À titre de meilleure pratique, définissez un nom de segment (<stripename>) pour toutes les entités que vous allez créer qui seront propres au segment. Il est important d'identifier de manière unique les configurations associées à un segment, en particulier lorsque plusieurs segments sont configurés.

Dans IDCS, créez un groupe dans le segment secondaire et ajoutez à ce groupe des utilisateurs du segment secondaire.

1. Ajoutez un groupe dans le segment secondaire et nommez-le stripename_administrators. Voir Définir une convention d'attribution de nom de segment. Par exemple, nommez-le stripe2_administrators. Cliquez sur Terminer.
   Pour plus d'informations, voir Créer des groupes dans Administration du service Oracle Identity Cloud.

   Ces administrateurs seront autorisés à créer des instances Oracle Integration. Ce groupe IDCS sera mappé à un groupe Oracle Cloud Infrastructure.

2. Ajoutez au groupe des utilisateurs du segment secondaire.

Créez une application confidentielle IDCS qui utilise les données d'identification du client OAuth et qui se voit attribuer le rôle d'administrateur de domaine IDCS. Vous devez créer une application confidentielle par segment secondaire.

1. En tant qu'administrateur IDCS, connectez-vous à la console d'administration IDCS secondaire.
2. Ajoutez une application confidentielle.
   1. Naviguez jusqu'à l'onglet Applications.
   2. Cliquez sur Ajouter.
   3. Sélectionnez Application confidentielle.
   4. Nommez l'application Client_Credentials_For_SAML_Federation.
   5. Cliquez sur Suivant.
   
   

   
   

   
   
3. Configurez les paramètres du client.
   1. Cliquez sur Configurer cette application comme client maintenant.
   2. Sous Autorisation, sélectionnez Données d'identification du client.
      
      

      
      

      
      
   3. Sous Autoriser le client à accéder aux API d'administration du service Identity Cloud, cliquez sur Ajouter et sélectionnez le rôle d'application Administrateur de domaine d'identité.
      
      

      
      

      
      
   4. Cliquez deux fois sur Suivant .
4. Cliquez sur Terminer. Une fois l'application créée, notez son ID client et sa clé secrète client. Vous aurez besoin de ces informations dans les prochaines étapes pour la fédération.
   
   

   
   

   
   
5. Cliquez sur Activer et confirmez l'activation de l'application.

Ce groupe est nécessaire car la fédération de fournisseurs d'identités SAML pour Oracle Cloud Infrastructure nécessite un mappage de groupes pour les utilisateurs fédérés à partir du fournisseur d'identités fédéré (IDCS) et l'appartenance à un groupe natif OCI est requise pour définir et accorder les autorisations (politiques) pour les utilisateurs fédérés pour Oracle Cloud Infrastructure.

1. Dans la console Oracle Cloud Infrastructure, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identity, cliquez sur Groupes.

   Ce groupe Oracle Cloud Infrastructure sera mappé au groupe IDCS que vous avez créé.

2. créez un groupe et nommez-le oci_stripename_administrators. Par exemple, nommez-le oci_stripe2_administrators.
   
   

   
   

   
   

Maintenant que les groupes IDCS et Oracle Cloud Infrastructure sont créés et que les informations sur le client sont nécessaires, créez le fournisseur d'identités IDCS et mappez les groupes.

1. Connectez-vous à la console Oracle Cloud Infrastructure. Sélectionnez le domaine d'identité du segment principal (identitycloudservice) et entrez ses données d'identification d'utilisateur.

   N'oubliez pas que le mappage de groupe pour un segment secondaire utilise les données de connexion de l'utilisateur du segment principal. Ceci est important, car l'ajout de multiples segments ajoute plusieurs options à cette liste déroulante.

2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité, puis sur Fédération.
3. Cliquez sur Ajouter un fournisseur d'identités.
4. Dans l'écran affiché, remplissez les champs comme il est indiqué ci-dessous.

   Champ	Entrée
   Nom	<stripename>_service
   Description	Fédération avec un segment secondaire IDCS
   Type	Service Oracle Identity Cloud
   URL de base du service Oracle Identity Cloud	Entrez cette URL dans le format suivant : https://idcs-xxxx.identity.oraclecloud.com Remplacez la partie du domaine <idcs-xxxx> par votre segment IDCS secondaire.
   ID client/Clé secrète client	Entrez les informations que vous avez créées dans le segment secondaire et notées lors des étapes de création d'un client OAuth dans le segment secondaire.
   Forcer l'authentification	Sélectionnez cette option

5. Cliquez sur Continuer.
6. Mappez le groupe du segment secondaire IDCS et le groupe OCI que vous avez précédemment créés.
   Mappez le groupe du segment secondaire IDCS (créé dans Créer un groupe IDCS pour les utilisateurs du segment secondaire) et le groupe OCI (créé dans Créer un groupe Oracle Cloud Infrastructure pour les utilisateurs du segment secondaire).
7. Cliquez sur Ajouter un fournisseur.
   La fédération du segment secondaire est terminée. Remarquez que le mappage des groupes est affiché.
   
   

   
   

   
   
8. Vérifiez la bande secondaire et configurez la visibilité pour les administrateurs de bande secondaire et les utilisateurs.

   • L'administrateur locataire peut voir toutes les bandes IDCS fédérées dans la console OCI :

   • L'administrateur du segment secondaire et tous les autres utilisateurs du segment secondaire ne verront aucun segment sous fédération. Pour résoudre ce problème, voir Fournir l'accès à un segment fédéré dans le groupe de la console Oracle Cloud Infrastructure pour les utilisateurs du segment secondaire.

Une fois la fédération effectuée, configurez des politiques Oracle Cloud Infrastructure qui permettent aux utilisateurs fédérés du segment IDCS secondaire de créer des instances Oracle Integration. Comme modèle commun, la portée de la politique couvre un compartiment.

1. Créez un compartiment où il est possible de créer des instances Oracle Integration pour le segment IDCS secondaire. Nommez le compartiment stripename_compartment.
   Par exemple, créez un compartiment nommé stripe2_compartment.
2. Créez une politique qui permettra aux utilisateurs fédérés de créer des instances Oracle Integration dans le compartiment. Entrez le nom de la politique stripename_adminpolicy (par exemple stripe2_adminpolicy).
   Sous Policy Builder, sélectionnez Afficher l'éditeur manuel.

   • Syntaxe : allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

   • Politique : allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

   Cette politique permet à un utilisateur qui est membre du groupe dans la politique de créer une instance Oracle Integration (integration-instance) dans le compartiment nommé stripe2_compartment.

Effectuer des étapes supplémentaires pour permettre à l'administrateur de bandes secondaires et à tous les autres utilisateurs de bandes secondaires de voir des bandes sous fédération.

1. Dans Oracle Identity Cloud Service, créez un groupe nommé stripe2_federation_administrators.
2. Ajoutez des utilisateurs au groupe pour pouvoir voir la fédération et créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure de ce segment.
3. Dans la console Oracle Cloud Infrastructure, en utilisant l'utilisateur de segment principal avec l'autorisation appropriée, créez un groupe Oracle Cloud Infrastructure nommé oci_stripe2_federation_administrators.
4. Mappez les groupes stripe2_federation_Administrats et oci_stripe2_federation_Administrats.
5. À l'aide des exemples d'énoncé suivants, définissez une politique qui accorde l'accès aux bandes fédérées.
   Plusieurs des exemples montrent comment accorder l'accès à une bande fédérée spécifique, en utilisant une clause where qui identifie la bande secondaire. Vous pouvez obtenir l'OCID de la fédération à partir de la vue fédération dans la console Oracle Cloud Infrastructure.

   Permet aux administrateurs de bandes secondaires de...	Énoncé de politique
   Créer des groupes (utiliser)	permettre au groupe oci_stripe2_federation_administrators d'utiliser des groupes dans la location
   Liste des fournisseurs d'identités dans la fédération (inspecter)	permettre au groupe oci_stripe2_federation_administrators d'inspecter les fournisseurs d'identités en location Notez que si les administrateurs de bandes secondaires sont tenus de créer des groupes, cette politique est requise lorsqu'une clause de lieu est incluse.
   Accéder à une bande fédérée spécifique (utilisation)	permettre au groupe oci_stripe2_federation_administrators d'utiliser des fournisseurs d'identités en location où target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaa…”
   Gérer TOUT ou SEULEMENT un fournisseur d'identité secondaire spécifique (gérer)	TOUT : permettre au groupe oci_stripe2_federation_administrators de gérer les fournisseurs d'identités en location SEULEMENT fournisseur d'identité de bande secondaire spécifique : permettre au groupe oci_stripe2_federation_administrators de gérer les fournisseurs d'identités en location où target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaa…"

Avec la fédération et les politiques Oracle Cloud Infrastructure définies, les utilisateurs fédérés peuvent se connecter à la console Oracle Cloud Infrastructure et créer des instances Oracle Integration.

1. Connectez-vous en tant qu'utilisateur fédéré à partir du segment secondaire.
   Les utilisateurs doivent sélectionner le segment secondaire dans le champ Fournisseur d'identités (idcs-secondary-stripe-service, dans ce cas).
2. Les administrateurs autorisés peuvent supprimer les instances Oracle Integration dans le compartiment spécifié (idcs-secondary-stripe-compartment, dans ce cas).