Documentation Oracle Cloud Infrastructure

Gestion d'un fournisseur d'identités SAML

Utilisez la console pour ajouter un fournisseur d'identités SAML 2.0 (IdP) à un domaine d'identité afin que les utilisateurs authentifiés à partir de IdP puissent accéder à Oracle Cloud Infrastructure pour accéder aux ressources et aux applications cloud.

Termes communs

Fournisseur d'identités

Un service IdP est un service qui fournit des informations d'authentification et un moyen d'identification pour les utilisateurs.

Fournisseur de services

Service (par exemple, une application, un site Web, etc.) qui appelle un fournisseur d'identités pour authentifier les utilisateurs.

Pour créer un fichier IdP SAML 2.0, procédez comme suit :

Configuration du provisionnement JIT SAML

Le provisionnement JIT SAML peut être configuré à l'aide de la console ou de l'adresse d'API REST /admin/v1/IdentityProviders. Reportez-vous aux références suivantes pour configurer le provisionnement JIT SAML :

Ajout d'un fournisseur d'identités SAML

Saisie des détails SAML d'un fournisseur d'identités.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Selon les options qui s'affichent, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter un IdP SAML, ou
    • sélectionnez Ajouter IdP, puis Ajouter un IdP SAML.
  4. Saisissez les informations suivantes:
    • Nom : entrez le nom du fichier IdP.
    • (Facultatif) Description : entrez une description du fichier IdP.
    • (Facultatif) Icône de fournisseur d'identités : glissez-déposez une image prise en charge ou sélectionnez en sélectionner une pour rechercher l'image.
  5. Sélectionnez Suivant.
  6. Sur l'écran Echanger de métadonnées, cliquez sur le bouton Exporter des métadonnées SAML pour envoyer les métadonnées SAML vers le fournisseur d'identités. Effectuez l'une des opérations suivantes :
    • Importer les métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées, ou sélectionnez Sélectionner un élément pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités
      • URI de service SSO
      • Liaison de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Activer la déconnexion globale
    • Importer l'URL IdP : entrez l'URL de vos métadonnées IdP.
  7. Sélectionnez Afficher les options avancées pour sélectionner les éléments suivants :
    • Algorithme de hachage de signature : sélectionnez SHA-256 ou SHA-1.
    • Exiger une assertion cryptée : indique que l'autorisation de domaine d'identité attend une assertion cryptée de la part de IdP.
    • Forcer l'authentification : sélectionnez cette option pour demander aux utilisateurs de s'authentifier auprès de IdP, même si la session est toujours valide.
    • Contexte d'authentification demandé : sélectionnez les références de classe de contenu d'authentification.
    • Confirmation de l'objet du titulaire de clé requise : disponible après le téléchargement d'un fichier de métadonnées valide pris en charge par le titulaire de clé (HOK).
    • Envoyer un certificat de signature avec un message SAML : sélectionnez cette option pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés par votre domaine d'identité. Certains fournisseurs SAML requièrent le certificat de signature pour rechercher la configuration du partenaire SAML.
  8. Sélectionnez Suivant.
  9. Sur l'écran Ajouter un fournisseur d'identités SAML, procédez comme suit :
    1. Sélectionnez un format d'ID de nom demandé.
  10. Mettez en correspondance les attributs d'identité de l'utilisateur reçus de IdP avec un domaine d'identité Oracle Cloud Infrastructure.
    Les options de mapping varient en fonction du fournisseur d'identités. Vous pouvez affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mappé avec UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.
  11. Sélectionnez Soumettre.
  12. Sur l'écran Vérifier et créer, vérifiez les paramètres de votre fournisseur d'identités SAML. Si les paramètres sont corrects, sélectionnez Créer. Sélectionnez Modifier en regard de l'ensemble de paramètres si vous devez le modifier.
  13. La console affiche un message lorsque le fournisseur d'identités SAML est créé. Vous pouvez effectuer les opérations suivantes à partir de la page de présentation :
    • Sélectionnez Tester pour vérifier que la connexion SSO SAML fonctionne correctement.
    • Sélectionnez Activer pour activer le domaine d'identité IdP afin que ce dernier puisse l'utiliser.
    • Sélectionnez Affecter à la règle de stratégie IdP pour affecter ce fournisseur d'identités SAML à une règle de stratégie existante que vous avez créée.
  14. Sélectionnez Fermer.
Import de métadonnées pour un fournisseur d'identités SAML

Importez les métadonnées SAML d'un fournisseur d'identités.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Selon les options qui s'affichent, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter un IdP SAML, ou
    • sélectionnez Ajouter IdP, puis Ajouter un IdP SAML.
  4. Entrez les détails du fournisseur d'identités :
    Champ Description
    Nom Entrez le nom du fournisseur d'identités.
    Description Entrez des informations explicatives sur le fournisseur d'identités.
    Icône Recherchez et sélectionnez, ou glissez-déplacez une icône représentant le fournisseur d'identités. L'icône doit présenter une taille de 95 x 95 pixels et un arrière-plan transparent. Les formats de fichier pris en charge sont .png, .fig, .jpg et .jpeg.
  5. Sélectionnez Next (Suivant). Entrez les détails de configuration :
    Champ Description
    Importer les métadonnées du fournisseur d'identités Sélectionnez cette option afin d'importer les métadonnées pour le fournisseur d'identités.
    Métadonnées du fournisseur d'identités Sélectionnez le fichier XML contenant les métadonnées du fournisseur d'identités que vous voulez importer.

