Fédération avec Microsoft Azure Active Directory

Récapitulatif : la page Fédération de la console Oracle Cloud Infrastructure affiche un lien vers le document de métadonnées de fédération Oracle Cloud Infrastructure. Avant de configurer l'application dans Azure AD, vous devez télécharger le document en local.

1. Accédez à la page Federation : ouvrez le menu de navigation et cliquez sur Identity & Security. Sous Identité, cliquez sur Fédération.

2. Sur la page Fédération, cliquez sur Télécharger ce document.

   

   Une fois que vous avez cliqué sur le lien, le document metadata.xml s'ouvre dans votre fenêtre de navigateur. Utilisez la commande Enregistrer la page sous de votre navigateur pour enregistrer le document XML localement, à un emplacement auquel vous pourrez accéder ultérieurement.

1. Sur le portail Azure, dans le panneau de navigation de gauche, sélectionnez Azure Active Directory.

2. Dans le panneau Azure Active Directory, sélectionnez Applications d'entreprise. Un échantillon des applications de votre locataire Azure AD apparaît.

3. En haut du panneau Toutes les applications, cliquez sur Nouvelle application.
4. Dans la région Ajouter à partir de la galerie, saisissez Console Oracle Cloud Infrastructure dans la zone de recherche.

5. Sélectionnez l'application de console Oracle Cloud Infrastructure dans les résultats.

6. Dans le formulaire propre à l'application, vous pouvez modifier les informations relatives à l'application. Par exemple, vous pouvez modifier son nom.

7. Lorsque vous avez fini de modifier les propriétés, sélectionnez Créer.

   La page de mise en route s'affiche avec les options de configuration de l'application pour votre organisation.

1. Sous la section Gestion, sélectionnez Authentification unique.

   

2. Sélectionnez SAML pour configurer l'authentification unique. La page Configurer l'authentification unique avec SAML s'affiche.

3. En haut de la page, cliquez sur Charger le fichier de métadonnées.

   

4. Localisez le fichier de métadonnées de fédération (metadata.xml) que vous avez téléchargé en local à partir d'Oracle Cloud Infrastructure à l'étape 1 et chargez-le ici. Après avoir chargé le fichier, les champs Configuration SAML de base sont automatiquement renseignés :

   • Identificateur (ID d'entité)
   • URL de réponse (URL du service consommateur d'assertion)

5. Dans la section Configuration SAML de base, cliquez sur Modifier. Dans le panneau Configuration SAML de base, entrez le champ requis suivant :

   • URL de connexion : entrez l'URL au format suivant :

     https://cloud.oracle.com

     

6. Cliquez sur Enregistrer.

Comme le modèle d'applications d'entreprise de la console Oracle Cloud Infrastructure est prédéfini avec les attributs requis, vous n'avez pas besoin d'en ajouter. Toutefois, vous devez effectuer les personnalisations suivantes :

1. Dans la section Attributs et revendications de l'utilisateur, cliquez sur Modifier en haut à droite. Le panneau Gérer la revendication s'affiche.

2. En regard du champ Valeur de nom d'identificateur, cliquez sur Modifier.

   • Sous Revendication requise, sélectionnez Identificateur utilisateur unique (ID de nom).
   • Sélectionnez Adresse électronique et remplacez le paramètre par Persistant.
   • Dans Source, sélectionnez Attribut.

   • Pour Attribut source, sélectionnez user.userprincipalname.

     

   • Cliquez sur Enregistrer.

3. Cliquez sur Ajouter une revendication de groupe.

4. Dans le panneau Revendications de groupe, configurez les éléments suivants :

   • Sélectionnez Groupes de sécurité.
   • Attribut source : sélectionnez ID de groupe.
   • Sous Options avancées, sélectionnez Personnaliser le nom de la revendication de groupe.

   • Dans le champ Nom, saisissez groupName.

     Veillez à entrer groupName en respectant l'orthographe et la casse.

   • Dans le champ Espace de noms, saisissez https://auth.oraclecloud.com/saml/claims

     
   • Cliquez sur Enregistrer.

1. Dans la section Certificat de signature SAML, cliquez sur le lien de téléchargement en regard de XML de métadonnées de fédération.

2. Téléchargez ce document en local et notez l'emplacement d'enregistrement. Vous le téléchargerez vers la console à l'étape suivante.

Pour permettre aux utilisateurs Azure AD de se connecter à Oracle Cloud Infrastructure, vous devez affecter les groupes d'utilisateurs appropriés à la nouvelle application d'entreprise.

1. Dans le panneau de navigation de gauche, sous Gestion, sélectionnez Utilisateurs et groupes.
2. Cliquez sur Ajouter en haut de la liste Utilisateurs et groupes pour ouvrir le panneau Ajouter une affectation.

3. Cliquez sur le sélecteur Utilisateurs et groupes.

4. Entrez le nom du groupe à affecter à l'application dans la zone de recherche Rechercher par nom ou adresse de messagerie.

5. Survolez le groupe dans la liste des résultats pour afficher une case à cocher. Cochez cette case pour ajouter le groupe à la liste Sélectionné.

6. Lorsque vous avez fini de sélectionner les groupes, cliquez sur Sélectionner pour les ajouter à la liste des utilisateurs et des groupes à affecter à l'application.

7. Cliquez sur Affecter pour affecter l'application aux groupes sélectionnés.

Récapitulatif : ajoutez le fournisseur d'identités à votre location. Vous pouvez configurer les correspondances de groupes en même temps ou le faire ultérieurement.

1. Accédez à la console et connectez-vous à l'aide de votre nom utilisateur et de votre mot de passe Oracle Cloud Infrastructure.
2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
3. Cliquez sur Ajouter un fournisseur d'identités.

4. Entrez les informations suivantes :

   1. Nom d'affichage : nom unique de cette approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils choisissent le fournisseur d'identités à utiliser pour se connecter à la console. Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cet élément ultérieurement.
   2. Description : description conviviale.
   3. Type : sélectionnez Fournisseur d'identités compatible SAML 2.0.
   4. XML : téléchargez vers le serveur le fichier FederationMetadata.xml que vous avez téléchargé à partir d'Azure AD.
   5. Cliquez sur Afficher les options avancées.

   6. Crypter l'assertion : le fait de cocher cette case indique au service IAM d'attendre le cryptage fourni par IdP. Ne cochez cette case que si vous avez activé le cryptage d'assertion dans Azure AD.

      Afin d'activer le cryptage d'assertion pour cette application SSO dans Azure AD, configurez le certificat de signature SAML dans Azure AD pour signer la réponse et l'assertion SAML. Pour plus d'informations, reportez-vous à la documentation d'Azure AD.

   7. Forcer l'authentification : option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent indiquer leurs informations d'identification au fournisseur d'identités (réauthentification), même lorsqu'ils sont déjà connectés à une autre session.
   8. Références de classe du contexte d'authentification : ce champ est requis pour les clients Government Cloud. Lorsque des valeurs sont spécifiées, Oracle Cloud Infrastructure (la partie de confiance) s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML renvoyée par le fournisseur d'identités doit contenir une instruction d'authentification avec cette référence de classe du contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est indiqué ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une erreur 400. Plusieurs références de classe du contexte d'authentification courantes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisé et entrez manuellement la référence de classe.
   9. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

5. Cliquez sur Continuer.

   Remarque
   
   

   Si vous ne souhaitez pas configurer les correspondances de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour les ajouter.

Configurez les correspondances entre les groupes Azure AD et les groupes IAM dans Oracle Cloud Infrastructure. Un groupe Azure AD donné peut être mis en correspondance avec aucun groupe, un groupe ou plusieurs groupes IAM, et inversement. Cependant, chaque correspondance individuelle se fait uniquement entre un seul groupe Azure AD et un seul groupe IAM. Les modifications apportées aux correspondances de groupes sont généralement prises en compte au bout de quelques secondes dans votre région d'origine, mais leur propagation vers toutes les régions peut prendre plusieurs minutes. Les groupes Azure AD que vous choisissez de mettre en correspondance doivent également être affectés à l'application d'entreprise dans Azure AD. Reportez-vous à Etape 6 : affecter des groupes d'utilisateurs à l'application.

Avant de commencer : affichez la page des groupes Azure AD. Dans le tableau de bord Azure, sous Gestion, sélectionnez Groupes. Dans la liste des groupes, sélectionnez celui à mettre en correspondance avec un groupe Oracle Cloud Infrastructure. Sur la page de détails du groupe, cliquez sur l'icône Copier en regard de l'ID d'objet du groupe.

Pour créer une correspondance de groupes, procédez comme suit :

1. Dans Groupe de fournisseur d'identités, entrez (ou collez) l'ID d'objet du groupe Azure AD. Vous devez entrer l'ID d'objet exact en respectant la casse. Exemple d'ID d'objet : aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Choisissez le groupe IAM avec lequel mettre en correspondance ce groupe dans la liste sous Groupe OCI.

3. Répétez les étapes précédentes pour chaque correspondance à créer, puis cliquez sur Créer.

Le fournisseur d'identités est alors ajouté à votre location et apparaît dans la liste sur la page Fédération. Cliquez sur le fournisseur d'identités pour visualiser ses détails et les correspondances de groupes que vous venez de configurer.

Oracle affecte un ID unique appelé OCID (Oracle Cloud ID) au fournisseur d'identités et à chaque correspondance de groupes. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

A l'avenir, accédez à la page Fédération si vous souhaitez modifier les correspondances de groupes ou supprimer le fournisseur d'identités de votre location.

Si vous ne l'avez pas encore fait, configurez des stratégies IAM pour contrôler l'accès des utilisateurs fédérés aux ressources Oracle Cloud Infrastructure de votre organisation. Pour plus d'informations, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

Les utilisateurs fédérés ont besoin de l'URL de la console Oracle Cloud Infrastructure (par exemple, la console) et du nom du locataire. Ils seront invités à fournir le nom du locataire lors de leur connexion à la console.