Documentation Oracle Cloud Infrastructure

Ajout d'un fournisseur d'identités juste-à-temps SAML

Configurez un fournisseur d'identités SAML (IdP) qui utilise le provisionnement juste à temps (JIT) pour un domaine d'identité dans IAM.

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Sélectionnez le nom d'un fournisseur d'identités.
  4. Sur la page de détails, sélectionnez Configurer JIT.
  5. Sélectionnez Activer le provisionnement juste-à-temps.
  6. Sélectionnez l'une des options suivantes :
    • Créer un utilisateur de domaine d'identité : créez un utilisateur d'identité dans le domaine d'identité, s'il n'existe pas lors de la connexion avec le fournisseur d'identités.
    • Mettre à jour l'utilisateur de domaine d'identité existant : fusionnez et écrasez les données de compte utilisateur de domaine d'identité à partir de l'élément IdP mis en correspondance. Les données existantes sont écrasées par les données utilisateur de IdP.
    Remarque

    Pour activer JIT, vous devez sélectionner l'une de ces options.
  7. Dans la zone Mettre en correspondance les attributs utilisateur, mettez en correspondance un compte utilisateur de IdP avec un compte utilisateur du domaine d'identité.
    1. Sélectionnez une valeur dans la ligne IdP user attribute type.
      • Si vous sélectionnez Attribut, entrez le nom de l'attribut utilisateur IdP.
      • Si vous sélectionnez NameID, vous n'avez pas besoin d'entrer le nom d'attribut utilisateur IdP.
    2. (Facultatif) Sélectionnez l'attribut utilisateur de domaine d'identité.
    3. (Facultatif) Ajoutez d'autres attributs de domaine d'identité.
  8. Pour activer la mise en correspondance de groupes, sélectionnez Affecter la mise en correspondance de groupes.
    Remarque

    Si vous activez la mise en correspondance de groupes, passez à l'étape suivante. Sinon, passez à l'étape 10.
  9. Dans Nom d'attribut d'appartenance de groupe, entrez le nom d'attribut IdP qui contient les appartenances de groupe.
  10. Pour importer les paramètres de groupe, sélectionnez l'une des options suivantes :
    • Définir une correspondance de groupe explicite : cette option exige que vous fournissiez le nom de groupe à mettre en correspondance entre IdP et le domaine d'identité. Si vous sélectionnez cette option, entrez le nom du groupe IdP et sélectionnez un nom de groupe de domaine d'identité disponible.
    • Affecter une correspondance de groupe implicite : cette option met en correspondance un groupe IdP avec un groupe de domaine d'identité portant le même nom. Aucune autre action n'est nécessaire.
  11. (Facultatif) Pour affecter des appartenances de groupe à partir du domaine d'identité, sélectionnez Affecter des appartenances de groupe de domaine, puis procédez comme suit :
    1. Sélectionnez Ajouter un groupe.
    2. Sélectionnez les groupes à ajouter, puis Ajouter des groupes.
  12. Sous Règles d'affectation, indiquez les actions à entreprendre lors de l'affectation de membres de groupe :
    • Si des utilisateurs sont affectés à des groupes existants, indiquez s'il faut fusionner avec des appartenances de groupe existantes ou remplacer des appartenances de groupe existantes.
  13. Lorsqu'un groupe est introuvable, sélectionnez l'une des actions suivantes :
    • Ignorer le groupe manquant : l'utilisateur s'est connecté.
    • Echec de l'ensemble de la demande : la tentative de connexion échoue.
  14. Sélectionnez Enregistrer les modifications.
  15. (Facultatif) Activez IdP avant de l'ajouter à des stratégies. Pour plus d'informations, reportez-vous à Activation ou désactivation d'un fournisseur d'identités.