Fédération avec Microsoft Active Directory

Cette rubrique décrit la procédure de fédération avec Microsoft Active Directory à l'aide de Microsoft Active Federation Services (AD FS).

Remarque

Avant de suivre les étapes de cette rubrique, reportez-vous à Fédération avec les fournisseurs d'identités pour vous assurer que vous comprenez les concepts généraux en matière de fédération.

A propos de la fédération avec Microsoft Active Directory

Votre organisation peut disposer de plusieurs comptes Active Directory (un pour chaque service, par exemple). Vous pouvez fédérer plusieurs comptes Active Directory avec Oracle Cloud Infrastructure, mais chaque approbation de fédération que vous configurez doit être associée à un seul compte Active Directory.

Pour effectuer une fédération avec Active Directory, vous configurez une approbation entre Active Directory et Oracle Cloud Infrastructure. Pour configurer cette approbation, vous effectuez certaines étapes dans la console Oracle Cloud Infrastructure et d'autres dans Active Directory Federation Services.

Voici le processus général suivi par l'administrateur pour configurer la fédération avec Active Directory. Vous trouverez les détails de chaque étape dans les sections ci-dessous.

Obtenez les informations requises auprès d'Active Directory Federation Services.
Fédérez Active Directory avec Oracle Cloud Infrastructure :
1. Ajoutez le fournisseur d'identités (AD FS) à votre location et fournissez les informations requises.
2. Mettez en correspondance les groupes Active Directory avec les groupes IAM.
Dans Active Directory Federation Services, ajoutez Oracle Cloud Infrastructure en tant que partie de confiance approuvée.
Dans Active Directory Federation Services, ajoutez les règles de revendication requises dans la réponse d'authentification par Oracle Cloud Infrastructure.
Testez la configuration en vous connectant à Oracle Cloud Infrastructure avec vos informations d'identification Active Directory.

Fédération avec Active Directory

Prérequis

Vous avez installé et configuré Microsoft Active Directory Federation Services pour votre organisation.

Vous avez configuré des groupes dans Active Directory à mettre en correspondance avec des groupes dans Oracle Cloud Infrastructure.

Conseil

Lorsque vous nommez les groupes Active Directory à mettre en correspondance avec les groupes Oracle Cloud Infrastructure, utilisez un préfixe commun afin de faciliter l'application d'une règle de filtrage. Par exemple, OCI_Administrators, OCI_NetworkAdmins, OCI_InstanceLaunchers.

Etape 1 : obtenir les informations requises auprès d'Active Directory Federation Services

Récapitulatif : obtenez le document de métadonnées SAML et le nom des groupes Active Directory à mettre en correspondance avec les groupes Oracle Cloud Infrastructure Identity and Access Management.

Localisez le document de métadonnées SAML de votre serveur de fédération AD FS. Par défaut, il se trouve à cette URL :
```
https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml
```
Téléchargez ce document en local et notez l'emplacement d'enregistrement. Vous le téléchargerez vers la console à l'étape suivante.
Prenez note de tous les groupes Active Directory à mettre en correspondance avec les groupes Oracle Cloud Infrastructure IAM. Vous devrez les saisir à l'étape suivante dans la console.

Etape 2 : ajouter Active Directory en tant que fournisseur d'identités dans Oracle Cloud Infrastructure

Récapitulatif : ajoutez le fournisseur d'identités à votre location. Vous pouvez configurer les correspondances de groupes en même temps ou le faire ultérieurement.

Accédez à la console et connectez-vous à l'aide de votre nom de connexion et de votre mot de passe Oracle Cloud Infrastructure.
Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
Cliquez sur Ajouter un fournisseur d'identités.
Entrez les informations suivantes :
1. Nom d'affichage : nom unique de cette approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils choisissent le fournisseur d'identités à utiliser pour se connecter à la console. Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cet élément ultérieurement.
2. Description : description conviviale.
3. Type : sélectionnez Microsoft Active Directory Federation Services (ADFS) ou fournisseur d'identités compatible SAML 2.0.
4. XML : téléchargez vers le serveur le fichier FederationMetadata.xml que vous avez téléchargé à partir d'Azure AD.
5. Cliquez sur Afficher les options avancées.
6. Crypter l'assertion : le fait de cocher cette case indique au service IAM d'attendre le cryptage fourni par IdP. Ne cochez cette case que si vous avez activé le cryptage d'assertion dans Azure AD.
  
