au besoin, ajoutez une description. Exemple :

    Nom : EntraID

    Description : Woodgrove Bank Azure Microsoft EntraID

    Cliquez sur Suivant pour continuer.

    

15. Dans la page Échanger des métadonnées, cliquez sur Exporter les métadonnées SAML.

    

16. Dans le panneau Exporter les métadonnées SAML, recherchez la section Fichier de métadonnées et sélectionnez Télécharger le fichier XML. Laissez la fenêtre du navigateur affichant la console OCI ouverte sur votre ordinateur pendant que vous effectuez la série suivante d'étapes.

    

17. Retournez à la fenêtre du navigateur affichant la page Connexion basée sur SAML du portail Azure et sélectionnez Charger le fichier de métadonnées.

    

18. Dans la fenêtre contextuelle Charger le fichier de métadonnées, sélectionnez le logo du dossier pour sélectionner le fichier de métadonnées XML SAML que vous avez exporté à partir de la console OCI. Sélectionnez Ajouter pour continuer.

    

19. Dans le panneau Configuration SAML de base, recherchez le champ URL de réponse (URL du service de consommateur d'assertion). Copiez la valeur de ce champ dans le presse-papiers de votre ordinateur. Ne modifiez aucun des autres champs alimentés.

    

20. Modifiez la valeur URL de réponse (URL du service de consommateur d'assertion) copiée en remplaçant /fed/v1/ par /ui/v1/myconsole. Collez ensuite l'URL modifiée dans le champ Se connecter à l'URL et cliquez sur Enregistrer pour continuer.

    Par exemple, si le champ URL de réponse (Assertion Consumer Service URL) a la valeur suivante :

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/fed/v1/

    Collez ensuite la version modifiée de l'URL comme le montre l'exemple suivant :

    https://idcs-123a4b56example1de45fgh6i789j012.identity.oraclecloud.com/ui/v1/myconsole

    

21. Dans la fenêtre contextuelle Tester l'authentification unique avec la console Oracle Cloud Infrastructure, sélectionnez Non, je procéderai à un test plus tard.

    

22. Dans la section Attributes and Claims (Attributs et réclamations), sélectionnez Edit (Modifier).

    

23. Dans la section Revendication requise, sélectionnez la revendication Identificateur d'utilisateur unique (ID nom).

    

24. Dans le champ Attribut source, sélectionnez l'identificateur d'utilisateur unique approprié pour votre organisation :

    • user.mail : Sélectionnez cette valeur si les comptes d'utilisateur de votre organisation utilisent une adresse de courriel comme identificateur unique.
    • user.userprincipalname : Sélectionnez cette valeur si les comptes d'utilisateur de votre organisation utilisent UserPrincipalName comme identificateur unique. Si vous utilisez cette option, assurez-vous que votre domaine d'identité OCI n'est pas configuré pour exiger une adresse de courriel dans les comptes d'utilisateur. Voir Obligation de l'adresse de courriel de l'utilisateur pour la création de compte pour plus d'informations sur la configuration d'un domaine d'identité afin que de nouveaux utilisateurs puissent être créés sans adresse de courriel.

    Sélectionnez Enregistrer, puis sélectionnez X pour fermer la boîte de dialogue Gérer la réclamation et pour retourner à la page Connexion basée sur SAML.

    

25. Dans la page Connexion basée sur SAML, dans la section Certificats SAML, recherchez le champ XML des métadonnées de fédération et sélectionnez Télécharger. Laissez cette fenêtre de navigateur ouverte sur votre ordinateur pendant que vous effectuez la série suivante d'étapes dans la console OCI.

    

26. Retournez à la page Ajouter un fournisseur d'identités SAML dans la console OCI. Sélectionnez Importer les métadonnées IdP (Charger le fichier XML des métadonnées). Dans la section Charger les métadonnées du fournisseur d'identités, sélectionnez le lien Sélectionner un... pour sélectionner le fichier XML de métadonnées IdP téléchargé à partir du lien de téléchargement Federation Metadata XML à l'étape précédente.

    

27. Après avoir chargé le fichier XML, le nom du fichier s'affiche sous la section Charger le fournisseur d'identification. Sélectionnez Suivant pour continuer.

    

28. Dans la page Mapper l'identité de l'utilisateur, sélectionnez les éléments suivants, puis Suivant pour continuer :

    • Format d'ID nom demandé : Sélectionnez l'identificateur unique que vous avez spécifié à l'étape 24 (adresse de courriel ou UserPrincipalName).
    • Attribut d'utilisateur du fournisseur d'identités : ID nom d'assertion SAML
    • Attribut d'utilisateur du domaine d'identité : Spécifiez l'adresse de courriel ou le nom d'utilisateur principal, tel que configuré à l'étape 24.
    

29. Dans la page Vérifier et créer du flux de travail Ajouter un fournisseur d'identités SAML, vérifiez les informations affichées, puis sélectionnez Créer IdP.

    

30. Dans la page Que se passe-t-il? du flux de travail Ajouter un fournisseur d'identités SAML, sélectionnez Activer pour activer IdP. Attendez que le message "EntraID Identity Provider has been enabled" s'affiche dans la page avant de continuer.

    
31. Dans la page Que se passe-t-il? du flux de travail Ajouter un fournisseur d'identités SAML, sélectionnez Ajouter à la politique IdP.

32. Dans la page Politiques de fournisseur d'identités (IdP), sélectionnez Politique de fournisseur d'identités par défaut.

    

33. Dans la page des détails de la politique Politique de fournisseur d'identités par défaut, dans la section Règles de proverbe d'identité, sélectionnez Modifier la règle IdP.

    

34. Dans le panneau Modifier la règle de fournisseur d'identités, dans le champ Affecter des fournisseurs d'identités, entrez la valeur "EntraID". Le champ affiche "Nom d'utilisateur-Mot de passe" par défaut.

    Sélectionnez Enregistrer les modifications pour continuer.

    
35. Important
    
    

    Dans les étapes qui suivent, vous configurez l'application confidentielle OCI pour qu'elle provisionne les utilisateurs EntraID dans OCI. Notez que tous les utilisateurs doivent inclure les valeurs de champ suivantes, ou que le provisionnement de l'utilisateur dans OCI échoue :

    • Prénom
    • Nom de famille
    • Nom d'affichage
    • adresse de courriel (si le domaine d'identité OCI nécessite une adresse de courriel)

    Pour savoir si votre domaine d'identité OCI nécessite une adresse de courriel pour créer de nouveaux utilisateurs, voir Obligation de l'adresse de courriel de l'utilisateur pour la création de compte. Voir l'étape 24 de cette tâche pour plus d'informations sur la configuration de l'identificateur unique pour les utilisateurs Azure.

    Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
36. Sélectionnez Domaine par défaut. Sélectionnez ensuite Applications intégrées.
37. Sélectionnez Ajouter une application.

38. Dans la fenêtre Ajouter une application, sélectionnez Application confidentielle, puis Lancer le flux de travail.

    

39. Dans la page Ajouter les détails de l'application du flux de travail Ajouter une application confidentielle, entrez les données suivantes :

    • Nom : Entrez un nom pour l'application confidentielle. Vous pouvez entrer jusqu'à 125 caractères.
    • Description : Entrez une description pour l'application confidentielle. Vous pouvez entrer jusqu'à 250 caractères.

    Vérifiez les paramètres facultatifs, puis sélectionnez Suivant.

    

40. Dans la page Configuration de OAuth, dans la section Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    

41. Dans la page Configuration OAuth, dans la section Configuration du client, sélectionnez Données d'identification du client.

    

42. Dans la page Configurer OAuth, faites défiler l'affichage vers le bas et recherchez la section Politique d'émission de jetons. Sous Ressources autorisées, sélectionnez Spécifique, puis cochez Ajouter des rôles d'application pour ouvrir la section Rôles d'application du flux de travail.

    

43. Dans la section Rôles d'application, sélectionnez Ajouter des rôles et recherchez "Administrateur d'utilisateur". Dans la liste des résultats de recherche, sélectionnez Administrateur des utilisateurs, puis Ajouter.

    

44. Avec le rôle d'administrateur d'utilisateur affiché dans la liste Rôles d'application, sélectionnez Suivant.

    

45. Dans la page Configurer la politique, vérifiez la sélection par défaut et sélectionnez Terminer.

    

46. Dans l'onglet Applications intégrées de la page des détails du domaine "Par défaut", sélectionnez le nom de l'application Entra ID que vous avez créée pour ouvrir la page des détails de l'application.

    

47. Sélectionnez Activer dans la page des détails.

    

    Vérifiez que le statut de la demande est "Actif".

    

48. Recherchez la section Informations générales de la page de détails de votre application intra-ID. Dans cette section, effectuez les opérations suivantes :

    • Copiez la valeur ID client dans un bloc-notes ou un autre emplacement sur votre ordinateur pour l'utiliser dans une commande d'interface de ligne de commande décrite à l'étape suivante.
    • Sélectionnez Afficher la clé secrète et copiez la clé secrète client dans le fichier avec votre ID client.
    