    Remarque : vous ne pouvez définir qu'un seul fournisseur IdP dans le domaine d'identité avec un ID d'émetteur donné, également appeléID de fournisseur ou ID d'entité. L'attribut d'ID d'entité fait partie des métadonnées du fournisseur d'identités. Vous pouvez donc créer un seul fournisseur d'identités avec un fichier de métadonnées spécifique. En outre, vous pouvez mettre à jour un fournisseur d'identités avec de nouvelles métadonnées, mais vous ne pouvez pas modifier son ID d'émetteur.
    Envoyer le certificat de signature avec le message SAML

    Pour inclure le certificat de signature du domaine d'identité avec des messages SAML envoyés au fichier IdP, cochez cette case Le certificat de signature est utilisé afin de vérifier la signature des messages pour le fournisseur d'identités. Cela n'est généralement pas nécessaire, mais certains fournisseurs d'identités l'exigent dans le cadre de leur processus de vérification de signature.
    Algorithme de hachage de signature
    Sélectionnez l'algorithme de hachage sécurisé à utiliser pour signer les messages envoyés au fournisseur d'identités.
    • SHA-256 est la valeur par défaut.

    • Si le fournisseur d'identités ne prend pas en charge SHA-256, sélectionnez SHA-1.
  6. Sélectionnez Next (Suivant). Configurez la correspondance entre le fournisseur d'identités et les attributs utilisateur de domaine d'identité :
    Champ Description
    Attribut utilisateur de fournisseur d'identités

    Sélectionnez la valeur d'attribut utilisateur reçue du fournisseur d'identités qui peut être employée pour identifier l'utilisateur de manière unique.

    Vous pouvez indiquer l'ID du nom de l'assertion. Vous pouvez également spécifier un autre attribut SAML de l'assertion, en le saisissant dans la zone Attribut d'assertion.
    Attribut utilisateur de domaine d'identité

    Sélectionnez l'attribut dans le domaine d'identité avec lequel vous mettez en correspondance l'attribut reçu du fournisseur d'identités.

    Vous pouvez indiquer le nom utilisateur ou un autre attribut (par exemple, le nom d'affichage de l'utilisateur, l'adresse électronique principale ou de récupération, ou un ID externe). Utilisez l'ID externe lorsque vous voulez mettre en correspondance l'attribut reçu du fournisseur d'identités avec un ID spécial associé au fournisseur.
    Format de NameID demandé

    Lorsque des demandes d'authentification SAML sont envoyées au fournisseur d'identités, vous pouvez indiquer un format d'ID de nom dans la demande.

    Si votre IdP ne requiert pas cet attribut dans la demande, sélectionnez <Aucun élément demandé>
  7. Sélectionnez Create IdP (Créer). Exportez les métadonnées SAML du domaine d'identité :
    Tâche Description
    Métadonnées du fournisseur de services

    Pour exporter des métadonnées pour le domaine d'identité, sélectionnez Télécharger. Importez ensuite ces métadonnées vers le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'import d'un document XML de métadonnées SAML, utilisez les informations suivantes pour le configurer manuellement.

    Si le partenaire de fédération dans lequel vous importez les métadonnées de domaine d'identité effectue une validation de la liste des certificats révoqués (par exemple, AD FS effectue cette validation) au lieu d'utiliser les métadonnées exportées grâce à ce bouton, téléchargez les métadonnées à partir de l'adresse https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Accéder au certificat de signature dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    Métadonnées du fournisseur de services avec des certificats auto-signés

    Afin d'exporter les métadonnées pour le domaine d'identité avec des certificats auto-signés, sélectionnez Télécharger. Importez ensuite ces métadonnées vers le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'import d'un document XML de métadonnées SAML, utilisez les informations suivantes pour le configurer manuellement.

