Documentation Oracle Cloud Infrastructure

Gestion d'un fournisseur d'identités SAML

Utilisez la console pour ajouter un fournisseur d'identités SAML 2.0 (IdP) à un domaine d'identité afin que les utilisateurs authentifiés à partir de IdP puissent accéder à Oracle Cloud Infrastructure et aux applications cloud.

Termes communs

Fournisseur d'identités (IdP)

IdP est un service qui fournit les informations d'identification et l'authentification des utilisateurs.

Fournisseur de services

Service (par exemple, une application, un site Web, etc.) qui appelle un fournisseur d'identités pour authentifier les utilisateurs.

Pour créer un fichier IdP SAML 2.0, procédez comme suit :

Configuration du provisionnement JIT SAML

Vous pouvez configurer le provisionnement JIT SAML à l'aide de la console ou de l'adresse d'API REST /admin/v1/IdentityProviders. Reportez-vous aux références suivantes pour configurer le provisionnement JIT SAML :

Ajout d'un fournisseur d'identités SAML

Saisie des détails SAML d'un fournisseur d'identité.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Selon les options qui s'affichent, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter un IdP SAML, ou
    • sélectionnez Ajouter IdP, puis Ajouter un IdP SAML.
  4. Saisissez les informations suivantes:
    • Nom : entrez le nom de IdP.
    • (Facultatif) Description : entrez la description de IdP.
    • (Facultatif) icône du fournisseur d'identités : faites glisser une image prise en charge ou sélectionnez en sélectionner un pour rechercher une image.
  5. Sélectionnez Suivant.
  6. Sur l'écran Modifier les métadonnées, cliquez sur le bouton Exporter les métadonnées SAML pour envoyer les métadonnées SAML vers le fournisseur d'identités. Effectuez l'une des opérations suivantes :
    • Importer les métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de votre fichier IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées, ou sélectionnez sélectionner un pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités
      • URI de service SSO
      • Authentification de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Activer la déconnexion globale
    • Importer l'URL IdP : entrez l'URL de vos métadonnées IdP.
  7. Sélectionnez Afficher les options avancées pour sélectionner les éléments suivants :
    • Algorithme de hachage de signature : sélectionnez SHA-256 ou SHA-1.
    • Exiger une assertion cryptée : indique que l'autorisation de domaine d'identité attend une assertion cryptée de IdP.
    • Forcer l'authentification : sélectionnez cette option pour demander aux utilisateurs de s'authentifier auprès de IdP, même si la session est toujours valide.
    • Contexte d'authentification demandé : sélectionnez les références de classe de contenu d'authentification.
    • Confirmation de l'objet du titulaire de clé requise : disponible après le téléchargement d'un fichier de métadonnées valide pris en charge par le titulaire de clé (HOK).
    • Envoyer un certificat de signature avec un message SAML : sélectionnez cette option pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés par votre domaine d'identité. Certains fournisseurs SAML nécessitent le certificat de signature pour rechercher la configuration du partenaire SAML.
  8. Sélectionnez Suivant.
  9. Sur l'écran Ajouter un fournisseur d'identités SAML, procédez comme suit :
    1. Sélectionnez un format d'ID de nom demandé.
  10. Mettez en correspondance les attributs d'identité utilisateur reçus de IdP avec un domaine d'identité Oracle Cloud Infrastructure.
    Les options de mise en correspondance varient en fonction du fournisseur d'identités. Vous pouvez affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mis en correspondance avec UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.
  11. Sélectionnez Soumettre.
  12. Sur l'écran Vérifier et créer, vérifiez les paramètres de fournisseur d'identités SAML. Si les paramètres sont corrects, sélectionnez Créer. Sélectionnez Modifier en regard de l'ensemble de paramètres si vous devez le modifier.
  13. La console affiche un message lors de la création du fournisseur d'identités SAML. Sur la page d'aperçu, vous pouvez effectuer les opérations suivantes :
    • Sélectionnez Test pour vérifier que la connexion SSO SAML fonctionne.
    • Sélectionnez Activer pour activer IdP de sorte que le domaine d'identité puisse l'utiliser.
    • Sélectionnez Affecter à la règle de stratégie IdP pour affecter ce fournisseur d'identités SAML à une règle de stratégie existante que vous avez créée.
  14. Sélectionnez Fermer.
Import de métadonnées pour un fournisseur d'identités SAML

Importez les métadonnées SAML pour un fournisseur d'identités.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Selon les options qui s'affichent, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter un IdP SAML, ou
    • sélectionnez Ajouter IdP, puis Ajouter un IdP SAML.
  4. Entrez les détails du fournisseur d'identités :
    Champ Description
    Nom Entrez le nom du fournisseur d'identités.
    Description Entrez des informations explicatives sur le fournisseur d'identités.
    Icône : Recherchez et sélectionnez, ou glissez-déplacez une icône représentant le fournisseur d'identités. L'icône doit présenter une taille de 95 x 95 pixels et un arrière-plan transparent. Les formats de fichier pris en charge sont .png, .fig, .jpg et .jpeg.
  5. Sélectionner Suivant. Entrez les détails de configuration :
    Champ Description
    Importer les métadonnées du fournisseur d'identités Sélectionnez cette option afin d'importer les métadonnées pour le fournisseur d'identités.
    Métadonnées du fournisseur d'identités Sélectionnez le fichier XML contenant les métadonnées du fournisseur d'identités que vous voulez importer.