    Fermez la boîte de dialogue Clé secrète client après avoir copié la clé secrète pour continuer.

    

49. Utilisez l'ID client et les valeurs de clé secrète client pour créer la commande suivante.

    echo -n <clientID>:<clientsecret> | base64 --wrap=0

    Exemple :

    echo -n 7a5715example8b7429cdexample74a:63n8765exmaple49asbcs56abc235784 | base64 --wrap=0

50. Exécutez la commande dans Cloud Shell (interface de ligne de commande) OCI. Sélectionnez l'icône Cloud Shell dans l'en-tête de la console OCI, puis sélectionnez Cloud Shell pour ouvrir l'interface de ligne de commande dans la fenêtre du navigateur. Collez la commande dans l'interface de ligne de commande, puis exécutez la commande.

    Pour plus d'informations, voir les rubriques suivantes :

    • Utilisation de Cloud Shell
    • Politique GIA requise
    
51. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
52. Sélectionnez Domaine par défaut pour ouvrir la page des détails du domaine "Par défaut".

53. Dans la page Aperçu du domaine, copiez l'URL du domaine dans un bloc-notes ou un autre emplacement sur votre ordinateur.

    Exemple :

    https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com:443

    

54. Retournez à la page Application d'entreprise du portail Azure affichant les détails de connexion basée sur SAML affichés à l'étape 25. Sélectionnez Provisionnement dans la section Gérer.

    

55. Dans la page Provisionnement, entrez les données suivantes :

    • Mode de provisionnement : Automatique

    • URL du locataire : Modifiez l'URL copiée à l'étape 53 comme suit :

      • Supprimer " :443" à la fin de l'URL
      • Ajouter "/admin/v1" à la fin de l'URL

      Exemple :

      https://idcs-638a9b18aexampleb77becf0f123d691.identity.oraclecloud.com/admin/v1

      Après avoir modifié l'URL, collez-la dans le champ URL du locataire.

    • Jeton secret : Collez la clé secrète de chiffrement base64 copiée à partir de la console OCI à l'étape 49.

    Sélectionnez Tester la connexion, puis Enregistrer pour continuer.

    
    Important
    
    Attendez le message confirmant que la connexion a réussi. Le message s'affiche dans le coin supérieur droit de la page.

56. Dans la page Provisionnement, sélectionnez Provisionner les utilisateurs Microsoft Entra ID dans la section Mappages.

    

57. Dans la page Mappage d'attributs, recherchez la section Mappages et sélectionnez Ajouter un nouveau mappage.

    

58. Dans la page Modifier l'attribut, entrez les données suivantes :

    • Type de mappage : Expression
    • Expression : CBool("true")

    • Attribut cible : Sélectionnez la chaîne se terminant par " :isFederatedUser". Exemple :

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederateUser

    Sélectionnez OK pour continuer.

    

59. Dans la page Mappage d'attributs, sélectionnez de nouveau Ajouter un nouveau mappage pour ajouter un deuxième mappage.

60. Dans la page Modifier l'attribut, entrez les données suivantes :

    • Type de mappage : Expression
    • Expression : CBool("true")

    • Attribut cible : Sélectionnez la chaîne se terminant par " :bypassNotification". Exemple :

      urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification

    Sélectionnez OK pour continuer.

    

61. Naviguez jusqu'à la page Aperçu des applications d'entreprise Azure pour l'application que vous avez créée aux étapes 3 à 6 de cette tâche, puis sélectionnez Affecter des utilisateurs et des groupes.

    
    Important
    
    

    Tous les utilisateurs doivent inclure les valeurs de champ suivantes, ou les affectations d'utilisateur dans OCI échouent :

    • Prénom
    • Nom de famille
    • Nom d'affichage
    • adresse de courriel (si le domaine d'identité OCI nécessite une adresse de courriel)

    Pour savoir si votre domaine d'identité OCI nécessite une adresse de courriel pour créer de nouveaux utilisateurs, voir Obligation de l'adresse de courriel de l'utilisateur pour la création de compte. Voir l'étape 24 de cette tâche pour plus d'informations sur la configuration de l'identificateur unique pour les utilisateurs Azure.

62. Sélectionnez Ajouter un utilisateur/groupe et ajoutez les utilisateurs et les groupes à inclure dans la fédération d'identités. Une fois que vous avez entré les utilisateurs et les groupes, ils sont synchronisés avec votre compte OCI.