    Si le partenaire de fédération dans lequel vous importez les métadonnées de domaine d'identité effectue une validation de la liste des certificats révoqués (par exemple, AD FS effectue cette validation) au lieu d'utiliser les métadonnées exportées grâce à ce bouton, téléchargez les métadonnées à partir de l'adresse https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Accéder au certificat de signature dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    ID de fournisseur

    URI qui identifie de manière unique le domaine d'identité. L'ID de fournisseur est également appelé ID d'émetteur ou ID d'entité.
    URL du service consommateur d'assertion URL de l'adresse de service de domaine d'identité qui reçoit et traite les assertions du fournisseur d'identités.
    URL endpoint du service de déconnexion URL de l'adresse de service de domaine d'identité qui reçoit et traite les demandes de déconnexion du fournisseur d'identités.
    URL de renvoi du service de déconnexion URL de l'adresse de service de domaine d'identité qui reçoit et traite les réponses de déconnexion du fournisseur d'identités.
    Certificat de signature du fournisseur de services Pour exporter le certificat à signer du domaine d'identité, sélectionnez Télécharger. Sélectionnez le fichier contenant le certificat de signature. Ce certificat est utilisé par le fournisseur d'identités pour vérifier la signature sur les demandes SAML et les réponses envoyées par le domaine d'identité au fournisseur d'identités.
    Certificat de cryptage du fournisseur de services Pour exporter le certificat du cryptage du domaine d'identité, sélectionnez Télécharger. Sélectionnez le fichier contenant le certificat de cryptage. Ce certificat est utilisé par le fournisseur d'identités pour crypter les assertions SAML qu'il envoie au domaine d'identité. Cette opération est uniquement nécessaire si le fournisseur d'identités prend en charge les assertions cryptées.

    Pour obtenir le certificat racine du domaine d'identité émetteur, reportez-vous à Obtention du certificat d'autorité de certification racine.

  8. Sélectionnez Suivant.
  9. Sur la page Tester IdP, sélectionnez Test de la connexion pour tester les paramètres de configuration du IdP. (Vous devez être connecté au domaine d'identité pour lequel vous avez configuré le fournisseur d'identités afin de tester les paramètres de configuration.)
  10. Sélectionnez Suivant.
  11. Sur la page Activer le IdP, sélectionnez Activer pour activer le IdP.
  12. Cliquez sur Fin.

Export de métadonnées SAML

Export des métadonnées SAML d'un domaine d'identité dans IAM.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Producteurs d'identité. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Ouvrez un fournisseur d'identités.
  4. Sélectionnez Exporter les métadonnées SAML.
  5. Sélectionnez l'un des éléments suivants :
    • Fichier de métadonnées : sélectionnez Télécharger le fichier de métadonnées XML SAML ou Télécharger les métadonnées XML SAML avec des certificats auto-signés.
    • Export manuel : l'export manuel des métadonnées vous permet de choisir parmi plusieurs options SAML, par exemple l'ID d'entité ou l'URL de réponse de déconnexion. Une fois le fichier d'export copié, vous pouvez télécharger le certificat de signature du fournisseur de services ou le certificat de cryptage du fournisseur de services.
    • URL de métadonnées : si IdP prend en charge le téléchargement direct des métadonnées SAML. Sélectionnez Accéder au certificat de signature pour permettre aux clients d'accéder au certificat de signature sans avoir à se connecter à IdP.

Configuration des métadonnées de fournisseur d'identités

Entrez manuellement les détails des métadonnées IdP ou importez un fichier de métadonnées.

  1. Sélectionnez l'un des éléments suivants :
    • Importer les métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées, ou sélectionnez Sélectionner un élément pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités:
      • URI de service SSO
      • Liaison de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Télécharger le certificat de cryptage du fournisseur d'identités
      • Activer la déconnexion globale
      • URL de demande de déconnexion du fournisseur d'identités
      • URL de réponse de déconnexion du fournisseur d'identités
      • Authentification de déconnexion
  2. Sélectionnez la méthode d'algorithme de hachage de signature.
  3. Indiquez si vous souhaitez utiliser un certificat de signature signé avec un message SAML.
  4. Sélectionnez Suivant.

Mise en correspondance des attributs utilisateur

Mettez en correspondance la relation entre les attributs utilisateur IdP et les attributs utilisateur de domaine d'identité.

  1. Dans le champ Format de l'ID de nom demandé, sélectionnez une option de mappage.

    Les options de mapping varient en fonction du fournisseur d'identités. Vous pouvez peut-être affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mappé avec UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.

    Si vous sélectionnez Personnalisé, entrez les détails dans le champ Format d'ID de nom personnalisé.

  2. Sélectionnez des champs dans l'attribut utilisateur du fournisseur d'identités et sélectionnez un champ correspondant dans l'attribut utilisateur du domaine d'identité.
  3. Sélectionnez Suivant.

Vérification et création du fournisseur d'identités

Vérifiez que les options IdP sont correctes, puis créez IdP.

  1. Sélectionnez Tester la connexion pour ouvrir l'écran de connexion IdP.
  2. Sélectionnez Créer IdP.
    Remarque

    Pour modifier une valeur IdP après sa création, accédez à la liste Fournisseurs d'identités, sélectionnez IdP, puis modifiez la valeur IdP.