Provisionnement JIT d'Azure AD à OCI IAM
Dans ce tutoriel, vous configurez le provisionnement juste à temps (JIT) entre la console OCI et Azure AD, à l'aide d'Azure AD en tant que IdP.
Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.
Ce tutoriel présente les étapes suivantes :
- Configurez Azure AD IdP dans OCI IAM pour JIT.
- Mettez à jour la configuration de l'application OCI IAM dans Azure AD.
- Testez le provisionnement à partir d'Azure AD vers OCI IAM.
Ce tutoriel est propre à IAM avec domaines d'identité.
Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :
-
Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.
- Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
- Un compte Azure AD avec l'un des rôles Azure AD suivants :
- Administrateur global
- Administrateur d'application cloud
- Administrateur d'application
En outre, vous devez avoir effectué le tutoriel SSO Between OCI and Microsoft Azure et recueilli l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.
Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par Azure AD.
- Dans le navigateur, connectez-vous à Microsoft Azure à l'aide de l'URL:
https://portal.azure.com
- Accédez à Azure Active Directory et cliquez sur Applications d'entreprise.
- Cliquez sur l'application de la console Oracle Cloud Infrastructure.Remarque
Il s'agit de l'application que vous avez créée dans le cadre de SSO entre OCI et Microsoft Azure. - Dans le menu de gauche, cliquez sur Connexion unique.
- Dans la section Attributs et revendications, cliquez sur Modifier.
- Vérifiez que les attributs sont correctement configurés :
NameID
Email Address
First Name
Last Name
Si vous avez besoin de nouvelles réclamations, ajoutez-les.
- Notez tous les noms de réclamation configurés. Par exemple :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
est le nom de la réclamation pour
First Name
. - Sous Azure Active Directory, accédez à Groupes. Vous verrez tous les groupes disponibles dans Azure AD.
- Notez les ID d'objet des groupes qui souhaitent faire partie de SAML à envoyer à OCI IAM.
Configurations Azure AD supplémentaires
Dans Azure AD, vous pouvez filtrer les groupes en fonction du nom du groupe, ou de l'attribut sAMAccountName
.
Par exemple, supposons que seul le groupe Administrators
doit être envoyé à l'aide de SAML :
- Cliquez sur la demande du groupe.
- Dans Réclamations de groupe, développez Options avancées.
- Sélectionnez Groupes de filtres.
- Pour Attribut à mettre en correspondance, sélectionnez
Display Name
. - Pour Correspondance avec, sélectionnez
contains
. - Pour String, indiquez le nom du groupe, par exemple
Administrators
.
- Pour Attribut à mettre en correspondance, sélectionnez
Les organisations peuvent ainsi envoyer uniquement les groupes requis à OCI IAM à partir d'Azure AD.
Dans OCI IAM, mettez à jour Azure AD IdP pour JIT.
-
Ouvrez un navigateur pris en charge et saisissez l'URL de la console :
- Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
- Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
- Connectez-vous avec votre nom utilisateur et votre mot de passe.
- Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
- Sous Identité, cliquez sur Domaines.
- Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré Azure AD en tant que IdP.
- Cliquez sur Sécurité dans le menu de gauche, puis sur Fournisseurs d'identités.
- Cliquez sur Azure AD IdP.Remarque
Il s'agit du IdP Azure AD que vous avez créé dans le cadre du SSO entre OCI et Microsoft Azure. - Sur la page Azure AD IdP, cliquez sur Configurer JIT.
- Dans la page Configure Just-in-time provisioning (JIT) :
- Sélectionnez Provisionnement instantané.
- Sélectionnez Créer un utilisateur de domaine d'identité.
- Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.
- Sous Mettre en correspondance les attributs utilisateur :
- Laissez la première ligne de
NameID
inchangée. - Pour les autres attributs, sous IdP user attribute, sélectionnez
Attribute
. - Indiquez le nom d'attribut utilisateur IdP comme suit :
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Cliquez sur Ajouter une ligne et entrez
http://schemas.xmlsoap.ohttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
.Pour l'attribut utilisateur de domaine d'identité, choisissez
First name
.Remarque
Le nom d'affichage complet (FQDN) provient de 1. Configurez les attributs SAML envoyés par Azure AD.
Ce diagramme montre à quoi doivent ressembler les attributs utilisateur dans OCI IAM (à droite) et la mise en correspondance des attributs utilisateur entre Azure AD et OCI IAM.
- Laissez la première ligne de
- Sélectionnez Affecter un mappage de groupe.
- Entrez le nom d'attribut d'appartenance au groupe :
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
. - Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
- Dans IdP Group name, indiquez l'ID d'objet du groupe dans Azure AD à partir de l'étape précédente.
- Dans Nom de groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM avec lequel mettre en correspondance le groupe Azure AD.
Ce diagramme montre à quoi doivent ressembler les attributs de groupe dans OCI IAM (à droite) et la mise en correspondance des attributs de groupe entre Azure AD et OCI IAM.
- Sous Règles d'affectation, sélectionnez les éléments suivants :
- Lors de l'affectation d'appartenances à des groupes : Fusionner avec des appartenances de groupe existantes
- Lorsqu'un groupe est introuvable : ignorer le groupe manquant
Remarque
Sélectionnez des options en fonction des besoins de votre organisation. - Cliquez sur Enregistrer les modifications.
- Dans la console Azure AD, créez un utilisateur avec un ID de courriel qui n'est pas présent dans OCI IAM.
-
Affectez l'utilisateur aux groupes requis.
- Dans le navigateur, ouvrez la console OCI.
- Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
- Cliquez sur Suivant.
- Dans les options de connexion, cliquez sur Azure AD.
- Sur la page de connexion Azure, entrez l'ID utilisateur nouvellement créé.
- En cas de réussite de l'authentification à partir d'Azure :
- Le compte utilisateur est créé dans OCI IAM.
- L'utilisateur est connecté à la console OCI.
- Sélectionnez le menu Profil (
), situé dans la partie supérieure droite de la barre de navigation en haut de la page, puis cliquez sur Mon profil. Vérifiez les propriétés utilisateur telles que l'ID de courriel, le prénom, le nom et les groupes associés.
Félicitations ! Vous avez configuré le provisionnement JIT entre Azure AD et OCI IAM.
Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :