Documentation Oracle Cloud Infrastructure

Provisionnement JIT d'ADFS vers OCI IAM

Dans ce tutoriel, vous configurez le provisionnement juste à temps (JIT) entre OCI et Microsoft ADFS, où ADFS agit en tant que IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel traite des étapes suivantes :

  1. Mettez à jour les configurations de partie réceptrice dans ADFS.
  2. Mettez à jour ADFS IdP dans OCI IAM pour JIT.
  3. Testez la possibilité de provisionner des utilisateurs à partir d'ADFS vers OCI IAM.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Une installation ADFS.
    Remarque

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • Vous devez également vérifier que :
    • Le même utilisateur existe dans OCI et ADFS.
    • ADFS fonctionne.
1. Mettre à jour les configurations de partie de confiance dans ADFS
  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Gestionnaire de serveur de Windows 2016, cliquez sur Outils, puis sur Microsoft Active Directory Federation Services Management.
  2. Sous ADFS, cliquez sur Trustations de partie réceptrice.
  3. Cliquez avec le bouton droit de la souris sur la sécurisation des pièces de confiance précédemment configurée pour OCI appelée OCI IAM dans le tutoriel SSO entre OCI et ADFS.
  4. Choisissez Modifier la politique d'émission de la réclamation.
  5. Modifiez la réclamation par e-mail pour ajouter trois règles de réclamation supplémentaires pour le prénom, le nom et le groupe.

    Attribut de prénom :

    • Attribut LDAP : Given-Name
    • Type de déclaration sortante : Given Name

    Attribut de nom :

    • Attribut LDAP : Surname
    • Type de réclamation sortante : Surname

    Attribut de groupe :

    • Attribut LDAP : Token-Groups - Unqualified Names
    • Type de réclamation sortante : Group
  6. Cliquez sur OK sur la page des règles, puis OK à nouveau.

Vous pouvez ajouter des attributs supplémentaires pour répondre aux besoins de votre entreprise, mais vous n'en avez besoin que pour ce tutoriel.

2. Mise à jour d'ADFS IdP dans OCI IAM

Dans la console OCI IAM, configurez ADFS IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
  6. Sous Identité, cliquez sur Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré ADFS en tant que IdP à l'étape 1 du tutoriel "SSO entre OCI et ADFS".
  8. Cliquez sur Sécurité dans le menu de gauche, puis sur Fournisseurs d'identités.
  9. Cliquez sur ADFS IdP.
    Remarque

    Il s'agit du fichier ADFS IdP que vous avez créé dans le cadre du tutoriel SSO entre OCI et ADFS.
  10. Sur la page ADFS IdP, cliquez sur Configurer JIT.
  11. Dans la page Configure Just-in-time provisioning :
    • Sélectionnez Activer le provisionnement ponctuel.
    • Sélectionnez Créer un utilisateur de domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer le provisionnement juste à temps

  12. Sous Mettre en correspondance les attributs utilisateur, procédez comme suit :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Cliquez sur Ajouter une ligne :
      • Sous Attribut utilisateur IdP, sélectionnez Attribute.
      • Pour le nom d'attribut utilisateur IdP, entrez http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Mise en correspondance d'attributs entre ADFS et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom d'attribut d'adhésion de groupe. Utilisez http://schemas.xmlsoap.org/claims/Group.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Sous IdP, le nom de groupe est mis en correspondance avec le nom de groupe de domaine d'identité, procédez comme suit :
    • Dans IdP Nom de groupe, indiquez le nom du groupe dans ADFS qui sera présent dans l'assertion SAML envoyée par ADFS.
    • Dans Nom de groupe de domaines d'identité, dans OCI IAM, sélectionnez le groupe dans OCI IAM à mettre en correspondance avec le groupe correspondant dans ADFS.

      Affecter des mappages de groupes

  17. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances de groupe : Fusionner avec des appartenances de groupe existantes
    2. Lorsqu'un groupe est introuvable : Ignore the missing group
    Remarque

    Sélectionnez des options en fonction des besoins de votre organisation.
  18. Cliquez sur Enregistrer les modifications.
3. Test du provisionnement JIT entre ADFS et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre ADFS et OCI IAM.
  1. Dans ADFS, créez un utilisateur dans ADFS qui n'existe pas dans OCI IAM.
  2. Redémarrez votre navigateur et entrez l'URL de la console pour accéder à la console OCI :

    cloud.oracle.com

  3. Entrez le nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Dans les options de connexion, cliquez sur ADFS.

    Icône ADFS sur la page de connexion

  6. Dans la page de connexion ADFS, indiquez les informations d'identification et de connexion de l'utilisateur nouvellement créé.
  7. Une fois l'authentification réussie, un compte est créé pour l'utilisateur dans OCI IAM et l'utilisateur est connecté à la console OCI.

    Vous pouvez visualiser le nouvel utilisateur dans le domaine OCI et vérifier qu'il possède les mêmes attributs d'identité et appartenances aux groupes que vous avez saisis.

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre ADFS et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :