Documentation Oracle Cloud Infrastructure

Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery

Configurez l'ID Entra en tant que banque d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie d'ID Entra.

  1. Configurez OCI IAM de sorte qu'Entra ID soit la banque d'identités qui gère les identités dans OCI IAM. Dans OCI IAM, créez une application confidentielle.
  2. Générez un jeton secret à partir de l'ID client et de la clé secrète client du domaine d'identité OCI IAM. Utilisez ceci, avec l'URL du domaine, dans l'ID Entra.
  3. Créez une application dans l'ID Entra, utilisez le jeton secret et l'URL de domaine d'identité pour indiquer le domaine d'identité OCI IAM, et vérifiez son fonctionnement en propageant les utilisateurs de l'ID Entra vers OCI IAM.
  4. Affectez les utilisateurs et les groupes à provisionner sur OCI IAM à l'application Entra ID.
  1. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Empêchez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
1. Création d'une application confidentielle

Dans cette section, vous configurez Entra ID pour qu'il agisse en tant que gestionnaire d'identités afin que les comptes utilisateur soient synchronisés entre Entra ID et OCI IAM.

  1. Dans le domaine d'identité dans lequel vous travaillez, sélectionnez Applications.
  2. Sélectionnez Ajouter une application, puis Application confidentielle et Lancer le workflow.

    Application confidentielle

  3. Entrez le nom de l'application, par exemple Entra ID, puis sélectionnez Suivant.
  4. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    Configurer l'application en tant que client

  5. Sous Autorisation, vérifiez les informations d'identification client.

    Configurer l'application pour les informations d'identification client

  6. Sous Type de client, sélectionnez Confidentiel.
  7. Faites défiler vers le bas et, dans la section Stratégie d'émission de jeton, définissez Ressources autorisées sur Spécifique.

    Stratégie d'émission de jeton

  8. Sélectionnez Ajouter des rôles d'application.
  9. Dans la section Rôles d'application, sélectionnez Ajouter des rôles. Sur la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs, puis Ajouter.

    Ajouter des rôles d'application

  10. Sélectionnez Suivant, puis Terminer.
  11. Sur la page de présentation de l'application, sélectionnez Activer et confirmez l'activation de l'application.

    L'application confidentielle est activée.

2. Recherche de l'URL de domaine et génération d'un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion de l'application d'entreprise que vous créez dans Entra ID :

  • URL de domaine
  • Jeton secret généré à partir de l'ID client et de la clé secrète client
  1. Revenez à la présentation du domaine d'identité en sélectionnant son nom dans le chemin de navigation. Sélectionnez Copier en regard de l'URL du domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

  2. Dans l'application confidentielle dans OCI IAM, sélectionnez OAuth, configuration sous Ressources.
  3. Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
  4. Copiez l'ID client et stockez-le.
  5. Sélectionnez Afficher la clé secrète, copiez-la et stockez-la.

    ID et clé secrète du client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton secret sous Windows, Linux ou MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powershell pour générer le codage base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    Sous Linux, utilisez
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Dans MacOS, utilisez :
    echo -n <clientID>:<clientsecret> | base64
    Le jeton secret est renvoyé. Par exemple :
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton secret.

3. Créer une application OCI sur l'ID Entra

Configurez l'ID Entra pour permettre à Entra ID d'être la banque d'identités faisant autorité pour gérer les identités dans IAM.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise.

    Ajouter une application d'entreprise

  4. Sur la page Applications Enterprise, sélectionnez Nouvelle application, puis Oracle.
  5. Sélectionnez Console Oracle Cloud Infrastructure.

    Sélectionner Console Oracle Cloud Infrastructure

  6. Entrez un nom ou acceptez la valeur par défaut (Oracle Cloud Infrastructure Console).
  7. Choisissez Créer.

    Créer une application de console OCI IAM

  8. Choisissez Provisionnement dans le menu de gauche sous Gérer.

    Page de provisionnement pour l'application d'entreprise dans l'ID Entra

  9. Sélectionnez Introduction et remplacez Mode de provisionnement par Auto.
  10. Dans URL de locataire, entrez l'URL de domaine OCI IAM de l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret, suivie de /admin/v1. Autrement dit, l'URL de locataire est la suivante : 
    https://<domainURL>/admin/v1
  11. Entrez le jeton secret généré à l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret.

    Entrer les informations d'identification d'administrateur

  12. Sélectionnez Test de la connexion. Lorsque ce message apparaît, la connexion est établie
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Choisissez Provisionnement dans le menu de gauche sous Gérer, puis Démarrer le provisionnement. Le cycle de provisionnement démarre et le statut du provisionnement est affiché.
4. Affecter des utilisateurs et des groupes à l'application Entra ID

Affectez les utilisateurs à provisionner sur OCI IAM à l'application Entra ID.

  1. Dans Entra ID, dans le menu de gauche, sélectionnez Applications Enterprise.
  2. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  3. Dans le menu de gauche sous Gérer, sélectionnez Utilisateurs et groupes.
  4. Sur la page Utilisateurs et groupes, sélectionnez Ajouter un utilisateur/groupe.
  5. Sur la page Ajouter une affectation, à gauche, sous Utilisateurs et groupes, sélectionnez Aucune sélection.

    La page Utilisateurs et groupes apparaît.

  6. Sélectionnez des utilisateurs ou des groupes dans la liste en les sélectionnant. Ceux que vous sélectionnez sont répertoriés sous Eléments sélectionnés.

    Utilisateurs et groupes

  7. Sélectionnez Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché sur la page Ajouter affectation.

    Le nombre d'utilisateurs et de groupes sélectionnés s'affiche sur la page Ajouter une affectation.

  8. Sur la page Ajouter une affectation, sélectionnez Affecter.

    La page Utilisateurs et groupes affiche désormais les utilisateurs et les groupes que vous avez choisis.

    Les utilisateurs et le groupe que vous avez choisis sont affichés dans la liste des utilisateurs et des groupes de l'application.

  9. Sélectionnez Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.

    Journal de provisionnement affichant le statut Succès.

  10. Une fois le provisionnement terminé, le statut du cycle en cours indique que le cycle incrémentiel est terminé, et le nombre d'utilisateurs provisionnés vers OCI IAM est affiché.

    Le statut du provisionnement apparaît, ainsi que le nombre d'utilisateurs provisionnés vers OCI IAM

    Dans OCI IAM, vous pouvez désormais voir les utilisateurs et les groupes provisionnés à partir de l'ID Entra.

    Utilisateurs Entra ID désormais provisionnés dans IAM
    Remarque

    Lorsque vous enlevez des utilisateurs de l'application de console Oracle Cloud Infrastructure sur l'ID Entra, l'utilisateur est désactivé uniquement sur OCI IAM.

    Groupes d'ID Entra désormais provisionnés dans IAM

5. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
a. Définir le statut fédéré des utilisateurs

Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Sur la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappages, sélectionnez Provisionner les utilisateurs d'ID Entra.

  8. Sous Mappages d'attributs, faites défiler la page vers le bas et sélectionnez Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Sur la page Modifier un attribut :
    • Pour Type de mise en correspondance, sélectionnez Expression.
    • Dans Expression, entrez CBool("true").
    • Dans Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Modifier attribut (page)

  10. Sélectionnez Ok.
  11. Sur la page Mise en correspondance d'attributs, sélectionnez Sauvegarder.

Désormais, lorsque les utilisateurs sont provisionnés à partir de l'ID Entra vers OCI, leur statut fédéré est défini sur True. Vous pouvez le voir dans la page de profil de l'utilisateur.

  • Dans la console OCI, accédez au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré s'affiche sous la forme Yes.

    Informations utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les notifications de création ou de mise à jour de compte

L'indicateur Ignorer la notification contrôle si une notification par courriel est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de notification de contournement sur Vrai.

Pour définir l'indicateur de notification de contournement :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Sur la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappages, sélectionnez Provisionner les utilisateurs d'ID Entra.

    Provisionner les utilisateurs d'ID Entra sous Mappings, sur la page Mode de provisionnement

  8. Sous Mappages d'attributs, faites défiler la page vers le bas et sélectionnez Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Sur la page Modifier un attribut :
    • Pour Type de mise en correspondance, sélectionnez Expression.
    • Dans Expression, entrez CBool("true").
    • Dans Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Modifier attribut (page)

  10. Sélectionnez Ok.
  11. Sur la page Mise en correspondance d'attributs, sélectionnez Sauvegarder.