    Remarque: Vous pouvez définir un seul fournisseur d'identités dans le domaine d'identité avec un ID d'émetteur donné, également appelé ID de fournisseur ou ID d'entité. L'attribut d'ID d'entité fait partie des métadonnées du fournisseur d'identités. Vous pouvez donc créer un seul fournisseur d'identités avec un fichier de métadonnées spécifique. En outre, vous pouvez mettre à jour un fournisseur d'identités avec de nouvelles métadonnées, mais vous ne pouvez pas modifier son ID d'émetteur.
    Envoyer le certificat de signature avec le message SAML

    Pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés à IdP, cochez cette case. Le certificat de signature est utilisé afin de vérifier la signature des messages pour le fournisseur d'identités. Cela n'est généralement pas nécessaire, mais certains fournisseurs d'identités l'exigent dans le cadre de leur processus de vérification de signature.
    Algorithme de hachage de signature
    Sélectionnez l'algorithme de hachage sécurisé à utiliser pour signer les messages envoyés au fournisseur d'identités.
    • SHA-256 est la valeur par défaut.

    • Si le fournisseur d'identités ne prend pas en charge SHA-256, sélectionnez SHA-1.
  6. Sélectionner Suivant. Configurez la correspondance entre le fournisseur d'identités et les attributs utilisateur de domaine d'identité :
    Champ Description
    Attribut utilisateur de fournisseur d'identités

    Sélectionnez la valeur d'attribut utilisateur reçue du fournisseur d'identités qui peut être employée pour identifier l'utilisateur de manière unique.

    Vous pouvez indiquer l'ID de nom de l'assertion. Vous pouvez également spécifier un autre attribut SAML de l'assertion en le saisissant dans la zone de texte Attribut d'assertion.
    Attribut utilisateur de domaine d'identité

    Sélectionnez l'attribut dans le domaine d'identité avec lequel vous mettez en correspondance l'attribut reçu du fournisseur d'identités.

    Vous pouvez indiquer le nom utilisateur ou un autre attribut (par exemple, le nom d'affichage de l'utilisateur, l'adresse électronique principale ou de récupération, ou un ID externe). Utilisez l'ID externe lorsque vous voulez mettre en correspondance l'attribut reçu du fournisseur d'identités avec un ID spécial associé au fournisseur.
    Format NameID demandé

    Lorsque des demandes d'authentification SAML sont envoyées au fournisseur d'identités, vous pouvez indiquer un format d'ID de nom dans la demande.

    Si votre fournisseur d'identités ne requiert pas cet élément dans la demande, sélectionnez <Aucun élément demandé>.
  7. Sélectionnez Créer IdP. Exportez les métadonnées SAML du domaine d'identité :
    Tâche Description
    Métadonnées du fournisseur de services

    Afin d'exporter les métadonnées pour le domaine d'identité, sélectionnez Télécharger. Importez ensuite ces métadonnées vers le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'import d'un document XML de métadonnées SAML, utilisez les informations suivantes pour le configurer manuellement.

    Si le partenaire de fédération dans lequel vous importez les métadonnées de domaine d'identité effectue une validation de la liste des certificats révoqués (par exemple, AD FS effectue cette validation) au lieu d'utiliser les métadonnées exportées grâce à ce bouton, téléchargez les métadonnées à partir de l'adresse https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Accéder au certificat de signature dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    Métadonnées du fournisseur de services avec des certificats auto-signés

    Afin d'exporter les métadonnées pour le domaine d'identité avec les certificats signés, sélectionnez Télécharger en local. Importez ensuite ces métadonnées vers le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'import d'un document XML de métadonnées SAML, utilisez les informations suivantes pour le configurer manuellement.