  Afin d'activer le cryptage d'assertion pour cette application SSO dans Azure AD, configurez le certificat de signature SAML dans Azure AD pour signer la réponse et l'assertion SAML. Pour plus d'informations, reportez-vous à la documentation d'Azure AD.
7. Forcer l'authentification : option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent indiquer leurs informations d'identification au fournisseur d'identités (réauthentification), même lorsqu'ils sont déjà connectés à une autre session.
8. Références de classe du contexte d'authentification : ce champ est requis pour les clients Government Cloud. Lorsque des valeurs sont spécifiées, Oracle Cloud Infrastructure (la partie de confiance) s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML renvoyée par le fournisseur d'identités doit contenir une instruction d'authentification avec cette référence de classe du contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est indiqué ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une erreur 400. Plusieurs références de classe du contexte d'authentification courantes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisé et entrez manuellement la référence de classe.
9. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
Cliquez sur Continuer.
Configurez les correspondances entre les groupes Active Directory et les groupes IAM dans Oracle Cloud Infrastructure. Un groupe Active Directory donné peut être mis en correspondance avec aucun groupe, un groupe ou plusieurs groupes IAM, et inversement. Cependant, chaque correspondance individuelle se fait uniquement entre un seul groupe Active Directory et un seul groupe IAM. Les modifications apportées aux correspondances de groupes sont généralement prises en compte au bout de quelques secondes dans votre région d'origine, mais leur propagation vers toutes les régions peut prendre plusieurs minutes.

Remarque

Si vous ne souhaitez pas configurer les correspondances de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour les ajouter.

Pour créer une correspondance de groupes, procédez comme suit :
1. Sous Groupe de fournisseur d'identités, entrez le nom du groupe Active Directory. Vous devez entrer le nom exact en respectant la casse.
  
  Choisissez le groupe IAM avec lequel mettre en correspondance ce groupe dans la liste sous Groupe OCI.
  
  Conseil
  
  Exigences pour le nom du groupe IAM : aucun espace. Caractères autorisés : lettres, chiffres, traits d'union, points, traits de soulignement et signes plus (+). Le nom ne peut pas être modifié ultérieurement.
2. Répétez les sous-étapes ci-dessus pour chaque correspondance à créer, puis cliquez sur Créer.

Le fournisseur d'identités est alors ajouté à votre location et apparaît dans la liste sur la page Fédération. Cliquez sur le fournisseur d'identités pour visualiser ses détails et les correspondances de groupes que vous venez de configurer.

Oracle affecte un ID unique appelé OCID (Oracle Cloud ID) au fournisseur d'identités et à chaque correspondance de groupes. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

A l'avenir, accédez à la page Fédération si vous souhaitez modifier les correspondances de groupes ou supprimer le fournisseur d'identités de votre location.

Etape 3 : copier l'URL du document de métadonnées de fédération Oracle Cloud Infrastructure

Récapitulatif : la page Fédération affiche un lien vers le document de métadonnées de fédération Oracle Cloud Infrastructure. Avant de passer à la configuration d'Active Directory Federation Services, vous devez copier l'URL.

Sur la page Fédération, cliquez sur Télécharger ce document.

Copiez l'URL. Cette URL ressemble à ce qui suit :

https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Etape 4 : ajouter Oracle Cloud Infrastructure en tant que partie de confiance approuvée dans Active Directory Federation Services

Accédez à la console de gestion AD FS et connectez-vous au compte que vous souhaitez fédérer.
Ajoutez Oracle Cloud Infrastructure en tant que partie de confiance approuvée :
1. Dans la console de gestion AD FS, cliquez avec le bouton droit de la souris sur AD FS et sélectionnez Ajouter une approbation de partie de confiance.
2. Dans l'assistant Ajout d'approbation de partie de confiance, cliquez sur Démarrer.
3. Sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance.
  
  Collez l'URL de métadonnées de fédération Oracle Cloud Infrastructure que vous avez copiée à l'étape 3. Cliquez sur Suivant.
  
  AD FS se connecte à l'URL. Si vous obtenez une erreur pendant la tentative de lecture des métadonnées de fédération, vous pouvez également télécharger le document XML de métadonnées de fédération Oracle Cloud Infrastructure.
  Procédure de téléchargement du document de métadonnées de fédération
  Dans un navigateur Web, collez l'URL de métadonnées de fédération Oracle Cloud Infrastructure dans la barre d'adresse.
  
  Enregistrez le document XML à un emplacement accessible par la console de gestion AD FS.
  
  A l'étape Sélectionner une source de données de l'assistant Ajout d'approbation de partie de confiance, sélectionnez Importer les données concernant la partie de confiance à partir d'un fichier.
  
  Cliquez sur Parcourir et sélectionnez le fichier metadata.xml que vous avez enregistré.
  
  Cliquez sur Suivant.
4. Définissez le nom d'affichage de la partie de confiance (par exemple, Oracle Cloud Infrastructure), puis cliquez sur Suivant.
5. Sélectionnez Ne pas configurer les paramètres d'authentification multifacteur pour cette approbation de partie de confiance.
6. Choisissez les règles d'autorisation d'émission appropriées pour autoriser ou refuser l'accès de tous les utilisateurs à la partie de confiance. Si vous choisissez Refuser, vous devez ajouter ultérieurement les règles d'autorisation permettant l'accès des utilisateurs appropriés.
  
  Cliquez sur Suivant.
7. Vérifiez les paramètres et cliquez sur Suivant.
8. Cochez la case Ouvrir la boîte de dialogue Modifier les règles de revendication pour cette approbation de partie de confiance à la fermeture de l'Assistant, puis cliquez sur Fermer.

Etape 5 : ajouter les règles de revendication de la partie de confiance Oracle Cloud Infrastructure

Récapitulatif : ajoutez les règles de revendication de sorte que les éléments requis par Oracle Cloud Infrastructure (ID de nom et groupes) soient ajoutés à la réponse d'authentification SAML.

Ajoutez la règle d'ID de nom :

Dans l'assistant Ajout de règle de revendication de transformation, sélectionnez Transformer une réclamation entrante, puis cliquez sur Suivant.
Entrez les informations suivantes :
- Nom de la règle de revendication : saisissez le nom de cette règle, par exemple nameid.
- Type de revendication entrante : sélectionnez le nom du compte Windows.
- Type de revendication sortante : sélectionnez l'ID de nom.
- Format d'ID de nom sortant : sélectionnez Identificateur persistant.
- Sélectionnez Passer toutes les valeurs de revendication.
- Cliquez sur Terminer.
La règle est affichée dans la liste des règles. Cliquez sur Ajouter une règle.

Ajoutez la règle de groupes :

Important

Les utilisateurs appartenant à plus de 100 groupes de fournisseurs d'identités ne peuvent pas être authentifiés pour utiliser la console Oracle Cloud Infrastructure. Pour activer l'authentification, appliquez un filtre à la règle de groupes, comme décrit ci-dessous.

Si vos utilisateurs Active Directory appartiennent à 100 groupes ou moins

Ajoutez la règle de groupes :

Sous Modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée. Cliquez sur Suivant.

Dans l'assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :

Nom de la règle de revendication : entrez des groupes.

Règle personnalisée : entrez la règle personnalisée suivante :

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

Cliquez sur Terminer.

Si vos utilisateurs Active Directory font partie de plus de 100 groupes

Ajoutez la règle de groupes avec un filtre :

Pour limiter les groupes envoyés à Oracle Cloud Infrastructure, créez deux règles de revendication personnalisées. La première extrait tous les groupes auxquels l'utilisateur appartient directement et indirectement. La seconde applique un filtre qui limite les groupes transmis au fournisseur de services à ceux qui correspondent aux critères de filtre.

Ajoutez la première règle :

Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.
Sous Modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée. Cliquez sur Suivant.
Dans l'assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :
1. Nom de la règle de revendication : saisissez un nom, par exemple, groupes.
2. Règle personnalisée : entrez la règle personnalisée suivante :
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
```
  Dans cette règle personnalisée, vous utilisez add au lieu de issue. Cette commande transmet les résultats de la règle à la règle suivante, au lieu de les envoyer au fournisseur de services.
3. Cliquez sur Terminer.
A présent, ajoutez la règle de filtrage.
1. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter une règle.
2. Sous Modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée. Cliquez sur Suivant.
3. Dans l'assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :
  1. Nom de la règle de revendication : entrez des groupes.
  2. Règle personnalisée : saisissez une règle de filtrage appropriée. Par exemple, pour envoyer uniquement les groupes qui commencent par la chaîne "OCI", saisissez ce qui suit :
```
c:[Type == "https://auth.oraclecloud.com/saml/claims/groupName", Value =~ "(?i)OCI"] => issue(claim = c);
```
    Cette règle filtre la liste à partir de la première règle sur les groupes commençant par la chaîne OCI uniquement. La commande issue envoie les résultats de la règle au fournisseur de services.
    
    Vous pouvez créer des filtres en fonction des critères appropriés pour votre organisation.
    
    Afin d'obtenir plus d'informations sur la syntaxe AD FS pour les règles personnalisées, reportez-vous au document Microsoft relatif à la présentation du langage de règle de revendication dans AD FS 2.0 ou version ultérieure.
  3. Cliquez sur Terminer.

Etape 6 : configurer des stratégies IAM pour les groupes

Si vous ne l'avez pas encore fait, configurez des stratégies IAM pour contrôler l'accès des utilisateurs fédérés aux ressources Oracle Cloud Infrastructure de votre organisation. Pour plus d'informations, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

Etape 7 : fournir aux utilisateurs fédérés le nom du locataire et l'URL de connexion

Fournissez aux utilisateurs fédérés l'URL de la console Oracle Cloud Infrastructure (https://cloud.oracle.com) et le nom du locataire. Ils seront invités à fournir le nom du locataire lors de leur connexion à la console.

Gestion des fournisseurs d'identités dans la console

Procédure d'ajout d'un fournisseur d'identités

Reportez-vous à A propos de la fédération avec Microsoft Active Directory.

Procédure de suppression d'un fournisseur d'identités

Toutes les correspondances de groupes du fournisseur d'identités seront également supprimées.

Supprimez le fournisseur d'identités de votre location :
1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  
  La liste des fournisseurs d'identités de votre location s'affiche.
2. Cliquez sur le fournisseur d'identités pour afficher ses détails.
3. Cliquez sur Supprimer.
4. Confirmez l'opération lorsque vous y êtes invité.

Procédure d'ajout de correspondances de groupes pour un fournisseur d'identités

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

La liste des fournisseurs d'identités de votre location s'affiche.
Cliquez sur le fournisseur d'identités pour afficher ses détails.
Cliquez sur Ajouter des correspondances.
1. Sous Groupe de fournisseur d'identités, entrez le nom du groupe Active Directory. Le nom que vous saisissez ici doit correspondre exactement à celui figurant dans Active Directory.
2. Choisissez le groupe IAM avec lequel mettre en correspondance ce groupe dans la liste sous Groupe OCI.
3. Pour ajouter d'autres correspondances, cliquez sur + Une autre correspondance.
4. Lorsque vous avez terminé, cliquez sur Ajouter des correspondances.

Vos modifications sont généralement appliquées en quelques secondes.

Procédure de mise à jour d'une correspondance de groupes

Vous ne pouvez pas mettre à jour une correspondance de groupes, mais vous pouvez la supprimer et en ajouter une nouvelle.

Procédure de suppression d'une correspondance de groupes

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

La liste des fournisseurs d'identités de votre location s'affiche.
Cliquez sur le fournisseur d'identités pour afficher ses détails.
Sélectionnez la correspondance à supprimer, puis cliquez sur Supprimer.
Confirmez l'opération lorsque vous y êtes invité.

Vos modifications sont généralement appliquées en quelques secondes.

Gestion des fournisseurs d'identités dans l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez les opérations d'API suivantes :

Fournisseurs d'identités :

CreateIdentityProvider
ListIdentityProviders
GetIdentityProvider
UpdateIdentityProvider
DeleteIdentityProvider : pour pouvoir utiliser cette opération, vous devez d'abord utiliser DeleteIdpGroupMapping afin d'enlever toutes les correspondances de groupes du fournisseur d'identités.

Correspondance de groupes :

CreateIdpGroupMapping : chaque correspondance de groupes est une entité distincte dotée de son propre OCID.
ListIdpGroupMappings
GetIdpGroupMapping
UpdateIdpGroupMapping
DeleteIdpGroupMapping

Documentation Oracle Cloud Infrastructure