Documentation Oracle Cloud Infrastructure

Ajout d'un fournisseur d'identités juste-à-temps SAML

Configurez un fournisseur d'identités SAML (IdP) qui utilise le provisionnement juste à temps pour un domaine d'identité dans IAM.

  1. Accédez au domaine d'identité : ouvrez le menu de navigation et cliquez sur Sécurité des identités. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, cliquez sur Security, puis sur Identity providers.
  3. Cliquez sur le nom d'un fournisseur d'identités.
  4. Sur la page de détails, cliquez sur Configurer JIT.
  5. Sélectionnez Activer le provisionnement juste-à-temps.
  6. Sélectionnez l'une des options suivantes :
    • Créer un utilisateur de domaine d'identité : créez un utilisateur d'identité dans le domaine d'identité, s'il n'existe pas lors de la connexion avec le fournisseur d'identités.
    • Mettre à jour l'utilisateur de domaine d'identité existant : fusionnez et écrasez les données de compte utilisateur de domaine d'identité à partir de l'élément IdP mis en correspondance. Les données existantes sont écrasées par les données utilisateur de IdP.
    Remarque

    Pour activer JIT, vous devez sélectionner l'une de ces options.
  7. Dans la zone Mettre en correspondance les attributs utilisateur, mettez en correspondance un compte utilisateur de IdP avec un compte utilisateur du domaine d'identité.
    1. Sélectionnez une valeur dans la ligne IdP user attribute type.
      • Si vous sélectionnez Attribut, entrez le nom de l'attribut utilisateur IdP.
      • Si vous sélectionnez NameID, vous n'avez pas besoin d'entrer le nom d'attribut utilisateur IdP.
    2. (Facultatif) Sélectionnez l'attribut utilisateur de domaine d'identité.
    3. (Facultatif) Ajoutez d'autres attributs de domaine d'identité.
  8. Pour activer la mise en correspondance de groupes, cliquez sur Affecter la mise en correspondance de groupes.
    Remarque

    Si vous activez la mise en correspondance de groupes, passez à l'étape suivante. Sinon, passez à l'étape XXX.
  9. Dans Nom d'attribut d'appartenance de groupe, entrez le nom d'attribut IdP qui contient les appartenances de groupe.
  10. Pour importer les paramètres de groupe, sélectionnez l'une des options suivantes :
    • Définir une correspondance de groupe explicite : cette option exige que vous fournissiez le nom de groupe à mettre en correspondance entre IdP et le domaine d'identité. Si vous sélectionnez cette option, entrez le nom du groupe IdP et sélectionnez un nom de groupe de domaine d'identité disponible.
    • Affecter une correspondance de groupe implicite : cette option met en correspondance un groupe IdP avec un groupe de domaine d'identité portant le même nom. Aucune autre action n'est nécessaire.
  11. (Facultatif) Pour affecter des appartenances de groupe à partir du domaine d'identité, sélectionnez Affecter des appartenances de groupe de domaine, puis procédez comme suit :
    1. Cliquez sur Ajouter un groupe.
    2. Sélectionnez les groupes à ajouter, puis cliquez sur Ajouter des groupes.
  12. Sous Règles d'affectation, indiquez les actions à entreprendre lors de l'affectation de membres de groupe :
    • Si des utilisateurs sont affectés à des groupes existants, indiquez s'il faut fusionner avec des appartenances de groupe existantes ou remplacer des appartenances de groupe existantes.
  13. Lorsqu'un groupe est introuvable, sélectionnez l'une des actions suivantes :
    • Ignorer le groupe manquant : l'utilisateur s'est connecté.
    • Echec de l'ensemble de la demande : la tentative de connexion échoue.
  14. Cliquez sur Enregistrer les modifications.