    Si le partenaire de fédération dans lequel vous importez les métadonnées de domaine d'identité effectue une validation de la liste des certificats révoqués (par exemple, AD FS effectue cette validation) au lieu d'utiliser les métadonnées exportées grâce à ce bouton, téléchargez les métadonnées à partir de l'adresse https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Accéder au certificat de signature dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    ID fournisseur

    URI qui identifie de manière unique le domaine d'identité. L'ID de fournisseur est également appelé ID d'émetteur ou ID d'entité.
    URL du service consommateur d'assertion URL de l'adresse de service de domaine d'identité qui reçoit et traite les assertions du fournisseur d'identités.
    URL endpoint du service de déconnexion URL de l'adresse de service de domaine d'identité qui reçoit et traite les demandes de déconnexion du fournisseur d'identités.
    URL de renvoi du service de déconnexion URL de l'adresse de service de domaine d'identité qui reçoit et traite les réponses de déconnexion du fournisseur d'identités.
    Certificat de signature du fournisseur de services Pour exporter le certificat de signature du domaine d'identité, sélectionnez Télécharger. Sélectionnez le fichier contenant le certificat de signature. Ce certificat est utilisé par le fournisseur d'identités pour vérifier la signature sur les demandes SAML et les réponses envoyées par le domaine d'identité au fournisseur d'identités.
    Certificat de cryptage du fournisseur de services Pour exporter le certificat de cryptage du domaine d'identité, sélectionnez Télécharger. Sélectionnez le fichier contenant le certificat de cryptage. Ce certificat est utilisé par le fournisseur d'identités pour crypter les assertions SAML qu'il envoie au domaine d'identité. Cette opération est uniquement nécessaire si le fournisseur d'identités prend en charge les assertions cryptées.

    Pour obtenir le certificat racine du domaine d'identité émetteur, reportez-vous à Obtention du certificat d'autorité de certification racine.

  8. Sélectionnez Suivant.
  9. Sur la page Tester IdP, sélectionnez Tester la connexion pour tester les paramètres de configuration de IdP. (Vous devez être connecté au domaine d'identité pour lequel vous avez configuré le fournisseur d'identités afin de tester les paramètres de configuration.)
  10. Sélectionnez Suivant.
  11. Sur la page Activer IdP, sélectionnez Activer pour activer IdP.
  12. Cliquez sur Fin.

Export de métadonnées SAML

Export des métadonnées SAML pour un domaine d'identité dans IAM.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Producteurs d'identité. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Ouvrez un fournisseur d'identités.
  4. Sélectionnez Exporter les métadonnées SAML.
  5. Sélectionnez l'un des éléments suivants :
    • Fichier de métadonnées : sélectionnez cette option pour télécharger le fichier de métadonnées XML SAML ou les métadonnées XML SAML avec des certificats auto-signés.
    • Export manuel : l'export manuel des métadonnées vous permet de choisir parmi plusieurs options SAML, par exemple l'ID d'entité ou l'URL de réponse de déconnexion. Après avoir copié le fichier d'export, vous pouvez télécharger le certificat de signature du fournisseur de services ou le certificat de cryptage du fournisseur de services.
    • URL de métadonnées : si IdP prend en charge le téléchargement direct des métadonnées SAML. Sélectionnez Accéder au certificat de signature pour permettre aux clients d'accéder au certificat de signature sans avoir à se connecter à IdP.

Configurer les métadonnées IdP

Entrez les détails des métadonnées IdP manuellement ou importez un fichier de métadonnées.

  1. Sélectionnez l'un des éléments suivants :
    • Importer les métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de votre fichier IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées, ou sélectionnez sélectionner un pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités:
      • URI de service SSO
      • Authentification de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Télécharger le certificat de cryptage du fournisseur d'identités
      • Activer la déconnexion globale
      • URL de demande de déconnexion du fournisseur d'identités
      • URL de réponse de déconnexion du fournisseur d'identités
      • Liaison de déconnexion
  2. Sélectionnez la méthode de l'algorithme de hachage de signature.
  3. Indiquez si vous souhaitez utiliser un certificat de signature signé avec un message SAML.
  4. Sélectionnez Suivant.

Mise en correspondance des attributs utilisateur

Mettez en correspondance la relation entre les attributs utilisateur IdP et les attributs utilisateur de domaine d'identité.

  1. Dans le champ Format d'ID de nom demandé, sélectionnez une option de mappage.

    Les options de mise en correspondance varient en fonction du fournisseur d'identités. Vous pouvez peut-être affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mis en correspondance avec UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.

    Si vous sélectionnez Personnalisé, entrez les détails dans le champ Format d'ID de nom personnalisé.

  2. Sélectionnez des champs dans l'attribut utilisateur de fournisseur d'identités et sélectionnez un champ correspondant dans l'attribut utilisateur de domaine d'identité.
  3. Sélectionnez Suivant.

Vérification et création du fournisseur d'identités

Vérifiez que les options IdP sont correctes, puis créez le fichier IdP.

  1. Sélectionnez Tester la connexion pour ouvrir l'écran de connexion IdP.
  2. Sélectionnez Créer IdP.
    Remarque

    Pour modifier un fichier IdP après l'avoir créé, accédez à la liste Fournisseurs d'identités, sélectionnez IdP, puis modifiez IdP.