Documentation Oracle Cloud Infrastructure

SSO entre OCI et ADFS

Dans ce tutoriel, configurez SSO entre OCI IAM et ADFS, en utilisant ADFS en tant que fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous montre comment intégrer OCI IAM, qui sert de fournisseur de services, à ADFS, qui sert de IdP. En configurant la fédération entre ADFS et OCI IAM, vous autorisez les utilisateurs à accéder aux services et aux applications dans OCI à l'aide d'informations d'identification utilisateur authentifiées par ADFS.

Ce tutoriel explique comment configurer ADFS en tant que IdP pour OCI IAM.

OCI IAM fournit une intégration avec SAML 2.0 IdPs. Cette intégration :

  • Fonctionne avec les solutions SSO (accès avec connexion unique) fédérées qui sont compatibles avec SAML 2.0 en tant que IdP, par exemple ADFS.
  • Permet aux utilisateurs de se connecter à OCI à l'aide de leurs informations d'identification ADFS.
  • Permet aux utilisateurs de se connecter pour mettre fin aux applications.
  1. Tout d'abord, téléchargez les métadonnées à partir du domaine d'identité OCI IAM.
  2. Dans les étapes suivantes, vous allez créer et configurer une partie réceptrice dans ADFS.
  3. Dans ADFS, configurez SSO avec OCI IAM à l'aide des métadonnées.
  4. Dans ADFS, modifiez les attributs et les revendications de sorte que l'adresse électronique soit utilisée comme identificateur pour les utilisateurs.
  5. Dans ADFS, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous allez revenir au domaine d'identité afin de terminer la configuration. Dans OCI IAM, mettez à jour la stratégie IdP par défaut pour ajouter ADFS.
  7. Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et ADFS.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Installation ADFS sur site.
    Remarque

    Ce tutoriel décrit l'utilisation du logiciel ADFS fourni avec Microsoft Windows Server 2016 R2.
  • En outre, vous devez vérifier que le même utilisateur existe dans OCI et ADFS, et que ADFS fonctionne.
Création du même utilisateur sur les deux systèmes

Assurez-vous qu'un utilisateur avec la même adresse électronique existe dans les deux systèmes.

Pour que la connexion unique SAML fonctionne entre ADFS et OCI IAM, un utilisateur doit avoir la même adresse électronique dans le domaine Microsoft Active Directory et le domaine d'identité OCI IAM. Dans cette tâche, vous confirmez qu'un tel utilisateur existe sur les deux systèmes.

  1. Ouvrez l'utilitaire Microsoft Active Directory Users and Computers. Dans le serveur Windows 2016, cliquez sur Gestionnaire de serveur, sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.
  2. Dans le dossier Employés, cliquez deux fois sur l'utilisateur à utiliser. Notez l'adresse électronique de l'utilisateur.
    ADFS USER(adfsuser01@gmail.com)

    Utilisateur dans l'utilitaire Utilisateurs et ordinateurs Active Directory

    Remarque

    Si plusieurs utilisateurs du domaine OCI IAM ont la même adresse électronique, la connexion unique SAML échoue car il est impossible de déterminer quel utilisateur doit être connecté.

    • L'adresse électronique de l'utilisateur est utilisée pour lier l'utilisateur connecté à ADFS avec l'entrée du même utilisateur dans OCI IAM.
    • Si vous n'avez pas d'utilisateur ADFS pour tester la connexion, vous pouvez en créer une.
  3. Dans un navigateur, entrez l'URL de la console pour accéder à la console OCI IAM :

    https://cloud.oracle.com

  4. Entrez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  5. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  6. Sélectionnez le domaine que vous allez utiliser.
  7. Cliquez sur Utilisateurs.
  8. Dans le champ de recherche, saisissez l'adresse électronique que vous avez enregistrée à partir de Microsoft Active Directory.
  9. Dans les résultats de la recherche, confirmez qu'un utilisateur existe avec la même adresse électronique que l'utilisateur dans Microsoft Active Directory.
    Remarque

    Si l'utilisateur n'existe pas dans OCI IAM, cliquez sur Ajouter et créez l'utilisateur avec la même adresse électronique que dans Microsoft Active Directory.
Vérifier que ADFS est en cours d'exécution

Vérifiez que ADFS est en cours d'exécution et que vous pouvez demander à l'utilisateur de se connecter.

  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    adfs.example.com est votre nom d'hôte ADFS.
  2. Si nécessaire, sélectionnez Se connecter à ce site. Cliquez sur Connexion.
  3. Entrez les informations d'identification Microsoft Active Directory d'un utilisateur existant à la fois sur ADFS et OCI IAM (dans cet exemple, adfsuser01), puis cliquez sur Connexion.

    Page de connexion ADFS

  4. Le message You are signed in apparaît.

    Confirmation ADFS de votre connexion

1. Création d'ADFS en tant que IdP dans OCI IAM
  1. Dans le navigateur, connectez-vous à ADFS à l'aide de l'URL : 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    adfs.example.com est votre nom d'hôte ADFS.
  2. Enregistrez le fichier FederationMetadata.xml. Vous utiliserez ce fichier pour inscrire ADFS auprès d'OCI IAM.
  3. Dans la console OCI, accédez au domaine dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Cliquez sur Security, puis sur Identity providers.
  4. Cliquez sur Ajouter un fournisseur d'identités, puis sur Ajouter un fournisseur d'identités SAML.
  5. Entrez le nom du IdP SAML, par exemple ADFS_IdP. Cliquez sur Suivant.
  6. Cliquez sur Entrer les métadonnées IdP.
  7. Téléchargez les métadonnées du fournisseur de services OCI IAM en cliquant sur Exporter les métadonnées SAML.
    1. Sur la page Exporter les métadonnées SAML, sous Métadonnées avec certificats auto-signés, cliquez sur Télécharger le XML.
      Remarque

      Utilisez des métadonnées avec des certificats auto-signés lorsque le fournisseur d'identités effectue des vérifications CRL ou OCSP sur des certificats émis par une autorité de certification. Dans ce tutoriel, ADFS effectue cette opération lors de la validation du chemin de certificat.
    2. Enregistrez le fichier à l'emplacement approprié.
    3. Transférez le fichier Metadata.xml vers le serveur Windows sur lequel ADFS est géré. Vous utiliserez ce fichier pour inscrire le domaine OCI IAM auprès d'ADFS.

    Export des métadonnées SAML pour OCI IAM

  8. Fermez la page Exporter les métadonnées SAML.
  9. Cliquez sur Importer les métadonnées IdP, puis sur Télécharger vers le serveur. Sélectionnez le fichier FederationMetadata.xml que vous avez enregistré précédemment dans ADFS, cliquez sur Ouvrir, puis sur Suivant.
  10. Dans l'identité de l'utilisateur Map, définissez ce qui suit :
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut utilisateur de fournisseur d'identités, sélectionnez SAML assertion Name ID.
    • Sous Attribut utilisateur de domaine d'identité, sélectionnez Primary email address.

    Attributs de fournisseur d'identités SAML

  11. Cliquez sur Suivant.
  12. Sous Vérifier et créer, vérifiez les configurations, puis cliquez sur Créer IdP.
  13. Cliquez sur Activer.
  14. Cliquez sur Ajouter à la règle de stratégie IdP. L'ajout de ADFS IdP à une stratégie IdP permet de l'afficher sur l'écran de connexion OCI IAM.

  15. Cliquez sur Stratégie de fournisseur d'identités par défaut pour l'ouvrir, puis cliquez sur le menu Actions (Menu Actions) de la règle et cliquez sur Modifier la règle IdP.

    Menu contextuel affichant Modifier la règle de fournisseur d'identités

  16. Cliquez sur Affecter des fournisseurs d'identités, puis sur ADFS_IdP pour l'ajouter à la liste.

    ajout d'ADFS en tant que fournisseur d'identités dans la règle IdP par défaut

  17. Cliquez sur Enregistrer les modifications.

A présent, ADFS est inscrit en tant que fournisseur d'identités dans OCI IAM.

Vous pouvez ensuite inscrire OCI IAM en tant que partie réceptrice sécurisée dans ADFS.

2. Inscription d'OCI IAM en tant que partie de confiance

Commencez par inscrire OCI IAM en tant que partie réceptrice auprès d'ADFS. Configurez ensuite les règles de réclamation pour OCI IAM en tant que partie réceptrice.

Enregistrer la partie réceptrice

  1. Ouvrez l'utilitaire de gestion ADFS. Par exemple, dans l'utilitaire Gestionnaire de serveur de Windows 2016, cliquez sur Outils, puis sur Microsoft Active Directory Federation Services Management.
  2. Cliquez sur Action, puis sur Ajouter une approbation de partie réceptrice.

  3. Dans la fenêtre Assistant Ajout d'approbation de partie de confiance, cliquez sur Démarrer.

    Ajouter un assistant de confiance de partie réceptrice dans ADFS

  4. Sélectionnez Importer des données sur la partie réceptrice à partir d'un fichier, puis cliquez sur Parcourir.

    Sélectionner une source de données

  5. Sélectionnez Metadata.xml que vous avez téléchargé précédemment à partir d'OCI IAM, puis cliquez sur Suivant.

  6. Entrez un nom d'affichage, par exemple OCI IAM, et éventuellement une description sous Remarques. Cliquez sur Suivant.

    Définir le nom d'affichage

  7. Continuez avec les options par défaut jusqu'à l'étape Terminer, puis cliquez sur Fermer. La fenêtre Modifier les règles de déclaration s'ouvre.

    Fenêtre Modifier les déclarations

Configurer les règles de réclamation

Les règles de réclamation définissent les informations relatives à un utilisateur connecté envoyé par ADFS à OCI IAM après une authentification réussie. Ici, vous définissez deux règles de réclamation pour qu'OCI IAM agisse en tant que partie réceptrice :

  • Courriel : cette règle indique que l'adresse électronique de l'utilisateur est envoyée à OCI IAM dans l'assertion SAML.
  • ID de nom : cette règle indique que le résultat de la règle d'e-mail est envoyé à OCI IAM dans l'élément NameID du sujet de l'assertion SAML.
  1. Dans la fenêtre Modifier les règles de revendication, cliquez sur Ajouter une règle.
  2. Sélectionnez Transformer une réclamation entrante en tant que modèle de règle de réclamation, puis cliquez sur Suivant.
  3. Dans la page Choisir un type de règle, fournissez les informations suivantes pour la règle d'e-mail :
    • Nom de la règle de réclamation : Email
    • Banque d'attributs : Active Directory
    • Mise en correspondance des attributs LDAP avec les types de réclamation sortants :
      • Attribut LDAP : E-Mail-Addresses
      • Type de réclamation sortante : E-Mail Address

      Sélectionnez la page Type de règle de l'assistant Ajouter une règle de déclaration de transformation.

  4. Cliquez sur Fin.
  5. Dans la fenêtre Modifier les règles de revendication, cliquez sur Ajouter une règle pour ajouter la deuxième règle de revendication.
  6. Sélectionnez Envoyer les attributs LDAP en tant que réclamations en tant que modèle de règle de réclamation, puis cliquez sur Suivant.
  7. Dans la page Choose Rule Type, fournissez les informations suivantes pour la règle Name ID :
    • Nom de la règle de revendication : Name ID
    • Type de réclamation entrant : E-Mail Address
    • Type de revendication sortante : Name ID
    • Format d'ID de nom sortant : Email

    Sélectionnez la page Type de règle de l'assistant Ajouter une règle de déclaration de transformation.

  8. Cliquez sur Fin.
  9. Dans la fenêtre Modifier les règles de réclamation pour Oracle Cloud, vérifiez que les règles d'adresse électronique et d'ID nom ont été créées.

    Confirmer la présence des deux réclamations

Aujourd'hui, ADFS et OCI IAM disposent de suffisamment d'informations pour établir SSO et vous pouvez tester l'intégration.

3. Test de SSO entre ADFS et OCI

Dans cette tâche, vous testez l'authentification entre OCI IAM et ADFS. Si l'authentification réussit, vous activez le fournisseur d'identités pour les utilisateurs finaux.

  1. Redémarrez le navigateur et entrez l'URL de la console pour accéder à la console OCI IAM :

    https://cloud.oracle.com

  2. Entrez le nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  4. Sélectionnez le domaine pour lequel vous avez configuré le domaine ADFS IdP.
  5. Cliquez sur Security, puis sur Identity Providers.
  6. Cliquez sur l'entrée ADFS IdP.
  7. Sur la page de détails de IdP, cliquez sur Actions supplémentaires, puis sur Tester la connexion.
  8. Faites défiler l'affichage vers le bas et cliquez sur Tester la connexion.
  9. Sur la page de connexion ADFS, connectez-vous avec un utilisateur existant sur ADFS et OCI IAM.

    Page de connexion ADFS

  10. Le message de confirmation Your connection is successful s'affiche.

    Message de confirmation.

Etapes suivantes

Félicitations ! Vous avez configuré SSO entre ADFS et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :