Documentation Oracle Cloud Infrastructure

Provisionnement JIT de l'ID Entra vers OCI IAM

Dans ce tutoriel, vous configurez le provisionnement juste-à-temps (JIT) entre la console OCI et l'ID Entra, en utilisant l'ID Entra comme IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel traite des étapes suivantes :

  1. Configurez l'ID Entra IdP dans OCI IAM pour JIT.
  2. Mettez à jour la configuration de l'application OCI IAM dans l'ID Entra.
  3. Vérifiez que vous pouvez provisionner à partir d'Entra ID vers OCI IAM.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Un compte Entra ID avec l'un des rôles Entra ID suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application

En outre, vous devez avoir terminé le tutoriel SSO Between OCI and Microsoft Entra ID et collecté l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par l'ID Entra

Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par ID Entra.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://entra.microsoft.com
  2. Accédez à Applications d'entreprise.
  3. Sélectionnez l'application de console Oracle Cloud Infrastructure.
    Remarque

    Il s'agit de l'application que vous avez créée dans le cadre de SSO entre OCI et l'ID Microsoft Entra.
  4. Dans le menu de gauche, sélectionnez Accès avec connexion unique.
  5. Dans la section Attributs et déclarations, sélectionnez Modifier.
  6. Vérifiez que les attributs sont configurés correctement :
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si vous avez besoin de nouvelles demandes de remboursement, ajoutez-les.

  7. Notez tous les noms de réclamation configurés. Par exemple :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    est le nom de la demande pour First Name.

    Attributs et revendications

  8. Accédez à Groupes. Vous verrez tous les groupes disponibles dans Entra ID.
  9. Notez les ID d'objet des groupes qui doivent faire partie de SAML à envoyer à OCI IAM.

    Détails du groupe dans l'ID Entra

Configurations d'ID entra supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction de l'attribut de nom de groupe, ou sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé via SAML :

  1. Sélectionnez la demande de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Dans Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

Avec cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe d'administrateurs dans SAML.
Remarque

Cela aide les organisations à envoyer uniquement les groupes requis à OCI IAM à partir de l'ID Entra.
2. Configuration d'attributs JIT dans OCI IAM

Dans OCI IAM, mettez à jour l'ID Entra IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré l'ID Entra en tant que IdP.
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez l'ID Entra IdP.
    Remarque

    Il s'agit de l'ID Entra IdP que vous avez créé dans le cadre de SSO entre OCI et Microsoft Entra ID.
  10. Sur la page ID Entra IdP, sélectionnez Configurer JIT.

    Page de configuration du fournisseur d'identités d'ID Entra dans IAM

  11. Dans la page Configure Just-in-time provisioning :
    • Sélectionnez Provisionnement ponctuel.
    • Sélectionnez Créer un utilisateur de domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer le provisionnement juste à temps

  12. Sous Map User attributes :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom de l'attribut utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une ligne et entrez : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Pour l'attribut utilisateur de domaine d'identité, choisissez First name.

      Remarque

      Le nom d'affichage qualifié complet provient de 1. Configurer les attributs SAML envoyés par l'ID Entra.

    Ce diagramme présente l'aspect des attributs utilisateur dans OCI IAM (à droite) et la mise en correspondance des attributs utilisateur entre Entra ID et OCI IAM.

    Mise en correspondance des attributs utilisateur entre l'ID Entra et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom de l'attribut d'appartenance au groupe : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Dans IdP Nom du groupe, indiquez l'ID d'objet du groupe dans l'ID Entra de l'étape précédente.
  17. Dans Nom de groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM avec lequel mettre en correspondance le groupe d'ID Entra.

    Affecter des mappages de groupes

    Ce diagramme présente l'aspect des attributs de groupe dans OCI IAM (à droite) et la mise en correspondance des attributs de groupe entre Entra ID et OCI IAM.

    Mise en correspondance des attributs de groupe entre l'ID Entra et OCI IAM

  18. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances de groupe : fusionnez avec des appartenances de groupe existantes
    2. Lorsqu'un groupe est introuvable : ignorez le groupe manquant.

    définition des règles d'affectation

    Remarque

    Sélectionnez des options en fonction des besoins de votre organisation.
  19. Sélectionnez Enregistrer les modifications.
3. Test du provisionnement JIT entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Entra ID et OCI IAM.
  1. Dans la console Entra ID, créez un utilisateur avec un ID courriel qui n'est pas présent dans OCI IAM.

  2. Affectez l'utilisateur aux groupes requis.

    affectation d'un utilisateur à des groupes

  3. Dans le navigateur, ouvrez la console OCI.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Sélectionnez Suivant.
  6. Dans les options de connexion, sélectionnez Entra ID.
  7. Sur la page de connexion Microsoft, entrez l'ID utilisateur nouvellement créé.

    Page de connexion Microsoft

  8. Lors d'une authentification réussie à partir de Microsoft :
    • Le compte utilisateur est créé dans OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  9. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres d'utilisateur ou Mon profil, selon l'option que vous voyez. Vérifiez les propriétés utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérification des propriétés utilisateur dans OCI IAM

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre l'ID Entra et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :