Gestion des fournisseurs d'identités
Vous pouvez configurer la connexion fédérée entre un domaine d'identité et un fournisseur d'identités externe. Les utilisateurs peuvent ainsi se connecter aux ressources Oracle Cloud Infrastructure et y accéder à l'aide de noms de connexion et de mots de passe existants gérés par le fournisseur d'identités.
Stratégie ou rôle requis
- Etre membre du groupe d'administrateurs
- Disposer du rôle d'administrateur de domaine d'identité ou d'administrateur de sécurité
- Etre membre d'un groupe disposant des droits d'accès
manage identity-domains
Pour en savoir plus sur les stratégies et les rôles, reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur, à Présentation des rôles d'administrateur et à Présentation des stratégies.
A propos des fournisseurs d'identités et de services
A propos des fournisseurs d'identités et de services.
Un fournisseur d'identités, également appelé autorité d'authentification, assure l'authentification externe pour les utilisateurs qui souhaitent se connecter à un domaine d'identité à l'aide des informations d'identification de leur fournisseur externe. Bien qu'un domaine d'identité puisse servir de fournisseur d'identités à un fournisseur de services tiers, lorsqu'il s'appuie sur un fournisseur d'identités pour authentifier les utilisateurs qui accèdent au domaine d'identité, ce dernier est le fournisseur de services. Plus généralement, vous pouvez également considérer Oracle Cloud Infrastructure comme le fournisseur de services, car il fournit les services et les ressources auxquels les utilisateurs veulent accéder.
Par exemple, votre organisation peut souhaiter que les utilisateurs se connectent aux services Oracle Cloud et y obtiennent l'accès à l'aide de leurs informations d'identification Microsoft Active Directory Federation Services (AD FS). Dans ce cas, Microsoft AD FS fait office de fournisseur d'identités, et le domaine d'identité sert de fournisseur de services. Microsoft AD FS authentifie l'utilisateur et renvoie un jeton contenant les informations d'identité et d'authentification pour le domaine d'identité (par exemple, nom utilisateur et adresse électronique de l'utilisateur). Ce jeton de sécurité est signé numériquement par le fournisseur d'identités. Le fournisseur de services vérifie la signature sur le jeton, puis utilise les informations d'identité afin d'établir une session authentifiée pour l'utilisateur. Cet accès est appelé accès avec connexion unique fédéré, où l'utilisateur doit fournir des informations d'identification dans un domaine et peut ensuite accéder à un autre domaine.
Pour fédérer un pont Microsoft Active Directory, reportez-vous à Configuration d'un pont Microsoft Active Directory (AD).
A propos des certificats numériques
Un certificat numérique est comme un passeport électronique qui permet à une personne, un ordinateur ou une organisation d'échanger des informations en toute sécurité sur Internet à l'aide de la cryptographie par clé publique. Un certificat numérique peut être appelé certificat de clé publique.
Tout comme un passeport, un certificat numérique fournit des informations d'identification, est infalsifiable et peut être vérifié car il est délivré par un organisme officiel de confiance. Le certificat peut contenir le nom de son détenteur, un numéro de série, des dates d'expiration, une copie de la clé publique de son détenteur (utilisée pour crypter les messages et vérifier les signatures numériques) et la signature numérique de l'autorité émettrice afin qu'un destinataire puisse vérifier l'authenticité du certificat.
Afin de vérifier les signatures des fournisseurs d'identités externes, le fournisseur de services stocke des copies de leurs certificats de signature. Lorsque le fournisseur de services reçoit un message signé d'un fournisseur d'identités, avant que le certificat stocké soit utilisé pour vérifier la signature, la validité du certificat doit être confirmée. La validation du certificat consiste à vérifier qu'il n'a pas expiré. Une fois le certificat validé, il est utilisé pour vérifier la signature sur le message.
Pour que cette opération réussisse, la clé publique imbriquée au certificat doit correspondre à la clé privée utilisée par le fournisseur d'identités pour signer le message.
Que se passe-t-il en cas d'expiration du certificat d'un fournisseur d'identités ?
- Obtenez le nouveau certificat de signature auprès du fournisseur d'identités. Il peut être publié par le fournisseur d'identités pour téléchargement en libre-service, ou vous devrez peut-être contacter l'administrateur du fournisseur d'identités.
- Chargez le nouveau certificat de signature dans la configuration de domaine d'identité pour le fournisseur d'identités.
- Si le fournisseur d'identités a également remplacé sa paire de clés privée/publique de signature (plutôt que de réémettre uniquement un nouveau certificat pour la paire de clés existante), vous devez mettre à jour la configuration du fournisseur d'identités afin de commencer à utiliser les nouvelles clés pour signer les messages. Il peut également s'agir d'une opération en libre-service ou demander l'intervention de l'administrateur du fournisseur d'identités.
Si le fournisseur d'identités remplace sa paire de clés de signature, SSO échoue pendant la période comprise entre les étapes 2 et 3 ci-dessus. Pour cette raison, la mise à jour du certificat est généralement coordonnée entre le fournisseur d'identités et les administrateurs de domaine d'identité.
A propos du provisionnement juste à temps SAML
Le provisionnement juste à temps (JIT) SAML automatise la création de compte utilisateur lorsque l'utilisateur commence par tenter de recourir à SSO alors qu'il n'existe pas encore dans le domaine d'identité. Outre la création automatique d'utilisateur, JIT permet d'octroyer et de révoquer des appartenances aux groupes dans le cadre du provisionnement. Vous pouvez configurer JIT pour mettre à jour les utilisateurs provisionnés afin que les attributs des utilisateurs dans la banque du fournisseur de services puissent rester synchronisés avec les attributs de la banque des utilisateurs du fournisseur d'identités.
Avantages
- L'empreinte des comptes utilisateur dans le domaine d'identité est limitée aux utilisateurs qui se connectent via SSO fédéré, plutôt qu'à tous les utilisateurs figurant dans l'annuaire du fournisseur d'identités.
- Les coûts d'administration sont réduits car les comptes sont créés à la demande dans le cadre du processus SSO, et les banques des utilisateurs du fournisseur d'identités et du fournisseur de services n'ont pas besoin d'être synchronisées manuellement.
- L'ajout ultérieur d'un nouvel utilisateur à la banque des utilisateurs du fournisseur d'identités n'exige pas que les administrateurs créent manuellement les comptes de fournisseur de services correspondants (les utilisateurs seront toujours synchronisés).
Fonctionnement
| Caractéristique de l'utilisateur lors de la connexion | Flux |
|---|---|
| Existe dans le fournisseur de services, provisionnement JIT activé | Flux SSO normal. |
| N'existe pas dans le fournisseur de services, provisionnement JIT désactivé | Flux d'échec SSO normal. |
| N'existe pas dans le fournisseur de services, création d'utilisateur JIT activée | L'utilisateur est créé et alimenté par les attributs d'assertion SAML, tels qu'ils sont mis en correspondance dans la configuration JIT. |
| Existe dans le fournisseur de services, mise à jour JIT activée | Les valeurs d'attribut utilisateur sont mises à jour avec les attributs d'assertion SAML, tels qu'ils sont mis en correspondance dans la configuration JIT. |