Documentation sur Oracle Cloud Infrastructure

Configuration de la fédération d'identités

Pour configurer un fournisseur d'identités dans Private Cloud Appliance, assurez-vous que vous disposez de son fichier de métadonnées et que les exigences de certificat de l'autorité de certification ont été vérifiées. Ajoutez les mappages de groupe requis pour activer l'authentification d'utilisateur fédéré.

Suivez les instructions étape par étape de cette section pour gérer les fournisseurs d'identités et leurs mappages de groupes.

Gestion des fournisseurs d'identités

Ajout d'Active Directory en tant que fournisseur d'identités

  1. Connectez-vous à l'interface utilisateur Web du service.

  2. Ouvrez le menu de navigation et cliquez sur Identity Provider.

  3. Dans la page Identity Providers, cliquez sur Create Identity Provider.

  4. Dans la page Create an Identity Provider, fournissez les informations suivantes :

    • Nom d'affichage

      Nom affiché par les utilisateurs fédérés lors de la sélection du fournisseur d'identités à utiliser pour la connexion à l'interface utilisateur Web du service. Ce nom doit être unique dans tous les fournisseurs d'identités et ne peut pas être modifié.

    • Description

      Description conviviale du fournisseur d'identités.

    • Contextes d'authentification

      Cliquez sur Add Class Reference et sélectionnez un contexte d'authentification dans la liste.

      Lorsqu'une ou plusieurs valeurs sont spécifiées, Private Cloud Appliance (la partie de confiance) s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML retournée par le fournisseur d'identités doit contenir un énoncé d'authentification avec cette référence de classe de contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est spécifié ici, le service d'authentification Private Cloud Appliance refuse la réponse SAML avec une valeur 400.

    • Chiffrer l'assertion (Facultatif)

      Lorsque cette option est activée, le service d'autorisation attend des assertions chiffrées de la part du fournisseur d'identités. Seul le service d'autorisation peut déchiffrer l'assertion. Lorsqu'il n'est pas activé, le service d'autorisation s'attend à ce que les jetons SAML soient non cryptés, mais protégés par SSL.

    • Forcer l'authentification (Facultatif)

      Lorsque cette option est activée, les utilisateurs sont toujours invités à s'authentifier auprès de leur fournisseur d'identités lorsqu'ils sont redirigés par le service d'autorisation. Lorsque cette option n'est pas activée, les utilisateurs ne sont pas invités à s'authentifier de nouveau s'ils ont déjà une session de connexion active avec le fournisseur d'identités.

    • URL des métadonnées

      Entrez l'URL du document FederationMetadata.xml du fournisseur d'identités.

      Par défaut, le fichier de métadonnées pour ADFS se trouve à l'adresse https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  5. Cliquez sur Create Identity Provider.

    Un OCID est affecté à votre nouveau fournisseur d'identités et est affiché dans la page Fournisseurs d'identités

Une fois le fournisseur d'identités ajouté, vous devez configurer les mappages de groupes entre Private Cloud Appliance et Active Directory. Voir Gestion des mappages de groupes pour un fournisseur d'identités.

Mise à jour d'un fournisseur d'identités

  1. Ouvrez le menu de navigation et cliquez sur Identity Providers.

    Une liste des fournisseurs d'identités s'affiche.

  2. Pour le fournisseur d'identités à mettre à jour, cliquez sur l'icône Actions (trois points), puis cliquez sur Modifier.

  3. Modifiez l'une des informations suivantes. Cependant, sachez que la modification de ces informations peut affecter la fédération.

    • Description

    • Contextes d'authentification

      Ajoutez ou supprimez une référence de classe.

    • Chiffrer l'assertion

      Activer ou désactiver les assertions chiffrées à partir du fournisseur d'identités.

    • Forcer l'authentification

      Activer ou désactiver l'authentification de redirection à partir du fournisseur d'identités.

    • URL des métadonnées

      Entrez l'URL d'un nouveau document FederationMetadata.xml du fournisseur d'identités.

  4. Cliquez sur Update Identity Provider.

Affichage des fournisseurs d'identités et des détails de configuration

La page des détails du fournisseur d'identités affiche des informations générales telles que les contextes d'authentification. Il fournit également les paramètres du fournisseur d'identités, notamment l'URL de redirection. À partir de cette page, vous pouvez également modifier le fournisseur d'identités et gérer les mappages de groupes.

