Documentation Oracle Cloud Infrastructure

Provisionnement JIT d'Intra ID vers OCI IAM

Dans ce tutoriel, vous configurez le provisionnement juste à temps (JIT) entre la console OCI et l'ID Entra, en utilisant l'ID Entra comme IdP.

Vous pouvez configurer le provisionnement JIT de sorte que les identités puissent être créées dans le système cible lors de l'exécution, au fur et à mesure qu'elles effectuent une demande d'accès au système cible.

Ce tutoriel présente les étapes suivantes :

  1. Configurez l'ID d'entrée IdP dans OCI IAM pour JIT.
  2. Mettez à jour la configuration de l'application OCI IAM dans Entra ID.
  3. Test que vous pouvez provisionner à partir d'Entra ID vers OCI IAM.
Remarque

Ce tutoriel est propre à IAM avec des domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Compte Oracle Cloud Infrastructure (OCI) payant ou compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Compte Entra ID avec l'un des rôles Entra ID suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application

En outre, vous devez avoir terminé le tutoriel SSO entre OCI et Microsoft Entra ID et collecté l'ID d'objet des groupes que vous allez utiliser pour le provisionnement JIT.

1. Configurer les attributs SAML envoyés par ID entrée

Pour que le provisionnement JIT fonctionne, les attributs SAML appropriés et requis doivent être configurés, qui seront envoyés dans l'assertion SAML à OCI IAM par ID d'entrée.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://entra.microsoft.com
  2. Accédez à Enterprise Applications.
  3. Sélectionnez l'application de console Oracle Cloud Infrastructure.
    Remarque

    Il s'agit de l'application que vous avez créée dans le cadre de SSO entre OCI et Microsoft Entra ID.
  4. Dans le menu de gauche, sélectionnez Accès avec connexion unique.
  5. Dans la section Attributs et revendications, sélectionnez Modifier.
  6. Vérifiez que les attributs sont correctement configurés :
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si vous avez besoin de nouvelles demandes de remboursement, ajoutez-les.

  7. Notez tous les noms de réclamation configurés. Par exemple :

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    est le nom de la réclamation pour First Name.

    Attributs et réclamations

  8. Accédez à Groupes. Vous verrez tous les groupes disponibles dans Entra ID.
  9. Notez les ID d'objet des groupes à inclure dans SAML à envoyer à OCI IAM.

    Détails du groupe dans l'ID entrée

Configurations d'ID entrée supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Sélectionnez la déclaration de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtre.
    • Pour L'attribut doit correspondre, sélectionnez Display Name.
    • Pour Mettre en correspondance avec, sélectionnez contains.
    • Pour String, indiquez le nom du groupe (par exemple, Administrators).

    Filtrer pour les groupes

Avec cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe d'administrateurs dans SAML.
Remarque

Les organisations peuvent ainsi envoyer uniquement les groupes requis vers OCI IAM à partir d'Entra ID.
2. Configuration des attributs JIT dans OCI IAM

Dans OCI IAM, mettez à jour l'ID d'entrée IdP pour JIT.

  1. Ouvrez un navigateur pris en charge, puis saisissez l'URL de la console :

    https://cloud.oracle.com

  2. Saisissez votre nom de compte Cloud, également appelé nom de location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité qui sera utilisé pour configurer SSO.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité.
  6. Sous Identité, sélectionnez Domaines.
  7. Sélectionnez le domaine d'identité dans lequel vous avez déjà configuré Entra ID en tant que IdP.
  8. Sélectionnez Sécurité dans le menu de gauche, puis Fournisseurs d'identités.
  9. Sélectionnez l'ID Entra IdP.
    Remarque

    Il s'agit de l'ID Entra IdP que vous avez créé dans le cadre de SSO entre OCI et l'ID Microsoft Entra.
  10. Dans la page Entra ID IdP, sélectionnez Configure JIT.

    Page de configuration du fournisseur d'identités Entra ID dans IAM

  11. Dans la page Configure Just-in-time (JIT), procédez comme suit :
    • Sélectionnez Provisionnement juste à temps (JIT).
    • Sélectionnez Créer un utilisateur du domaine d'identité.
    • Sélectionnez Mettre à jour l'utilisateur de domaine d'identité existant.

    activer le provisionnement juste à temps

  12. Sous Mettre en correspondance les attributs d'utilisateur :
    1. Laissez la première ligne de NameID inchangée.
    2. Pour les autres attributs, sous Attribut utilisateur IdP, sélectionnez Attribute.
    3. Indiquez le nom d'attribut utilisateur IdP comme suit :
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Sélectionnez Ajouter une ligne et entrez : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Pour l'attribut utilisateur de domaine d'identité, choisissez First name.

      Remarque

      Le nom d'affichage complet (FQDN) provient de 1. Configurer les attributs SAML envoyés par ID entrée.

    Ce diagramme montre à quoi doivent ressembler les attributs utilisateur dans OCI IAM (à droite) et la correspondance des attributs utilisateur entre Entra ID et OCI IAM.

    Mise en correspondance des attributs utilisateur entre Entra ID et OCI IAM

  13. Sélectionnez Affecter une correspondance de groupe.
  14. Entrez le nom d'attribut d'appartenance au groupe : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Sélectionnez Définir des mises en correspondance d'appartenances de groupe explicites.
  16. Dans IdP Nom de groupe, indiquez l'ID d'objet du groupe dans Entra ID de l'étape précédente.
  17. Dans Nom de groupe de domaines d'identité, sélectionnez le groupe dans OCI IAM vers lequel mettre en correspondance le groupe d'ID d'entrée.

    Affecter des mappages de groupe

    Ce diagramme montre à quoi doivent ressembler les attributs de groupe dans OCI IAM (à droite) et la correspondance des attributs de groupe entre Entra ID et OCI IAM.

    Mise en correspondance des attributs de groupe entre Entra ID et OCI IAM

  18. Sous Règles d'affectation, sélectionnez les éléments suivants :
    1. Lors de l'affectation d'appartenances à un groupe : fusion avec des appartenances à un groupe existant
    2. Quand un groupe est introuvable : ignorez le groupe manquant.

    définition des règles d'affectation

    Remarque

    Sélectionnez des options en fonction des exigences de votre organisation.
  19. Sélectionnez Enregistrer les modifications.
3. Tester le provisionnement JIT entre Entra ID et OCI
Dans cette section, vous pouvez vérifier que le provisionnement JIT fonctionne entre Entra ID et OCI IAM.
  1. Dans la console Entra ID, créez un utilisateur avec un ID de courriel absent d'OCI IAM.

  2. Affectez l'utilisateur aux groupes obligatoires.

    affecter l'utilisateur à des groupes

  3. Dans le navigateur, ouvrez la console OCI.
  4. Sélectionnez le domaine d'identité dans lequel la configuration JIT a été activée.
  5. Sélectionnez Suivant.
  6. Dans les options de connexion, sélectionnez Entra ID.
  7. Dans la page de connexion à Microsoft, entrez l'ID utilisateur que vous venez de créer.

    Page de connexion Microsoft

  8. Une fois l'authentification réussie à partir de Microsoft :
    • Le compte utilisateur est créé dans OCI IAM.
    • L'utilisateur est connecté à la console OCI.

    Mon profil dans OCI IAM pour l'utilisateur

  9. Dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres utilisateur. Vérifiez les propriétés utilisateur telles que l'ID courriel, le prénom, le nom et les groupes associés.

    Vérifier les propriétés utilisateur dans OCI IAM

Etapes suivantes

Félicitations ! Vous avez configuré le provisionnement JIT entre Entra ID et OCI IAM.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :