Documentation Oracle Cloud Infrastructure

Provisionnement JIT d'Azure AD à OCI IAM

Dans ce tutoriel, vous configurez le provisionnement juste à temps (JIT) entre la console OCI et Azure AD, à l'aide d'Azure AD en tant que IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel présente les étapes suivantes :

  1. Configurez Azure AD IdP dans OCI IAM pour JIT.
  2. Mettez à jour la configuration de l'application OCI IAM dans Azure AD.
  3. Testez le provisionnement à partir d'Azure AD vers OCI IAM.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Un compte Azure AD avec l'un des rôles Azure AD suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application

En outre, vous devez avoir effectué le tutoriel SSO Between OCI and Microsoft Azure et recueilli l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par Azure AD

Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par Azure AD.

  1. Dans le navigateur, connectez-vous à Microsoft Azure à l'aide de l'URL:
    https://portal.azure.com
  2. Accédez à Azure Active Directory et cliquez sur Applications d'entreprise.
  3. Cliquez sur l'application de la console Oracle Cloud Infrastructure.
    Remarque

    Il s'agit de l'application que vous avez créée dans le cadre de SSO entre OCI et Microsoft Azure.
  4. Dans le menu de gauche, cliquez sur Connexion unique.
  5. Dans la section Attributs et revendications, cliquez sur Modifier.
  6. Vérifiez que les attributs sont correctement configurés :
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si vous avez besoin de nouvelles réclamations, ajoutez-les.

  7. Notez tous les noms de réclamation configurés. Par exemple :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    est le nom de la réclamation pour First Name.

    Attributs et réclamations

  8. Sous Azure Active Directory, accédez à Groupes. Vous verrez tous les groupes disponibles dans Azure AD.
  9. Notez les ID d'objet des groupes qui souhaitent faire partie de SAML à envoyer à OCI IAM.

    Détails du groupe dans Azure AD

Configurations Azure AD supplémentaires

Dans Azure AD, vous pouvez filtrer les groupes en fonction du nom du groupe, ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Cliquez sur la demande du groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour String, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

Avec cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Azure AD envoie uniquement le groupe Administrateurs dans SAML.
Remarque

Les organisations peuvent ainsi envoyer uniquement les groupes requis à OCI IAM à partir d'Azure AD.
2. Configurer des attributs JIT dans OCI IAM

Dans OCI IAM, mettez à jour Azure AD IdP pour JIT.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
  6. Sous Identité, cliquez sur Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré Azure AD en tant que IdP.
  8. Cliquez sur Sécurité dans le menu de gauche, puis sur Fournisseurs d'identités.
  9. Cliquez sur Azure AD IdP.
    Remarque

    Il s'agit du IdP Azure AD que vous avez créé dans le cadre du SSO entre OCI et Microsoft Azure.
  10. Sur la page Azure AD IdP, cliquez sur Configurer JIT.

    Page de configuration du fournisseur d'identités Azure AD dans IAM

  11. Dans la page Configure Just-in-time provisioning (JIT) :
    • Sélectionnez Provisionnement instantané.
    • Sélectionnez Créer un utilisateur de domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer uniquement le provisionnement dans le temps

  12. Sous Mettre en correspondance les attributs utilisateur :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous IdP user attribute, sélectionnez Attribute.
    3. Indiquez le nom d'attribut utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Cliquez sur Ajouter une ligne et entrez http://schemas.xmlsoap.ohttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Pour l'attribut utilisateur de domaine d'identité, choisissez First name.

      Remarque

      Le nom d'affichage complet (FQDN) provient de 1. Configurez les attributs SAML envoyés par Azure AD.

    Ce diagramme montre à quoi doivent ressembler les attributs utilisateur dans OCI IAM (à droite) et la mise en correspondance des attributs utilisateur entre Azure AD et OCI IAM.

    Mappage des attributs utilisateur entre Azure AD et OCI IAM

  13. Sélectionnez Affecter un mappage de groupe.
  14. Entrez le nom d'attribut d'appartenance au groupe : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Dans IdP Group name, indiquez l'ID d'objet du groupe dans Azure AD à partir de l'étape précédente.
  17. Dans Nom de groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM avec lequel mettre en correspondance le groupe Azure AD.

    Affecter des mappages de groupes

    Ce diagramme montre à quoi doivent ressembler les attributs de groupe dans OCI IAM (à droite) et la mise en correspondance des attributs de groupe entre Azure AD et OCI IAM.

    Mappage des attributs de groupe entre Azure AD et OCI IAM

  18. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances à des groupes : Fusionner avec des appartenances de groupe existantes
    2. Lorsqu'un groupe est introuvable : ignorer le groupe manquant

    définition des règles d'affectation

    Remarque

    Sélectionnez des options en fonction des besoins de votre organisation.
  19. Cliquez sur Enregistrer les modifications.
3. Test du provisionnement JIT entre Azure AD et OCI
Dans cette section, vous pouvez tester le fonctionnement du provisionnement JIT entre Azure AD et OCI IAM.
  1. Dans la console Azure AD, créez un utilisateur avec un ID de courriel qui n'est pas présent dans OCI IAM.

  2. Affectez l'utilisateur aux groupes requis.

    affecter l'utilisateur à des groupes

  3. Dans le navigateur, ouvrez la console OCI.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Cliquez sur Suivant.
  6. Dans les options de connexion, cliquez sur Azure AD.
  7. Sur la page de connexion Azure, entrez l'ID utilisateur nouvellement créé.

    Page de connexion Azure

  8. En cas de réussite de l'authentification à partir d'Azure :
    • Le compte utilisateur est créé dans OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  9. Sélectionnez le menu Profil (Icône de menu Profil), situé dans la partie supérieure droite de la barre de navigation en haut de la page, puis cliquez sur Mon profil. Vérifiez les propriétés utilisateur telles que l'ID de courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés utilisateur dans OCI IAM

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre Azure AD et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :