Note :

Définir sAMAccountName à partir de Microsoft Active Directory en tant que nom d'utilisateur dans Oracle Cloud Infrastructure

Présentation

Les organisations témoins de plusieurs générations d'identité et de sécurité ont souvent une combinaison de ressources sur place et en nuage dans l'ensemble de leur infrastructure. Dans de nombreux scénarios, Active Directory agit comme source de vérité et le nom de connexion/sAMAccountName est utilisé comme identificateur d'utilisateur. Pour maintenir la cohérence, ce nom d'utilisateur standard est étendu à toutes les autres applications et services en aval.

Dans ce tutoriel, nous apprendrons à pousser le nom d'utilisateur standard vers OCI, ce qui activera une couche d'identité unifiée pour les applications Oracle et non Oracle.

Objectifs

Architecture de la solution.

Préalables

Note : Pour configurer le provisionnement SCIM dans OCI au moyen de Microsoft Entra ID, voir Gestion du cycle de vie des identités entre OCI IAM et Entra ID.

Tâche 1 : Activer les extensions de répertoire et synchroniser sAMAccountName à l'aide de Microsoft Entra Connect

Tâche 1.1 : Configurer l'outil Microsoft Entra Connect

  1. Connectez-vous au serveur local où Microsoft Entra Connect est configuré.

  2. Ouvrez l'outil Microsoft Entra Connect Sync.

  3. Cliquez sur Configurer.

    Configurer Entra Connect.

  4. Sélectionnez Customize synchronization options (Personnaliser les options de synchronisation) et cliquez sur Next (Suivant).

    Personnalisez les options de synchronisation.

  5. Authentifiez-vous à l'aide des données d'identification de l'administrateur global Microsoft Entra ID lorsque vous y êtes invité.

    Connexion.

  6. Sélectionnez les informations Type de répertoire et Forêt dans lesquelles vos utilisateurs sont présents.

    Sélection de domaine

  7. Cliquez sur Suivant jusqu'à ce que vous atteigniez la page Fonctions facultatives. Sélectionnez Synchronisation d'attribut d'extension de répertoire et cliquez sur Suivant.

    Fonctions en option

  8. Dans la page Extensions de répertoire, une liste des attributs disponibles de votre répertoire Active Directory sur place s'affiche. Localisez l'attribut sAMAccountName dans la liste et sélectionnez sAMAccountName pour le marquer pour la synchronisation.

    Synchronisation d'attribut d'extension de répertoire

  9. Vérifiez le sommaire de configuration pour vous assurer que l'option Synchronisation d'attribut d'extension de répertoire est activée et que sAMAccountName est sélectionnée. Cliquez sur Configurer pour appliquer les modifications.

    Consultez

  10. Une fois la configuration terminée, cliquez sur Quitter.

Tâche 1.2 : Effectuer un cycle de synchronisation

  1. Ouvrez Windows PowerShell avec des privilèges d'administration sur le serveur sur lequel Microsoft Entra Connect est installé.

  2. Exécutez la commande suivante pour déclencher un cycle de synchronisation delta.

    Start-ADSyncSyncCycle -PolicyType Delta
    

    Powershell

  3. Attendez la fin de la synchronisation. Vous pouvez vérifier la progression dans l'outil Gestionnaire de service de synchronisation qui fait partie de Microsoft Entra Connect.

    Gestionnaire de services de synchronisation

Tâche 1.3 : Vérifier la synchronisation dans Microsoft Entra ID

  1. Connectez-vous au Centre d'administration Microsoft Entra : https://entra.microsoft.com.

  2. Naviguez jusqu'à Utilisateurs et sélectionnez un compte d'utilisateur. Affichez les propriétés de l'utilisateur et faites défiler l'affichage vers le bas pour voir les attributs de l'extension.

    Consultez

    Vérifiez que la valeur sAMAccountName est présente en tant qu'extension de répertoire.

Tâche 2 : Reconfigurer la configuration de provisionnement SCIM pour utiliser l'attribut d'extension en tant que nom d'utilisateur

Tâche 2.1 : Accéder à l'application Enterprise

  1. Allez à Applications d'entreprise et sélectionnez l'application pour la console Oracle Cloud Infrastructure.

  2. Sélectionnez Provisionnement.

    Provisionnement

Tâche 2.2 : Mettre à jour les mappages d'attribut

  1. Sous la section Aperçu, cliquez sur Modifier les mappages d'attribut.

    Provisionnement

  2. Dans Mappages, cliquez sur Provisionner les utilisateurs avec ID Microsoft.

    Utilisateurs

  3. Dans la liste Mappages d'attributs, recherchez le mappage de l'attribut cible userName. Par défaut, cela peut être mappé à l'ID Microsoft Entra userPrincipalName. Cliquez sur Modifier dans le mappage userName.

    Mappages d'attribut

  4. Dans le menu déroulant Attribut source, sélectionnez extension_XXX_sAMAccountName et cliquez sur OK.

    Attribut source

  5. Cliquez sur Enregistrer. Le cycle de provisionnement prend un certain temps. Vous pouvez attendre qu'il se termine ou redémarrer le cycle.

Tâche 3 : Valider et configurer le nom d'utilisateur pour l'authentification unique dans Oracle Cloud Applications

  1. Connectez-vous à la console OCI : https://cloud.oracle.com.

  2. Naviguez jusqu'à Identité et sécurité. Sous Identité, sélectionnez Domaines.

  3. Accédez aux utilisateurs et vérifiez qu'ils sont maintenant mis à jour avec le nom d'utilisateur approprié.

    Utilisateurs dans OCI

Scénario 1 : Pour les authentifications SSO basées sur SAML

  1. Recherchez l'application SAML sous Applications intégrées ou Oracle Cloud Services.

  2. Cliquez sur Modifier la configuration d'authentification unique et remplacez la valeur d'ID nom par Nom d'utilisateur. Cliquez sur enregistrer les modifications.

    Application SAML

    Note : Une bonne pratique consiste à rétablir l'échange de métadonnées. Cliquez sur Télécharger les métadonnées du fournisseur d'identités et partagez-les avec les responsables d'application SAML.

Scénario 2 : Pour l'authentification basée sur un en-tête HTTP

  1. Recherchez l'application d'entreprise sous Applications intégrées.

  2. Cliquez sur Modifier la configuration d'authentification unique et naviguez jusqu'à Ressources gérées. Modifiez la ressource qui transmet l'en-tête.

    Application d'entreprise

  3. Remplacez la paire de valeurs de l'en-tête par Nom d'utilisateur et cliquez sur Enregistrer les modifications.

Scénario 3 : Pour les authentifications basées sur OAuth 2.0/OpenIDConnect

Aucune modification de configuration n'est requise dans l'OCI IAM. Les jetons d'ID émis après la modification refléteront le nouveau nom d'utilisateur tel qu'indiqué dans l'image suivante en tant que JWT décodé.

Application OIDC

Conclusion

Assurer la cohérence de l'identité des utilisateurs dans l'infrastructure d'une organisation est essentiel pour une authentification et une gestion des accès transparentes. Cette approche simplifiera la gestion des utilisateurs, améliorera la sécurité et assurera une intégration plus fluide entre les environnements sur place et en nuage.

Remerciements

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.