Documentation Oracle Cloud Infrastructure

Provisionnement JIT d'ADFS vers OCI IAM

Dans ce tutoriel, vous configurez le provisionnement juste-à-temps (JIT) entre OCI et Microsoft ADFS, où ADFS agit en tant que IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel traite des étapes suivantes :

  1. Mettez à jour les configurations de partie réceptrice dans ADFS.
  2. Mettez à jour ADFS IdP dans OCI IAM pour JIT.
  3. Vérifiez que vous pouvez provisionner des utilisateurs à partir d'ADFS vers OCI IAM.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Une installation ADFS.
    Remarque

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • Vous devez également vérifier que :
    • Le même utilisateur existe dans OCI et ADFS.
    • ADFS fonctionne.
1. Mettre à jour les configurations de partie de confiance dans ADFS
  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Server Manager de Windows 2016, sélectionnez Outils, puis Microsoft Active Directory Federation Services Management.
  2. Sous ADFS, sélectionnez Approbations de partie réceptrice.
  3. Dans le tutoriel SSO entre OCI et ADFS, cliquez avec le bouton droit de la souris sur la confiance de séparation de confiance que vous avez précédemment configurée pour OCI, appelée OCI IAM.
  4. Choisissez Modifier la politique d'émission de la réclamation.
  5. Modifiez la réclamation par e-mail pour ajouter trois règles de réclamation supplémentaires pour le prénom, le nom et le groupe.

    Attribut de prénom :

    • Attribut LDAP : Given-Name
    • Type de déclaration sortante : Given Name

    Attribut de nom :

    • Attribut LDAP : Surname
    • Type de réclamation sortante : Surname

    Attribut de groupe :

    • Attribut LDAP : Token-Groups - Unqualified Names
    • Type de réclamation sortante : Group
  6. Sélectionnez OK sur la page des règles, puis OK à nouveau.

Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

2. Mise à jour d'ADFS IdP dans OCI IAM

Dans la console OCI IAM, configurez ADFS IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré ADFS en tant que IdP à l'étape 1 du tutoriel "SSO entre OCI et ADFS".
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez ADFS IdP.
    Remarque

    Il s'agit du fichier ADFS IdP que vous avez créé dans le cadre du tutoriel SSO entre OCI et ADFS.
  10. Sur la page ADFS IdP, sélectionnez Configurer JIT.
  11. Dans la page Configure Just-in-time provisioning :
    • Sélectionnez Activer le provisionnement ponctuel.
    • Sélectionnez Créer un utilisateur de domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer le provisionnement juste à temps

  12. Sous Mettre en correspondance les attributs utilisateur, procédez comme suit :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une ligne :
      • Sous Attribut utilisateur IdP, sélectionnez Attribute.
      • Pour le nom d'attribut utilisateur IdP, entrez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Mise en correspondance d'attributs entre ADFS et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom d'attribut d'adhésion de groupe. Utilisez http://schemas.xmlsoap.org/claims/Group.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Sous IdP, le nom de groupe est mis en correspondance avec le nom de groupe de domaine d'identité, procédez comme suit :
    • Dans IdP Nom de groupe, indiquez le nom du groupe dans ADFS qui sera présent dans l'assertion SAML envoyée par ADFS.
    • Dans Nom de groupe de domaines d'identité, dans OCI IAM, sélectionnez le groupe dans OCI IAM à mettre en correspondance avec le groupe correspondant dans ADFS.

      Affecter des mappages de groupes

  17. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances de groupe : Fusionner avec des appartenances de groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignore the missing group
    Remarque

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Sélectionnez Enregistrer les modifications.
3. Test du provisionnement JIT entre ADFS et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre ADFS et OCI IAM
  1. Dans ADFS, créez un utilisateur dans ADFS qui n'existe pas dans OCI IAM.
  2. Redémarrez le navigateur et entrez l'URL de la console pour accéder à la console OCI :

    cloud.oracle.com

  3. Entrez le nom du compte cloud, également appelé nom de location, et sélectionnez Suivant.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Dans les options de connexion, sélectionnez ADFS.

    Icône ADFS sur la page de connexion

  6. Dans la page de connexion ADFS, indiquez les informations d'identification et de connexion de l'utilisateur nouvellement créé.
  7. En cas d'authentification réussie, un compte est créé pour l'utilisateur dans OCI IAM et l'utilisateur est connecté à la console OCI.

    Vous pouvez visualiser le nouvel utilisateur dans le domaine OCI et vérifier qu'il possède les mêmes attributs d'identité et appartenances à un groupe que ceux que vous avez entrés.

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre ADFS et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :