Configuration de la validation du relais d'état avec un SSO initié par IdP
Les domaines d'identité OCI valident l'URL d'état de relais en fonction des paramètres de configuration.
Le relais d'état valide à l'aide de l'URL configurée lorsque les conditions suivantes sont remplies :
- Les domaines d'identité OCI agissent en tant que fournisseur de services.
- Les fournisseurs d'identités (IdP), par exemple Azure et Pinfederate, agissent en tant que fournisseurs d'identités externes.
Avant de commencer
Effectuez les actions suivantes avant de configurer la validation du relais d'état.
- Soumettez une demande d'assistance pour activer la validation d'état de relais sur vos domaines d'identité. Indiquez les détails suivants dans la SR :
- GUID du domaine d'identité. Par exemple,
idcs-xxxx. - Indiquez le motif et le cas d'emploi de la demande.
- Région de la location.
- Le composant doit être "
SAML".
- GUID du domaine d'identité. Par exemple,
- Créez un jeton d'accès avec le rôle
Identity Domain Administratorpour exécuter les commandes d'API suivantes. Pour plus d'informations sur la création d'un jeton d'accès, reportez-vous à Génération d'un jeton d'accès.- Créez une application confidentielle dans le domaine d'identité. Pour plus d'informations, reportez-vous à la section Adding a Confidential Application.
- Configurez l'application en tant que client.
- Sur la page permettant de configurer OAuth, sélectionnez Ajouter des rôles d'application, puis les rôles d'application à appliquer à cette application. Affectez l'administrateur de domaine d'identité à la liste des rôles d'application.
- Utilisez le GUID client et la clé secrète client pour générer le jeton d'accès à l'aide d'une adresse de jeton.
- Créez une application confidentielle dans le domaine d'identité. Pour plus d'informations, reportez-vous à la section Adding a Confidential Application.
1 : Obtenir un ID de fournisseur d'identités
Utilisez une commande CURL pour visualiser la valeur id des domaines d'identité.
curl -XGET -H 'Authorization: Bearer <accessToken>'
-H 'Content-Type: application/json'
'https://<idcs stripe>.identity.oraclecloud.com/admin/v1/IdentityProviders'Exemple de réponse :
{
"type": "SAML",
"id": "fdxsxxxxxxxxxxxxxxxxxxxxxxxxxxdb",
"meta":{
"created": "2024-08-23T21:21:29.703Z",
"lastModified": "2025-01-07T17:16:51.186Z",
"version": "bxxxxxxxxxxxxxxxxxxxxxxxxx",
"resourceType": "IdentityProvider",
"location": "https://idcs-aa2f86468523aa4668a.....identity.oci.oracleiaas.com:443/admin/v1/IdentityProviders/fd84848484848xxxxxxxxdb"
},
"jitUserProvCreateUserEnabled": false,
"jitUserProvGroupAssignmentMethod": "Overwrite",
"enabled": true,
"idcsLastModifiedBy":{
"value": "f256256256256xxxxxxxx3acb",
"display": "opcInfra",
"ocid": "ocid1.domainapp.region1.sea.amaaaaapppxxxxxxxxxxxxxxxxx",
"type": "App",
"$ref": "https://idcs-aa20505xxxxxxxxxxxxxxxxx......identity.oci.oracleiaas.com:443/admin/v1/Apps/f25xxxxxxxxxxxxxxxxxxxxxb"
},
"partnerName": "azure-test",
.....
}Recherchez le fichier id des fournisseurs d'identités à mettre à jour. Notez les valeurs id et partnerName répertoriées dans la réponse.
2 : Appliquer PATCH à l'attribut Allowed-IdP-Initiated-Relay-States
Utilisez une commande CURL pour appliquer des patches à allowedIdPInitiatedRelayStates aux fournisseurs d'identités sélectionnés.
curl -XPATCH -H 'Authorization: Bearer <accessToken>' -H 'Content-Type: application/json'
-d '{"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],"Operations":
[{"op": "replace","path": "allowedIdpInitiatedRelayStates","value": [<List of Allowed Relay States>]}]}'
'https://<idcs stripe>.identity.oraclecloud.com/admin/v1/IdentityProviders/<Identity Provider ID>'Dans la réponse, recherchez les réponses suivantes :
"partnerName": confirmez que le nom du partenaire est correct.-
"allowedIdpInitiatedRelayStates:[ "https://example.com/success", "https://example/fail" ],