Documentation Oracle Cloud Infrastructure

SSO entre OCI et ADFS

Dans ce tutoriel, configurez SSO entre OCI IAM et ADFS, en utilisant ADFS comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes explique comment intégrer OCI IAM, agissant en tant que fournisseur de services, à ADFS, agissant en tant que IdP. En configurant la fédération entre ADFS et OCI IAM, vous permettez à l'utilisateur d'accéder aux services et applications dans OCI à l'aide d'informations d'identification utilisateur authentifiées par ADFS.

Ce tutoriel explique comment configurer ADFS en tant que IdP pour OCI IAM.

OCI IAM permet l'intégration avec SAML 2.0 IdPs. Cette intégration:

  • Fonctionne avec des solutions d'accès avec connexion unique (SSO) fédérées qui sont compatibles avec SAML 2.0 en tant que IdP, telles qu'ADFS.
  • Permet aux utilisateurs de se connecter à OCI en utilisant leurs informations d'identification ADFS.
  • Permet aux utilisateurs de se connecter aux applications finales.
  1. Tout d'abord, téléchargez les métadonnées à partir du domaine d'identité OCI IAM.
  2. Dans les étapes suivantes, vous allez créer et configurer une partie de confiance dans ADFS.
  3. Dans ADFS, configurez SSO avec OCI IAM à l'aide des métadonnées.
  4. Dans ADFS, modifiez les attributs et les revendications de sorte que l'adresse électronique soit employée comme identificateur pour les utilisateurs.
  5. Dans ADFS, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous allez revenir au domaine d'identité afin de terminer la configuration. Dans OCI IAM, mettez à jour la stratégie IdP par défaut pour ajouter ADFS.
  7. Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et ADFS.
Remarque

Ce tutoriel est propre à IAM avec des domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Compte Oracle Cloud Infrastructure (OCI) payant ou compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Installation d'ADFS sur site.
    Remarque

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • En outre, vous devez vérifier que le même utilisateur existe dans OCI et ADFS, et qu'ADFS fonctionne.
Création du même utilisateur sur les deux systèmes

Assurez-vous qu'un utilisateur avec la même adresse e-mail existe dans les deux systèmes.

Pour que la connexion unique SAML fonctionne entre ADFS et OCI IAM, un utilisateur doit avoir la même adresse électronique dans le domaine Microsoft Active Directory et dans le domaine d'identité OCI IAM. Dans cette tâche, vous confirmez qu'un tel utilisateur existe sur les deux systèmes.

  1. Ouvrez l'utilitaire Utilisateurs et ordinateurs Microsoft Active Directory. Dans Windows 2016 Server, sélectionnez Server Manager, Tools, puis Active Directory Users and Computers.
  2. Dans le dossier Employés, cliquez deux fois sur l'utilisateur à utiliser. Notez l'adresse e-mail de l'utilisateur.
    ADFS USER(adfsuser01@gmail.com)

    Utilisateur dans l'utilitaire Utilisateurs et ordinateurs Active Directory

    Remarque

    Si plusieurs utilisateurs du domaine OCI IAM ont la même adresse électronique, la connexion unique SAML échoue car il est impossible de déterminer quel utilisateur doit être connecté.

    • L'adresse électronique de l'utilisateur permet de lier l'utilisateur connecté à ADFS avec la même entrée d'utilisateur dans OCI IAM.
    • Si vous ne disposez pas d'un utilisateur ADFS pour tester la connexion, vous pouvez en créer un.
  3. Dans un navigateur, entrez l'URL de la console pour accéder à la console OCI IAM :

    https://cloud.oracle.com

  4. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  5. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  6. Sélectionnez le domaine que vous allez utiliser.
  7. Sélectionnez Utilisateurs.
  8. Dans le champ de recherche, entrez l'adresse e-mail que vous avez enregistrée dans Microsoft Active Directory.
  9. Dans les résultats de la recherche, vérifiez qu'un utilisateur existe avec la même adresse e-mail que l'utilisateur dans Microsoft Active Directory.
    Remarque

    Si l'utilisateur n'existe pas dans OCI IAM, sélectionnez Ajouter et créez-le avec la même adresse électronique que dans Microsoft Active Directory.
Vérifier que ADFS est en cours d'exécution

Vérifiez qu'ADFS est en cours d'exécution et que vous pouvez demander à l'utilisateur de se connecter.

  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    adfs.example.com est le nom d'hôte ADFS.
  2. Si nécessaire, sélectionnez Connexion à ce site. Sélectionnez Sign In (Connexion).
  3. Entrez les informations d'identification Microsoft Active Directory pour un utilisateur qui existe à la fois sur ADFS et OCI IAM (dans cet exemple, adfsuser01) et sélectionnez Connexion.

    Page de connexion ADFS

  4. Le message You are signed in s'affiche.

    Confirmation ADFS que vous êtes connecté

1. Créer ADFS en tant que IdP dans OCI IAM
  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    adfs.example.com est le nom d'hôte ADFS.
  2. Enregistrez le fichier FederationMetadata.xml. Vous allez utiliser ce fichier pour inscrire ADFS auprès d'OCI IAM.
  3. Dans la console OCI, accédez au domaine dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sélectionnez Sécurité, puis Fournisseurs d'identités.
  4. Sélectionnez Ajouter IdP, puis Ajouter un IdP SAML.
  5. Entrez le nom du fournisseur d'identités SAML IdP, par exemple ADFS_IdP. Sélectionnez Suivant.
  6. Sélectionnez Entrer les métadonnées IdP.
  7. Téléchargez les métadonnées du fournisseur de services OCI IAM en sélectionnant Exporter les métadonnées SAML.
    1. Sur la page Exporter les métadonnées SAML, sous Métadonnées avec des certificats auto-signés, sélectionnez Télécharger le XML.
      Remarque

      Utilisez des métadonnées avec des certificats auto-signés lorsque le fournisseur d'identités effectue des vérifications de liste de certificats révoqués ou OCSP sur des certificats émis par une autorité de certification. Dans ce tutoriel, ADFS effectue cette opération lors de la validation du chemin du certificat.
    2. Enregistrez le fichier à un emplacement approprié.
    3. Transférez le fichier Metadata.xml vers le serveur Windows où ADFS est géré. Vous allez utiliser ce fichier pour inscrire le domaine OCI IAM auprès d'ADFS.

    Exporter les métadonnées SAML pour OCI IAM

  8. Fermez la page Exporter les métadonnées SAML.
  9. Sélectionnez Importer les métadonnées IdP, puis Télécharger vers le serveur. Sélectionnez le fichier FederationMetadata.xml que vous avez enregistré précédemment dans ADFS, sélectionnez Ouvrir, puis Suivant.
  10. Dans l'identité de l'utilisateur Map, définissez les éléments suivants :
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut utilisateur du fournisseur d'identités, sélectionnez SAML assertion Name ID.
    • Sous Attribut utilisateur de domaine d'identité, sélectionnez Primary email address.

    Attributs de fournisseur d'identité SAML

  11. Sélectionnez Suivant.
  12. Sous Vérifier et créer, vérifiez les configurations et sélectionnez Créer IdP.
  13. Sélectionnez Activer.
  14. Sélectionnez Ajouter à la règle de stratégie IdP. L'ajout de l'élément ADFS IdP à une stratégie IdP permet de l'afficher sur l'écran de connexion à OCI IAM.

  15. Sélectionnez Stratégie de fournisseur d'identités par défaut pour l'ouvrir, puis sélectionnez le menu Actions (trois points) de la règle et sélectionnez Modifier la règle IdP.

    Menu contextuel affichant Modifier la règle de fournisseur d'identités

  16. Sélectionnez Affecter des fournisseurs d'identités, puis ADFS_IdP pour l'ajouter à la liste.

    ajouter ADFS en tant que fournisseur d'identités dans la règle IdP par défaut

  17. Sélectionnez Enregistrer les modifications.

A présent, ADFS est inscrit en tant que fournisseur d'identités dans OCI IAM.

Ensuite, vous enregistrez OCI IAM en tant que partie de confiance dans ADFS.

2. Inscription d'OCI IAM en tant que partie de confiance

Tout d'abord, enregistrez OCI IAM en tant que partie de confiance auprès d'ADFS. Configurez ensuite les règles de réclamation pour OCI IAM en tant que partie de confiance.

Enregistrer la partie réceptrice

  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Gestionnaire de serveurs Windows 2016, sélectionnez Outils, puis Microsoft Active Directory Federation Services Management.
  2. Sélectionnez Action, puis Ajouter une approbation de partie réceptrice.

