Documentation Oracle Cloud Infrastructure

Ajout d'un fournisseur d'identités Just-in-Time SAML

Configurez un fournisseur d'identités SAML (IdP) qui utilise le provisionnement juste à temps pour un domaine d'identité dans IAM.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Sélectionnez le nom d'un fournisseur d'identités.
  4. Sur la page de détails, sélectionnez Configurer JIT.
  5. Sélectionnez Activer le provisionnement juste à temps.
  6. Sélectionnez l'une des options suivantes :
    • Créer un utilisateur de domaine d'identité : créez un utilisateur d'identité dans le domaine d'identité si l'utilisateur n'existe pas lors de la connexion avec le fournisseur d'identités.
    • Mettre à jour l'utilisateur de domaine d'identité existant : fusionnez et remplacez les données de compte utilisateur de domaine d'identité à partir de l'élément IdP mis en correspondance. Les données existantes sont écrasées par les données utilisateur à partir de IdP.
    Remarque

    Pour activer JIT, vous devez sélectionner l'une de ces options.
  7. Dans la zone Mettre en correspondance les attributs utilisateur, mettez en correspondance un compte utilisateur de IdP avec un compte utilisateur du domaine d'identité.
    1. Sélectionnez une valeur dans la ligne du type d'attribut utilisateur IdP.
      • Si vous sélectionnez Attribut, entrez le nom de l'attribut utilisateur IdP.
      • Si vous sélectionnez NameID, vous n'avez pas besoin d'entrer le nom d'attribut utilisateur IdP.
    2. (Facultatif) Sélectionnez l'attribut utilisateur de domaine d'identité.
    3. (Facultatif) Ajoutez d'autres attributs de domaine d'identité.
  8. Pour activer la mise en correspondance de groupes, sélectionnez Affecter une mise en correspondance de groupes.
    Remarque

    Si vous activez la mise en correspondance de groupes, passez à l'étape suivante. Sinon, passez à l'étape 10.
  9. Pour Nom d'attribut d'appartenance à un groupe, entrez le nom d'attribut IdP qui contient les appartenances de groupe.
  10. Pour importer les paramètres de groupe, sélectionnez l'une des options suivantes :
    • Définir une correspondance de groupe explicite : cette option nécessite que vous fournissiez le nom de groupe à mettre en correspondance entre IdP et le domaine d'identité. Si vous sélectionnez cette option, entrez le nom de groupe IdP et sélectionnez un nom de groupe de domaines d'identité disponible.
    • Affecter un mappage de groupe implicite : cette option met en correspondance un groupe IdP avec un groupe de domaines d'identité portant le même nom. Aucune autre action n'est requise.
  11. (Facultatif) Pour affecter des appartenances à des groupes à partir du domaine d'identité, sélectionnez Affecter des appartenances à des groupes de domaines, puis procédez comme suit :
    1. Sélectionnez Ajouter un groupe.
    2. Sélectionnez les groupes à ajouter, puis sélectionnez Ajouter des groupes.
  12. Sous Règles d'affectation, indiquez les actions à effectuer lors de l'affectation d'appartenances à un groupe :
    • Si des utilisateurs sont affectés à des groupes existants, indiquez s'ils doivent fusionner avec des appartenances de groupe existantes ou remplacer des appartenances de groupe existantes.
  13. Lorsqu'un groupe est introuvable, sélectionnez l'une des actions suivantes :
    • Ignorer le groupe manquant : l'utilisateur se connecte avec succès.
    • Echec de la demande complète : la tentative de connexion échoue.
  14. Sélectionnez Enregistrer les modifications.
  15. (Facultatif) Activez IdP avant de l'ajouter à des stratégies. Pour plus d'informations, reportez-vous à Activation ou désactivation d'un fournisseur d'identité.