  1. Ouvrez le menu de navigation et cliquez sur Identity Providers.

    Une liste des fournisseurs d'identités s'affiche.

  2. Pour le fournisseur d'identités dont vous voulez voir les détails, cliquez sur l'icône Actions (trois points), puis sur Voir les détails.

    La page des détails du fournisseur d'identités s'affiche.

Suppression d'un fournisseur d'identités

Si vous voulez supprimer l'option permettant aux utilisateurs fédérés de se connecter à Private Cloud Appliance, vous devez supprimer le fournisseur d'identités, qui supprime également tous les mappages de groupes associés.

  1. Ouvrez le menu de navigation, cliquez sur Identité, puis sur Fédération.

    Une liste des fournisseurs d'identités s'affiche.

  2. Pour le fournisseur d'identités à supprimer, cliquez sur l'icône Actions (trois points), puis cliquez sur Supprimer.

  3. À l'invite Delete Identity Provider, cliquez sur Confirm.

Gestion des mappages de groupes pour un fournisseur d'identités

Lorsque vous utilisez des mappages de groupes, n'oubliez pas les éléments suivants :

  • Un groupe Active Directory donné est mappé à un seul groupe Private Cloud Appliance.

  • Les noms de groupe Private Cloud Appliance ne doivent pas contenir d'espaces et ne peuvent pas être modifiés plus tard. Les caractères autorisés sont les lettres, les chiffres, les traits d'union, les points, les traits de soulignement et les signes plus (+).

  • Vous ne pouvez pas mettre à jour un mappage de groupes, mais vous pouvez supprimer le mappage et en ajouter un nouveau.

Important

Avant que les utilisateurs fédérés puissent se connecter à l'interface utilisateur Web du service, vous devez leur fournir l'URL. Assurez-vous d'avoir configuré tous les mappages de groupe requis, sinon un utilisateur fédéré ne peut effectuer aucune opération dans Private Cloud Appliance.

Création d'un mappage de groupes

Effectuez les étapes suivantes pour chaque groupe de fournisseurs d'identités à mapper :

  1. Ouvrez le menu de navigation et cliquez sur IDP Group Mappings.

    Une liste des mappages de groupes de fournisseurs d'identités s'affiche.

  2. Cliquez sur Create Group Mapping.

    Le formulaire de mappage de groupe de fournisseurs d'identités s'affiche

  3. Dans le champ Nom, entrez un nom pour le mappage de groupe de fournisseurs d'identités.

  4. Dans le champ Nom du groupe de fournisseurs d'identités, entrez le nom exact du groupe de fournisseurs d'identités.

  5. Dans la liste Nom du groupe d'administrateurs, sélectionnez le groupe Private Cloud Appliance que vous voulez mapper au groupe de fournisseurs d'identités.

  6. Facultativement, entrez une description du groupe.

  7. Cliquez sur Create IDP Group Mapping.

    Le nouveau mappage de groupe s'affiche dans la liste.

Mise à jour d'un mappage de groupe

  1. Ouvrez le menu de navigation et cliquez sur IDP Group Mappings.

    Une liste des mappages de groupes de fournisseurs d'identités s'affiche.

  2. Pour le mappage de groupe à mettre à jour, cliquez sur l'icône Actions (trois points), puis cliquez sur Modifier.

    Le formulaire de mappage de groupe de fournisseurs d'identités s'affiche.

  3. Modifiez l'un des champs suivants. Cependant, sachez que la modification de ces informations peut affecter la fédération.

    • Le nom

    • Nom du groupe de fournisseurs d'identités

    • Nom du groupe d'administrateurs

    • Description

  4. Cliquez sur Modify IDP Group Mapping.

    Le mappage de groupe mis à jour s'affiche dans la liste.

Suppression d'un mappage de groupe

  1. Ouvrez le menu de navigation et cliquez sur IDP Group Mappings.

    Une liste des mappages de groupes de fournisseurs d'identités s'affiche.

  2. Pour le mappage de groupe à supprimer, cliquez sur l'icône Actions (trois points), puis cliquez sur Supprimer.

  3. À l'invite Deleting IDP Group Mapping, cliquez sur Confirm.