  3. Dans la fenêtre Assistant d'ajout d'approbation de partie réceptrice, sélectionnez Démarrer.

    Ajouter un assistant de confiance de partie dépendante dans ADFS

  4. Sélectionnez Importer les données relatives à la partie réceptrice dans un fichier, puis sélectionnez Parcourir.

    Sélection de la source de données

  5. Sélectionnez Metadata.xml que vous avez téléchargé précédemment à partir d'OCI IAM, puis sélectionnez Suivant.

  6. Entrez un nom d'affichage, par exemple OCI IAM, et éventuellement une description sous Remarques. Sélectionnez Suivant.

    Définition du nom d'affichage

  7. Passez aux options par défaut jusqu'à ce que vous atteigniez l'étape Terminer, puis sélectionnez Fermer. La fenêtre Modifier les règles de déclaration s'ouvre.

    Modifier la fenêtre de déclaration

Configurer les règles de déclaration

Les règles de réclamation définissent les informations relatives à un utilisateur connecté envoyé à partir d'ADFS vers OCI IAM après l'authentification. Vous définissez ici deux règles de réclamation pour qu'OCI IAM agisse en tant que partie de confiance :

  • Adresse électronique : cette règle indique que l'adresse électronique de l'utilisateur est envoyée à OCI IAM dans l'assertion SAML.
  • ID de nom : cette règle indique que le résultat de la règle de courriel est envoyé à OCI IAM dans l'élément Objet NameID de l'assertion SAML.
  1. Dans la fenêtre Modifier les règles de déclaration, sélectionnez Ajouter une règle.
  2. Sélectionnez Envoyer les attributs LDAP en tant que réclamations comme modèle de règle de réclamation, puis sélectionnez Suivant.
  3. Dans la page Choisir un type de règle, fournissez les informations suivantes pour la règle d'e-mail :
    • Nom de la règle de déclaration : Email
    • Banque d'attributs : Active Directory
    • Mise en correspondance d'attributs LDAP avec des types de demande sortante :
      • Attribut LDAP : E-Mail-Addresses
      • Type de demande sortante : E-Mail Address

      Page Choisir un type de règle de l'assistant Ajouter une règle de demande de transformation.

  4. Cliquez sur Fin.
  5. Dans la fenêtre Modifier les règles de déclaration, sélectionnez Ajouter une règle pour ajouter la deuxième règle de déclaration.
  6. Sélectionnez Transformer une réclamation entrante en modèle de règle de réclamation, puis Suivant.
  7. Dans la page Choisir un type de règle, fournissez les informations suivantes pour la règle ID nom :
    • Nom de la règle de déclaration : Name ID
    • Type de réclamation entrante : E-Mail Address
    • Type de demande sortante : Name ID
    • Format d'ID de nom sortant : Email

    Page Choisir un type de règle de l'assistant Ajouter une règle de demande de transformation.

  8. Cliquez sur Fin.
  9. Dans la fenêtre Modifier les règles de réclamation pour Oracle Cloud, vérifiez que les règles Email et Name ID ont été créées.

    Confirmer que les deux réclamations sont présentes

A présent, ADFS et OCI IAM disposent de suffisamment d'informations pour établir l'authentification unique et vous pouvez tester l'intégration.

3. Tester l'authentification unique entre ADFS et OCI

Dans cette tâche, vous testez l'authentification entre OCI IAM et ADFS. Si l'authentification réussit, vous activez le fournisseur d'identités pour les utilisateurs finaux.

  1. Redémarrez le navigateur et entrez l'URL de la console pour accéder à la console OCI IAM :

    https://cloud.oracle.com

  2. Entrez le nom du compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  4. Sélectionnez le domaine pour lequel vous avez configuré ADFS IdP.
  5. Sélectionnez Sécurité, puis Fournisseurs d'identités.
  6. Sélectionnez l'entrée ADFS IdP.
  7. Sur la page de détails de IdP, sélectionnez Actions supplémentaires, puis Tester la connexion.
  8. Faites défiler l'écran jusqu'en bas et sélectionnez Tester la connexion.
  9. Dans la page de connexion ADFS, connectez-vous avec un utilisateur qui existe sur ADFS et OCI IAM.

    Page de connexion ADFS

  10. Le message de confirmation Votre connexion a réussi apparaît.

    Message de confirmation

Etapes suivantes

Félicitations ! Vous avez configuré SSO entre ADFS et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :