Documentation Oracle Cloud Infrastructure

SSO entre OCI et ADFS

Dans ce tutoriel, configurez SSO entre OCI IAM et ADFS, en utilisant ADFS comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous montre comment intégrer OCI IAM, en tant que fournisseur de services (SP), à ADFS, en tant que IdP. En configurant la fédération entre ADFS et OCI IAM, vous permettez aux utilisateurs d'accéder aux services et aux applications dans OCI à l'aide d'informations d'identification utilisateur authentifiées par ADFS.

Ce tutoriel explique comment configurer ADFS en tant que fichier IdP pour OCI IAM.

OCI IAM fournit une intégration avec SAML 2.0 IdPs. Cette intégration :

  • Fonctionne avec les solutions SSO (accès avec connexion unique) fédérées qui sont compatibles avec SAML 2.0 en tant que IdP, par exemple ADFS.
  • Permet aux utilisateurs de se connecter à OCI à l'aide de leurs informations d'identification ADFS.
  • Permet aux utilisateurs de se connecter pour mettre fin aux applications.
  1. Tout d'abord, téléchargez les métadonnées à partir du domaine d'identité OCI IAM.
  2. Dans les étapes suivantes, vous allez créer et configurer une partie réceptrice dans ADFS.
  3. Dans ADFS, configurez SSO avec OCI IAM à l'aide des métadonnées.
  4. Dans ADFS, modifiez les attributs et les revendications de sorte que l'adresse électronique soit utilisée comme identificateur pour les utilisateurs.
  5. Dans ADFS, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous allez revenir au domaine d'identité afin de terminer la configuration. Dans OCI IAM, mettez à jour la stratégie IdP par défaut pour ajouter ADFS.
  7. Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et ADFS.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Installation ADFS sur site.
    Remarque

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • En outre, vous devez vérifier que le même utilisateur existe dans OCI et ADFS et que ADFS fonctionne.
Création du même utilisateur sur les deux systèmes

Assurez-vous qu'un utilisateur avec la même adresse électronique existe dans les deux systèmes.

Pour que la connexion unique SAML fonctionne entre ADFS et OCI IAM, un utilisateur doit disposer de la même adresse électronique dans le domaine Microsoft Active Directory et le domaine d'identité OCI IAM. Dans cette tâche, vous confirmez qu'un tel utilisateur existe sur les deux systèmes.

  1. Ouvrez l'utilitaire Utilisateurs et ordinateurs de Microsoft Active Directory. Dans Windows 2016 Server, sélectionnez Gestionnaire de serveur, Outils, puis Utilisateurs et ordinateurs Active Directory.
  2. Dans le dossier Employés, cliquez deux fois sur l'utilisateur à utiliser. Notez l'adresse électronique de l'utilisateur.
    ADFS USER(adfsuser01@gmail.com)

    Utilisateur dans l'utilitaire Utilisateurs et ordinateurs Active Directory

    Remarque

    Si plusieurs utilisateurs du domaine OCI IAM ont la même adresse électronique, la connexion unique SAML échoue car il est impossible de déterminer l'utilisateur à connecter.

    • L'adresse électronique de l'utilisateur est utilisée pour lier l'utilisateur connecté à ADFS avec la même entrée d'utilisateur dans OCI IAM.
    • Si vous n'avez pas d'utilisateur ADFS pour tester la connexion, vous pouvez en créer une.
  3. Dans un navigateur, entrez l'URL de console permettant d'accéder à la console OCI IAM :

    https://cloud.oracle.com

  4. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  5. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  6. Sélectionnez le domaine que vous allez utiliser.
  7. Sélectionnez Utilisateurs.
  8. Dans le champ de recherche, saisissez l'adresse électronique que vous avez enregistrée à partir de Microsoft Active Directory.
  9. Dans les résultats de la recherche, confirmez qu'un utilisateur existe avec la même adresse électronique que l'utilisateur dans Microsoft Active Directory.
    Remarque

    Si l'utilisateur n'existe pas dans OCI IAM, sélectionnez Ajouter et créez l'utilisateur avec la même adresse électronique que dans Microsoft Active Directory.
Vérifier que ADFS est en cours d'exécution

Vérifiez que ADFS est en cours d'exécution et que vous pouvez demander à l'utilisateur de se connecter.

  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    adfs.example.com est votre nom d'hôte ADFS.
  2. Si nécessaire, sélectionnez Se connecter à ce site. Sélectionnez Connexion.
  3. Entrez les informations d'identification Microsoft Active Directory pour un utilisateur existant sur ADFS et OCI IAM (dans cet exemple, adfsuser01), puis sélectionnez Connexion.

    Page de connexion ADFS

  4. Le message You are signed in apparaît.

    Confirmation ADFS de votre connexion

1. Création d'ADFS en tant que IdP dans OCI IAM
  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    adfs.example.com est votre nom d'hôte ADFS.
  2. Enregistrez le fichier FederationMetadata.xml. Vous utiliserez ce fichier pour inscrire ADFS auprès d'OCI IAM.
  3. Dans la console OCI, accédez au domaine dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez Sécurité puis Fournisseurs d'identités.
  4. Sélectionnez Ajouter IdP, puis Ajouter IdP SAML.
  5. Entrez le nom de IdP SAML, par exemple ADFS_IdP. Sélectionnez Suivant.
  6. Sélectionnez Entrer les métadonnées IdP.
  7. Téléchargez les métadonnées du fournisseur de services OCI IAM en sélectionnant Exporter les métadonnées SAML.
    1. Sur la page Exporter les métadonnées SAML sous Métadonnées avec certificats autosignés, sélectionnez Télécharger le XML.
      Remarque

      Utilisez des métadonnées avec des certificats auto-signés lorsque le fournisseur d'identités effectue des vérifications CRL ou OCSP sur des certificats émis par une autorité de certification. Dans ce tutoriel, ADFS effectue cette opération lors de la validation du chemin de certificat.
    2. Enregistrez le fichier à l'emplacement approprié.
    3. Transférez le fichier Metadata.xml vers le serveur Windows sur lequel ADFS est géré. Vous utiliserez ce fichier pour inscrire le domaine OCI IAM auprès d'ADFS.

    Export des métadonnées SAML pour OCI IAM

  8. Fermez la page Exporter les métadonnées SAML.
  9. Sélectionnez Importer les métadonnées IdP, puis Télécharger vers le serveur. Sélectionnez le fichier FederationMetadata.xml que vous avez enregistré précédemment à partir d'ADFS, sélectionnez Ouvrir, puis Suivant.
  10. Dans l'identité de l'utilisateur Map, définissez ce qui suit :
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut utilisateur de fournisseur d'identités, sélectionnez SAML assertion Name ID.
    • Sous Attribut utilisateur de domaine d'identité, sélectionnez Primary email address.

    Attributs de fournisseur d'identités SAML

  11. Sélectionnez Suivant.
  12. Sous Vérifier et créer, vérifiez les configurations, puis sélectionnez Créer IdP.
  13. Sélectionnez Activer.
  14. Sélectionnez Ajouter à la règle de stratégie IdP. L'ajout d'ADFS IdP à une stratégie IdP permet de l'afficher sur l'écran de connexion à OCI IAM.

  15. Sélectionnez Stratégie de fournisseur d'identités par défaut pour l'ouvrir, puis sélectionnez le menu Actions Menu Actions de la règle et sélectionnez Modifier la règle IdP.

    Menu contextuel affichant Modifier la règle de fournisseur d'identités

  16. Sélectionnez Affecter des fournisseurs d'identités, puis ADFS_IdP pour l'ajouter à la liste.

    ajout d'ADFS en tant que fournisseur d'identités dans la règle IdP par défaut

  17. Sélectionnez Enregistrer les modifications.

A présent, ADFS est inscrit en tant que fournisseur d'identités dans OCI IAM.

Ensuite, vous allez inscrire OCI IAM en tant que partie de confiance dans ADFS.

2. Inscription d'OCI IAM en tant que partie de confiance

Commencez par inscrire OCI IAM en tant que partie réceptrice auprès d'ADFS. Configurez ensuite les règles de réclamation pour OCI IAM en tant que partie de confiance.

Enregistrer la partie réceptrice

  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Server Manager de Windows 2016, sélectionnez Outils, puis Microsoft Active Directory Federation Services Management.
  2. Sélectionnez Action, puis Ajouter une confiance de partie réceptrice.

  3. Dans la fenêtre Add Relying Party Trust Wizard, sélectionnez Start.

    Ajouter un assistant de confiance de partie réceptrice dans ADFS

  4. Sélectionnez Importer les données concernant la partie de confiance à partir d'un fichier, puis Parcourir.

    Sélectionner une source de données

  5. Sélectionnez Metadata.xml que vous avez téléchargé précédemment à partir d'OCI IAM, puis Suivant.

  6. Entrez un nom d'affichage, par exemple OCI IAM, et éventuellement une description sous Remarques. Sélectionnez Suivant.

    Définir le nom d'affichage

  7. Continuez avec les options par défaut jusqu'à ce que vous atteigniez l'étape Fin, puis sélectionnez Fermer. La fenêtre Modifier les règles de déclaration s'ouvre.

    Fenêtre Modifier les déclarations

Configurer les règles de réclamation

Les règles de réclamation définissent les informations relatives à un utilisateur connecté envoyé à partir d'ADFS vers OCI IAM après une authentification réussie. Vous définissez ici deux règles de réclamation pour qu'OCI IAM agisse en tant que partie réceptrice :

  • Courriel : cette règle indique que l'adresse électronique de l'utilisateur est envoyée à OCI IAM dans l'assertion SAML.
  • ID de nom : cette règle indique que le résultat de la règle de courriel est envoyé à OCI IAM dans l'élément Objet NameID de l'assertion SAML.
  1. Dans la fenêtre Modifier les règles de revendication, sélectionnez Ajouter une règle.
  2. Sélectionnez Envoyer les attributs LDAP en tant que réclamations comme modèle de règle de réclamation, puis Suivant.
  3. Dans la page Choisir un type de règle, fournissez les informations suivantes pour la règle d'e-mail :
    • Nom de la règle de réclamation : Email
    • Banque d'attributs : Active Directory
    • Mise en correspondance des attributs LDAP avec les types de réclamation sortants :
      • Attribut LDAP : E-Mail-Addresses
      • Type de réclamation sortante : E-Mail Address

      Sélectionnez la page Type de règle de l'assistant Ajouter une règle de déclaration de transformation.

  4. Cliquez sur Fin.
  5. Dans la fenêtre Modifier les règles de revendication, sélectionnez Ajouter une règle pour ajouter la deuxième règle de revendication.
  6. Sélectionnez Transformer une réclamation entrante comme modèle de règle de réclamation, puis Suivant.
  7. Dans la page Choose Rule Type, fournissez les informations suivantes pour la règle Name ID :
    • Nom de la règle de revendication : Name ID
    • Type de réclamation entrant : E-Mail Address
    • Type de revendication sortante : Name ID
    • Format d'ID de nom sortant : Email

    Sélectionnez la page Type de règle de l'assistant Ajouter une règle de déclaration de transformation.

  8. Cliquez sur Fin.
  9. Dans la fenêtre Modifier les règles de réclamation pour Oracle Cloud, vérifiez que les règles d'adresse électronique et d'ID nom ont été créées.

    Confirmer la présence des deux réclamations

A présent, ADFS et OCI IAM disposent de suffisamment d'informations pour établir SSO et vous pouvez tester l'intégration.

3. Test de SSO entre ADFS et OCI

Dans cette tâche, vous testez l'authentification entre OCI IAM et ADFS. Si l'authentification réussit, vous activez le fournisseur d'identités pour les utilisateurs finaux.

  1. Redémarrez le navigateur et entrez l'URL de console pour accéder à la console OCI IAM :

    https://cloud.oracle.com

  2. Entrez le nom du compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  4. Sélectionnez le domaine pour lequel vous avez configuré le domaine ADFS IdP.
  5. Sélectionnez Sécurité puis Fournisseurs d'identités.
  6. Sélectionnez l'entrée ADFS IdP.
  7. Sur la page de détails de IdP, sélectionnez Actions supplémentaires, puis Tester la connexion.
  8. Faites défiler la page vers le bas et sélectionnez Tester la connexion.
  9. Sur la page de connexion ADFS, connectez-vous avec un utilisateur qui existe sur ADFS et OCI IAM.

    Page de connexion ADFS

  10. Le message de confirmation Your connection is successful s'affiche.

    Message de confirmation.

Etapes suivantes

Félicitations ! Vous avez configuré SSO entre ADFS et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :