Documentation Oracle Cloud Infrastructure

Fédération avec Oracle Identity Cloud Service

Vous trouverez ici les rubriques appropriées pour la fédération d'Oracle Cloud Infrastructure avec Oracle Identity Cloud Service en fonction de la date d'activation de votre location.

Locations créées à partir du 21 décembre 2018

Ces locations sont automatiquement fédérées avec Oracle Identity Cloud Service et configurées pour provisionner les utilisateurs fédérés dans Oracle Cloud Infrastructure.

Pour gérer vos groupes et vos utilisateurs fédérés, reportez-vous à Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

Pour plus d'informations sur la fédération, reportez-vous à Informations complémentaires sur les utilisateurs fédérés Oracle Identity Cloud Service.

Locations créées entre le 18 décembre 2017 et le 20 décembre 2018

Ces locations sont automatiquement fédérées avec Oracle Identity Cloud Service, mais ne sont pas configurées pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure afin qu'ils puissent disposer d'informations d'identification supplémentaires (clés d'API, jetons d'authentification, etc.).

Afin d'activer cette fonctionnalité pour les utilisateurs, vous devez effectuer une mise à niveau ponctuelle. Reportez-vous à Provisionnement des utilisateurs fédérés.

Une fois la mise à niveau effectuée, reportez-vous à Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure pour gérer vos groupes et vos utilisateurs fédérés.

Fédération manuelle avec Oracle Identity Cloud Service

Votre organisation peut disposer de plusieurs comptes Oracle Identity Cloud Service (un pour chaque service, par exemple). Vous pouvez fédérer plusieurs comptes Identity Cloud Service avec Oracle Cloud Infrastructure, mais chaque approbation de fédération que vous configurez doit être associée à un seul compte Identity Cloud Service.

Remarque

Avant de suivre les étapes de cette rubrique, reportez-vous à Fédération avec les fournisseurs d'identités pour vous assurer que vous comprenez les concepts généraux en matière de fédération.

Composants de la fédération manuelle

Informations d'identification client et d'application Web

Pour chaque approbation, vous devez configurer une application Web dans Oracle Identity Cloud Service (également appelée application sécurisée) ; les instructions se trouvent dans Instructions pour la fédération avec Oracle Identity Cloud Service. L'application obtenue dispose d'un ensemble d'informations d'identification client (un ID client et une clé secrète client). Lorsque vous fédérez votre compte Identity Cloud Service avec Oracle Cloud Infrastructure, vous devez fournir ces informations d'identification.

Application COMPUTEBAREMETAL

Application sécurisée dans Oracle Identity Cloud Service contenant l'ensemble d'informations d'identification client (un ID client et une clé secrète client) à fournir lorsque vous fédérez votre compte Identity Cloud Service avec Oracle Cloud Infrastructure.

URL requises

La méthode la plus simple pour réaliser une fédération avec Oracle Identity Cloud Service consiste à utiliser la console Oracle Cloud Infrastructure, mais vous pouvez le faire par programmation avec l'API. Si vous utilisez la console, vous êtes invité à fournir une URL de base au lieu de l'URL de métadonnées. L'URL de base est la partie la plus à gauche de l'URL dans la fenêtre de navigateur lorsque vous êtes connecté à la console Identity Cloud Service :

  • URL de base : <nom du compte Identity Cloud Service>.identity.oraclecloud.com

Si vous utilisez l'API pour effectuer la fédération, vous devez fournir l'URL de métadonnées, c'est-à-dire l'URL de base avec le suffixe /fed/v1/metadata, de la façon suivante :

  • URL de métadonnées : <nom du compte Identity Cloud Service>.identity.oraclecloud.com/fed/v1/metadata

L'URL de métadonnées renvoie directement au fichier XML fourni par le fournisseur d'identités requis pour la fédération. Si vous utilisez l'API, vous devez fournir à la fois l'URL de métadonnées et les métadonnées proprement dites lors de la fédération. Pour plus d'informations, reportez-vous à Gestion des fournisseurs d'identités dans l'API.

Application OCI-V2-<nom_location>

Lorsque vous fédérez manuellement un compte Oracle Identity Cloud Service avec Oracle Cloud Infrastructure, une application SAML nommée OCI-V2-<nom_location> est automatiquement créée dans ce compte Oracle Identity Cloud Service. Si vous devez supprimer le fournisseur d'identités Oracle Identity Cloud Service de votre location Oracle Cloud Infrastructure ultérieurement, veillez à supprimer également OCI-V2-<nom_location> d'Oracle Identity Cloud Service. Si vous ne le faites pas et que vous tentez ultérieurement de fédérer de nouveau le même compte Oracle Identity Cloud Service, vous obtiendrez une erreur 409 indiquant qu'une application portant le même nom existe déjà (c'est-à-dire OCI-V2-<nom_location>).

Utilisateur provisionné

Un utilisateur provisionné est provisionné par Oracle Identity Cloud Service dans Oracle Cloud Infrastructure et synchronisé avec un utilisateur fédéré géré dans Oracle Identity Cloud Service. L'utilisateur provisionné peut disposer d'informations d'identification Oracle Cloud Infrastructure spéciales, telles que des clés d'API et des jetons d'authentification pour permettre l'accès par programmation. Les utilisateurs provisionnés ne peuvent pas avoir de mots de passe de console.

Instructions pour la fédération avec Oracle Identity Cloud Service

Voici le processus général suivi par l'administrateur pour configurer le fournisseur d'identités. Les instructions pour chaque étape se trouvent ci-dessous. Il est supposé que l'administrateur est un utilisateur Oracle Cloud Infrastructure disposant des informations d'identification et de l'accès requis.

  1. Connectez-vous à Oracle Identity Cloud Service. Selon vos besoins, effectuez l'une des opérations suivantes :

    Option A : obtenez de l'application COMPUTEBAREMETAL les informations requises pour effectuer les étapes de configuration dans Oracle Cloud Infrastructure.

    Option B : si Oracle Identity Cloud Service n'inclut pas l'application COMPUTEBAREMETAL, configurez une application sécurisée.

  2. Dans Oracle Cloud Infrastructure, configurez la fédération :

    1. Configurez Oracle Identity Cloud Service en tant que fournisseur d'identités.
    2. Mettez en correspondance les groupes Oracle Identity Cloud Service avec les groupes IAM.
  3. Dans Oracle Cloud Infrastructure, configurez les stratégies IAM pour les groupes IAM afin de définir l'accès que les membres des groupes mis en correspondance doivent posséder.
  4. Communiquez aux utilisateurs le nom de votre locataire Oracle Cloud Infrastructure et l'URL de la console (https://cloud.oracle.com).
Etape 1 : obtenir les informations requises auprès d'Oracle Identity Cloud Service
Option A : obtenir les informations auprès de l'application COMPUTEBAREMETAL
  1. Accédez à la console Oracle Identity Cloud Service et connectez-vous avec des privilèges administrateurs. Vérifiez que vous voyez la console d'administration.

  2. Dans la console Identity Cloud Service, cliquez sur Applications. La liste des applications sécurisées s'affiche.

  3. Cliquez sur COMPUTEBAREMETAL. Si votre instance n'inclut pas l'application COMPUTEBAREMETAL, suivez plutôt Etape 1 Option B.
  4. Cliquez sur Configuration.

  5. Développez Informations générales. L'ID client est affiché. Cliquez sur Afficher la clé secrète pour afficher la clé secrète client.

    Capture d'écran montrant la clé secrète client dans la console Oracle Identity Cloud Service

  6. Enregistrez l'ID client et la clé secrète client. Voici des exemples :

    • ID client : de06b81cb45a45a8acdcde923402a9389d8
    • Clé secrète client : 8a297afd-66df-49ee-c67d-39fcdf3d1c31
Option B : configurer une application sécurisée et obtenir les informations requises auprès d'Oracle Identity Cloud Service

Effectuez cette étape uniquement si vous ne parvenez pas à suivre Etape 1 Option A.

Récapitulatif : pour Oracle Identity Cloud Service, vous devez créer une application confidentielle (également appelée application sécurisée) avec des propriétés particulières décrites dans les instructions suivantes. Pour consulter la documentation Oracle Identity Cloud Service générale, reportez-vous à Ajout d'une application confidentielle.

Instructions pour Oracle Identity Cloud Service :

  1. Accédez à la console Oracle Identity Cloud Service et connectez-vous avec les privilèges requis pour créer l'application. Vérifiez que vous voyez la console d'administration.

  2. Ajoutez une application confidentielle (ou sécurisée) qui permet une interaction par programmation sécurisée entre Oracle Cloud Infrastructure et Oracle Identity Cloud Service. Indiquez les éléments suivants lors de la configuration de l'application :

    1. Sur la première page:

      1. Entrez un nom d'application (par exemple, Fédération Oracle Cloud Infrastructure).
      2. Laissez les autres champs vides ou non sélectionnés.

    2. Sur la page suivante :

      1. Sélectionnez Configurer cette application comme client maintenant.
      2. Pour Types d'octroi autorisés, cochez la case Informations d'identification client.
      3. Laissez les autres champs vides.

      4. En bas de la page :

        1. Cochez la case Autoriser le client à accéder aux API d'administration d'Identity Cloud Service.
        2. Sélectionnez Administrateur de domaine d'identité dans la liste des rôles.
    3. Sur la page suivante, laissez tous les champs vides ou non sélectionnés, et continuez jusqu'à cliquer sur Terminer.

    4. Copiez et collez les informations d'identification client affichées de sorte à pouvoir les fournir ultérieurement à Oracle Cloud Infrastructure lors de la fédération. Vous pouvez visualiser les informations d'identification client de l'application à tout moment dans la console Oracle Identity Cloud Service. Voici des exemples :

      • ID client : de06b81cb45a45a8acdcde923402a9389d8
      • Clé secrète client : 8a297afd-66df-49ee-c67d-39fcdf3d1c31
  3. Notez l'URL de base Oracle Identity Cloud Service, dont vous aurez besoin pour la fédération.
  4. Activez l'application.
Etape 2 : ajouter Oracle Identity Cloud Service en tant que fournisseur d'identités dans Oracle Cloud Infrastructure
  1. Accédez à la console et connectez-vous à l'aide de votre nom de connexion et de votre mot de passe Oracle Cloud Infrastructure.
  2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
  3. Cliquez sur Ajouter un fournisseur d'identités.

  4. Entrez les informations suivantes :

    1. Nom : nom unique de l'approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils choisissent le fournisseur d'identités à utiliser pour se connecter à la console (par exemple, ABCCorp_IDCS, comme indiqué dans la capture d'écran dans Expérience des utilisateurs fédérés). Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cet élément ultérieurement.
    2. Description : description conviviale.
    3. URL de base IDCS : reportez-vous à URL requises.
    4. ID client : obtenu à l'étape 1 Option A ou Option B.
    5. Clé secrète client : obtenue à l'étape 1 Option A ou Option B.
    6. Crypter l'assertion : le fait de cocher cette case indique au service IAM d'attendre le cryptage fourni par IdP. Si vous cochez cette case, vous devez également configurer le cryptage de l'assertion dans IDCS. Pour plus d'informations, reportez-vous à Concepts généraux. Pour plus d'informations sur la configuration de cette fonctionnalité dans IDCS, reportez-vous à Gestion des applications Oracle Identity Cloud Service.
    7. Forcer l'authentification : option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent indiquer leurs informations d'identification au fournisseur d'identités (réauthentification), même lorsqu'ils sont déjà connectés à une autre session.
    8. Références de classe du contexte d'authentification : ce champ est requis pour les clients Government Cloud. Lorsque des valeurs sont spécifiées, Oracle Cloud Infrastructure (la partie de confiance) s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML renvoyée par le fournisseur d'identités doit contenir une instruction d'authentification avec cette référence de classe du contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est indiqué ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une erreur 400. Plusieurs références de classe du contexte d'authentification courantes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisé et entrez manuellement la référence de classe.
    9. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
  5. Cliquez sur Continuer.

  6. Configurez les correspondances entre les groupes Oracle Identity Cloud Service et les groupes IAM dans Oracle Cloud Infrastructure. Un groupe Oracle Identity Cloud Service donné peut être mis en correspondance avec aucun groupe, un groupe ou plusieurs groupes IAM, et inversement. Cependant, chaque correspondance individuelle se fait uniquement entre un seul groupe Oracle Identity Cloud Service et un seul groupe IAM. Les modifications apportées aux correspondances de groupes sont généralement appliquées en quelques secondes.

    Remarque

    Si vous ne souhaitez pas configurer les correspondances de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour les ajouter.

    Pour créer une correspondance de groupes, procédez comme suit :

    1. Sélectionnez le groupe Oracle Identity Cloud Service dans la liste sous Groupe de fournisseur d'identités.

    2. Choisissez le groupe IAM avec lequel mettre en correspondance ce groupe dans la liste sous Groupe OCI.

      Conseil

      Exigences pour le nom du groupe IAM : aucun espace. Caractères autorisés : lettres, chiffres, traits d'union, points, traits de soulignement et signes plus (+). Le nom ne peut pas être modifié ultérieurement.
    3. Répétez les sous-étapes ci-dessus pour chaque correspondance à créer, puis cliquez sur Créer.

Après la configuration de la fédération

Le fournisseur d'identités est alors ajouté à votre location et apparaît dans la liste sur la page Fédération. Cliquez sur le fournisseur d'identités pour visualiser ses détails et les correspondances de groupes que vous venez de configurer.

Oracle affecte un ID unique appelé OCID (Oracle Cloud ID) au fournisseur d'identités et à chaque correspondance de groupes. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

A l'avenir, accédez à la page Fédération si vous souhaitez modifier les correspondances de groupes ou supprimer le fournisseur d'identités de votre location.

Les utilisateurs qui sont membres des groupes Oracle Identity Cloud Service mis en correspondance avec les groupes Oracle Cloud Infrastructure sont désormais répertoriés dans la console sur la page Utilisateurs. Pour plus d'informations sur l'affectation d'informations d'identification supplémentaires à ces utilisateurs, reportez-vous à Gestion des fonctionnalités utilisateur pour les utilisateurs fédérés.

Etape 3 : configurer des stratégies IAM pour les groupes

Si vous ne l'avez pas encore fait, configurez des stratégies IAM pour contrôler l'accès des utilisateurs fédérés aux ressources Oracle Cloud Infrastructure de votre organisation. Pour plus d'informations, reportez-vous à Introduction aux stratégies et à Stratégies courantes.

Etape 4 : fournir aux utilisateurs fédérés le nom du locataire et l'URL de connexion

Fournissez aux utilisateurs fédérés l'URL de la console Oracle Cloud Infrastructure (https://cloud.oracle.com) et le nom du locataire. Ils seront invités à fournir le nom du locataire lors de leur connexion à la console.

Gestion des fournisseurs d'identités dans la console

Procédure de suppression du fournisseur d'identités

Toutes les correspondances de groupes seront également supprimées.

  1. Supprimez le fournisseur d'identités de votre location :

    1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

      La liste des fournisseurs d'identités de votre location s'affiche.

    2. Cliquez sur le fournisseur d'identités pour afficher ses détails.
    3. Cliquez sur Supprimer.
    4. Confirmez l'opération lorsque vous y êtes invité.
  2. Supprimez OCI-V2-<nom_location> de votre compte Oracle Identity Cloud Service :
    1. Accédez à Oracle Identity Cloud Service et connectez-vous au compte fédéré.
    2. Cliquez sur Applications. La liste des applications s'affiche.

    3. Localisez OCI-V2-<nom_location> et cliquez sur son nom pour afficher sa page de détails.

    4. Dans la partie supérieure droite de la page, cliquez sur Désactiver. Confirmez l'opération lorsque vous y êtes invité.
    5. Cliquez sur Enlever. Confirmez l'opération lorsque vous y êtes invité.
Procédure d'ajout de correspondances de groupes pour Oracle Identity Cloud Service

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

    La liste des fournisseurs d'identités de votre location s'affiche.

  2. Cliquez sur le nom de votre fédération Oracle Identity Cloud Service pour en afficher les détails.

  3. Cliquez sur Ajouter des correspondances.

    1. Sélectionnez le groupe Oracle Identity Cloud Service dans la liste sous Groupe de fournisseur d'identités.

    2. Choisissez le groupe IAM avec lequel mettre en correspondance ce groupe dans la liste sous Groupe OCI.

    3. Pour ajouter d'autres correspondances, cliquez sur + Une autre correspondance.
    4. Lorsque vous avez terminé, cliquez sur Ajouter des correspondances.

L'application de vos modifications à votre région d'origine prend généralement quelques secondes. Patientez quelques minutes de plus pour qu'elles se propagent à toutes les régions.

Les utilisateurs qui sont membres des groupes Oracle Identity Cloud Service mis en correspondance avec les groupes Oracle Cloud Infrastructure sont désormais répertoriés dans la console sur la page Utilisateurs. Pour plus d'informations sur l'affectation d'informations d'identification supplémentaires à ces utilisateurs, reportez-vous à Gestion des fonctionnalités utilisateur pour les utilisateurs fédérés.

Procédure de mise à jour ou de suppression d'une correspondance de groupes

Vous ne pouvez pas mettre à jour une correspondance de groupes, mais vous pouvez la supprimer et en ajouter une nouvelle.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.

    La liste des fournisseurs d'identités de votre location s'affiche.

  2. Cliquez sur le fournisseur d'identités pour afficher ses détails.
  3. Sélectionnez la correspondance à supprimer, puis cliquez sur Supprimer.
  4. Confirmez l'opération lorsque vous y êtes invité.
  5. Ajoutez une nouvelle correspondance, si nécessaire.

L'application de vos modifications à votre région d'origine prend généralement quelques secondes. Patientez quelques minutes de plus pour qu'elles se propagent à toutes les régions.

Si cette action entraîne la suppression de l'appartenance des utilisateurs fédérés à un groupe mis en correspondance avec Oracle Cloud Infrastructure, les utilisateurs provisionnés des utilisateurs fédérés seront également enlevés d'Oracle Cloud Infrastructure. En général, ce processus prend plusieurs minutes.

Gestion des fournisseurs d'identités dans l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Utilisez les opérations d'API suivantes :

Fournisseurs d'identités : Correspondance de groupes :