Documentation sur Oracle Cloud Infrastructure

Activation de la relation d'approbation de fédération

La fédération des identités nécessite une relation de confiance entre Roving Edge et son fournisseur d'identités, Microsoft Active Directory. Des détails spécifiques du système des partenaires de fédération sont requis pour établir cette confiance mutuelle, de sorte que les données pour l'authentification de l'utilisateur peuvent être échangées.

Collecte des métadonnées ADFS requises

La fédération d'identités requiert les informations suivantes du fournisseur d'identités :

  • Document de métadonnées SAML d'Active Directory Federation Services (ADFS)

    Son emplacement par défaut est : https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  • Noms des groupes Active Directory (AD) à mapper aux groupes en périphérie de réseau Rover

    Notez tous les groupes AD qui doivent être mappés.

    Attention

    Assurez-vous que tous les groupes en périphérie de réseau Rover ont été configurés avant d'ajouter AD en tant que fournisseur d'identités.

Vérification des certificats du fournisseur d'identités

Attention

Si votre certificat ADFS est signé par une autorité de certification connue, il doit déjà exister dans l'ensemble de certificats en périphérie de réseau Rover. Dans ce cas, vous pouvez ignorer cette section.

L'autorité de certification en périphérie de réseau Rover est basée sur des certificats x.509 racine et intermédiaire générés par OpenSSL auto-signés. Ces certificats d'autorité de certification sont utilisés pour émettre des certificats serveur/client x.509, ce qui vous permet d'ajouter des informations de confiance d'autorité de certification externes à l'appliance. Si vous utilisez un certificat auto-signé pour ADFS, vous devez ajouter aux noeuds de gestion des informations d'approbation d'autorité de certification externes à partir d'ADFS.

Note

Si vous utilisez la propriété metadataUrl pour créer ou mettre à jour un fournisseur d'identités, vous devez ajouter la chaîne de certificats du serveur Web du fournisseur d'identités à l'ensemble AC externe en périphérie de réseau Rover. Consultez la documentation de votre fournisseur d'identités pour savoir comment trouver la chaîne de certificats du serveur Web, puis suivez les étapes 3 à 8.

Pour ajouter des informations externes sur la fiducie AC, procédez comme suit :

  1. Téléchargez le document de métadonnées SAML pour votre ADFS, disponible par défaut à l'adresse suivante :

    https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

  2. Ouvrez le fichier dans un éditeur de texte ou XML et localisez la section du certificat de signature. Exemple :

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. Connectez-vous au noeud de gestion 1 (pcamn01).

  4. Naviguez jusqu'à /etc/pca3.0/vault et créez un répertoire nommé customer_ca.

    Note

    Vous pouvez utiliser ce répertoire pour plusieurs fichiers. Par exemple, vous pouvez créer un fichier pour le certificat du fournisseur d'identités et un fichier pour la chaîne de certificats du serveur Web.

  5. Dans le répertoire customer_ca, créez un nouveau fichier au format PEM.

  6. Copiez le certificat à partir du fichier FederationMetadata.xml, qui se trouve dans la balise <X509Certificate>, et collez-le dans le nouveau fichier PEM. Assurez-vous d'inclure -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, par exemple :

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. Enregistrez le fichier et fermez-le.

  8. Exécutez la commande suivante pour mettre à jour ca_outside_bundle.crt sur tous les noeuds de gestion :

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

Ajout de la périphérie de réseau Rover en tant que partie de confiance dans ADFS

Pour terminer le processus de fédération, vous devez ajouter Roving Edge en tant que partie de confiance dans Microsoft Active Directory Federation Services (ADFS), puis ajouter les règles de réclamation de partie de confiance associées.

Ajout d'une partie de confiance dans ADFS

  1. Dans l'interface utilisateur Web de service de la page Identity Providers, affichez le bloc de texte suivant :

    Vous avez besoin du document Métadonnées de fédération en périphérie de réseau Rover lors de la configuration d'une approbation avec les services de fédération Microsoft Active Directory ou avec d'autres fournisseurs d'identités conformes à SAML 2.0. Il s'agit d'un document XML qui décrit le point d'extrémité et les informations de certificat en périphérie de réseau Rover. Cliquer ici

  2. Cliquez ici.

    Un fichier XML de métadonnées s'ouvre dans le navigateur avec une URL similaire à :

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. Copiez l'URL du fichier XML de métadonnées.

  4. À partir du système installé avec ADFS, ouvrez une fenêtre de navigateur et collez l'URL.

  5. Enregistrez le fichier, en vous assurant d'utiliser l'extension .xml, par exemple my-sp-metadata.xml.

  6. Allez à la console AD FS Management et connectez-vous au compte à fédérer.

  7. Ajoutez Roving Edge en tant que partie de confiance.

    1. Sous AD FS, cliquez avec le bouton droit de la souris sur Relying Party Trusts et sélectionnez Add Relying Party Trust.

    2. Dans la page Welcome de l'assistant Add Relying Party Trust Wizard, sélectionnez Claims Aware, puis cliquez sur Start.

    3. Dans la page Select Data Source, sélectionnez "Import data about the relying party from a file".

    4. Cliquez sur Parcourir et naviguez jusqu'à votre my-sp-metadata.xml, puis cliquez sur Ouvrir.

    5. Dans la page Specify Display Name, entrez un nom d'affichage, ajoutez des notes facultatives pour la partie de confiance, puis cliquez sur Next.

    6. Dans la page Choose Access Control Policy, sélectionnez le type d'accès que vous souhaitez accorder, puis cliquez sur Next.

    7. Dans la page Prêt à ajouter une approbation, vérifiez les paramètres, puis cliquez sur Suivant pour enregistrer les informations de confiance de votre partie de confiance.

    8. Dans la page Terminer, cochez "Configurer la politique d'émission des réclamations pour cette application", puis cliquez sur Fermer.

      La boîte de dialogue Modifier la politique d'émission de réclamation s'affiche et vous pouvez la laisser ouverte pour la procédure suivante.

Ajout de règles de réclamation de partie de confiance

Après avoir ajouté Roving Edge en tant que partie de confiance, vous devez ajouter des règles de réclamation afin que les éléments requis (ID nom et groupes) soient ajoutés à la réponse d'authentification SAML.

Pour ajouter une règle d'ID nom, procédez comme suit :

  1. Dans la boîte de dialogue Edit Claim Issuance Policy, cliquez sur Add Rule.

    La boîte de dialogue Select Rule Template s'affiche.

  2. Pour le modèle de règle de réclamation, sélectionnez Transform an Incoming Claim, puis cliquez sur Next.

  3. Entrez ce qui suit :

    • Nom de la règle de revendication : Entrez un nom pour cette règle, par exemple nameid.

    • Type de revendication entrante : Sélectionnez le nom de compte Microsoft Windows.

    • Type de réclamation sortante : Sélectionnez un type de réclamation, par exemple, ID nom.

    • Format d'ID de nom sortant : Sélectionnez Identificateur persistant.

    • Sélectionnez Pass through all claim values, puis cliquez sur Finish.

      La règle s'affiche dans la liste des règles.

La boîte de dialogue Règles de transformation d'émission affiche la nouvelle règle.

Si vos utilisateurs Active Directory ne font pas partie de plus de 100 groupes, il vous suffit d'ajouter la règle des groupes. Toutefois, si vos utilisateurs Active Directory font partie de plus de 100 groupes, ils ne peuvent pas être authentifiés pour utiliser l'interface utilisateur Web du service. Pour ces groupes, vous devez appliquer un filtre à la règle des groupes.

Pour ajouter la règle de groupes, procédez comme suit :

  1. Dans la boîte de dialogue Issuance Transform Rules, cliquez sur Add Rule.

    La boîte de dialogue Select Rule Template s'affiche.

  2. Pour le modèle de règle de revendication, sélectionnez Send Claims Using a Custom Rule, puis cliquez sur Next.

  3. Dans l'assistant Add Transform Claim Rule, entrez les informations suivantes :

    • Nom de la règle de revendication : Entrez groupes.

    • Règle personnalisée : Entrez la règle personnalisée.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    • Cliquez sur Terminer.

    La boîte de dialogue Règles de transformation d'émission affiche la nouvelle règle.

Désactivation de la vérification de révocation de certificat

Pour que ADFS fonctionne avec SAML, vous devez désactiver la vérification de la liste de révocation de certificats (CRL). Ouvrez Powershell sur le système ADFS et entrez la commande suivante, où TRUST_NAME est le nom de la confiance de partie de confiance :

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None