Documentation Oracle Cloud Infrastructure

Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery

Configurez Entra ID en tant que banque d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie d'ID.

  1. Configurez OCI IAM de sorte qu'Entra ID soit la banque d'identités qui gère les identités dans OCI IAM. Dans OCI IAM, créez une application confidentielle.
  2. Générez un jeton secret à partir de l'ID client et de l'ID client du domaine d'identité OCI IAM. Utilisez ce jeton avec l'URL de domaine dans Entra ID.
  3. Créez une application dans Entra ID, utilisez le jeton secret et l'URL de domaine d'identité pour indiquer le domaine d'identité OCI IAM, et vérifiez son fonctionnement, en propageant des utilisateurs d'Entra ID vers OCI IAM.
  4. Affectez les utilisateurs et les groupes à provisionner vers OCI IAM à l'application Entra ID.
  1. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs pour qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Arrêtez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
1. Création d'une application confidentielle

Dans cette section, vous configurez Entra ID pour qu'il agisse en tant que gestionnaire d'identités afin que les comptes utilisateur soient synchronisés entre Entra ID et OCI IAM.

  1. Dans le domaine d'identité dans laquelle vous travaillez, sélectionnez Applications.
  2. Sélectionnez Ajouter une application, choisissez Application confidentielle, puis Lancer le workflow.

    Application confidentielle

  3. Entrez le nom de l'application. Par exemple, Entra ID, sélectionnez Suivant.
  4. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    Configurer l'application en tant que client

  5. Sous Autorisation, vérifiez les informations d'identification client.

    Configurer l'application pour les informations d'identification client

  6. Sous Type de client, sélectionnez Confidentiel.
  7. Faites défiler le bas et, dans la section stratégie d'émission de jeton, définissez Ressources autorisés sur Spécifique.

    Stratégie d'émission de jeton

  8. Sélectionnez Ajouter des rôles d'application.
  9. Dans la section Rôles d'application, sélectionnez Ajouter des rôles, puis sur la page Ajouter des rôles d'application, sélectionnez Administrateur utilisateur, puis Ajouter.

    Ajouter des rôles d'application

  10. Sélectionnez Suivant, puis Terminer.
  11. Sur la page d'aperçu de l'application, sélectionnez Activer, puis confirmez l'activation de l'application.

    L'application confidentielle est activée.

2. Recherche de l'URL de domaine et génération d'un jeton secret

Vous avez besoin de deux informations à utiliser en tant que paramètres de connexion pour l'application d'entreprise que vous créez dans Entra ID :

  • URL de domaine
  • Jeton secret généré à partir de l'ID client et de la clé secrète client
  1. Revenez à la présentation de domaine d'identité en sélectionnant le nom de domaine d'identité dans le chemin de navigation. Sélectionnez Copier en regard de l'URL de nom dans les informations de domaine et enregistrez l'URL dans une application où vous pouvez le modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

  2. Dans l'application confidentielle dans OCI IAM, sélectionnez Configuration OAuth sous Ressources.
  3. Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
  4. Copiez l'ID client et stockez-le.
  5. Sélectionnez Afficher la clé secrète, copiez-la et stockez-la.

    ID et clé secrète du client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret> , ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton secret sous Windows, Linux ou MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powershell pour générer le codage base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    Sous Linux, utilisez
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Sous MacOS, utilisez :
    echo -n <clientID>:<clientsecret> | base64
    Le jeton secret est renvoyé. Par exemple :
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton secret.

3. Créer une application OCI sur Entra ID

Configurez Entra ID pour permettre à Entra ID d'être la banque d'identités faisant autorité pour gérer les identités dans IAM.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    
                            https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Application d'entreprise.

    Ajouter une application d'entreprise

  4. Sur la page Applications d'entreprise, sélectionnez Nouvelle application, puis Oracle.
  5. Sélectionnez Console Oracle Cloud Infrastructure.

    Sélectionner Console Oracle Cloud Infrastructure

  6. Entrez un nom ou acceptez la valeur par défaut (Oracle Cloud Infrastructure Console).
  7. Choisissez Créer.

    Créer une application de console OCI IAM

  8. Choisissez Provisionnement dans le menu de gauche sous Gérer.

    Page de provisionnement de l'application d'entreprise dans Entra ID

  9. Sélectionnez Introduction et remplacez Mode de provisionnement par Automatique.
  10. Dans URL du locataire, entrez l'URL du domaine OCI IAM, suivie de 2. Recherchez l'URL de domaine et générez un jeton secret, suivi de /admin/v1. Autrement dit, l'URL de locataire est la suivante : 
    https://<domainURL>/admin/v1
  11. Entrez le jeton secret généré à l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret.

    Entrer les informations d'identification d'administrateur

  12. Sélectionnez Tester la connexion. Lorsque ce message apparaît, la connexion est établie
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Choisissez Provisionnement dans le menu de gauche sous Gérer, puis sélectionnez Démarrer un provisionnement. Le cycle de provisionnement démarre et le statut du provisionnement est affiché.
4. Affecter des utilisateurs et des groupes à l'application Entra ID

Affectez les utilisateurs à provisionner sur OCI IAM à l'application Entra ID.

  1. Dans le menu de gauche, sélectionnez Applications d'entreprise.
  2. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  3. Dans le menu de gauche sous Gérer, sélectionnez Utilisateurs et groupes.
  4. Sur la page Utilisateurs et groupes, sélectionnez Ajouter un utilisateur/groupe.
  5. Sur la page Ajouter une affectation, à gauche, sous Utilisateurs et groupes, sélectionnez Aucune sélection.

    La page Utilisateurs et groupe s'ouvre.

  6. Sélectionnez un ou plusieurs utilisateurs ou groupes dans la liste en les sélectionnant. Ceux que vous sélectionnez sont répertoriés sous Eléments sélectionnés.

    Utilisateurs et groupes

  7. Sélectionnez Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés s'affiche sur la page Ajouter une affectation.

    Le nombre d'utilisateurs et de groupes que vous avez sélectionnés est affiché sur la page Ajouter une affectation.

  8. Sur la page Ajouter une affectation, sélectionnez Affecter.

    La page Utilisateurs et groupe affiche désormais les utilisateurs et les groupes que vous avez choisis.

    Les utilisateurs et le groupe que vous avez choisis sont affichés dans la liste des utilisateurs et des groupes de l'application.

  9. Sélectionnez Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement indique le statut.

    Journal de provisionnement indiquant le statut Succès.

  10. Une fois l'approvisionnement terminé, le statut de cycle en cours indique que le cycle incrémentiel s'est terminé, et le nombre d'utilisateurs provisionnés vers OCI IAM est affiché.

    Le statut du provisionnement apparaît, ainsi que le nombre d'utilisateurs provisionnés vers OCI IAM

    Dans OCI IAM, vous pouvez désormais voir les utilisateurs et les groupes provisionnés à partir d'Entra ID.

    Utilisateurs Entra ID désormais provisionnés dans IAM
    Remarque

    Lorsque vous enlevez des utilisateurs de l'application de console Oracle Cloud Infrastructure sur Entra ID, l'utilisateur est désactivé uniquement sur OCI IAM.

    Groupes d'ID d'entrée désormais provisionnés dans IAM

5. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs pour qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
a. Définir le statut fédéré des utilisateurs

Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur, procédez comme suit :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    
                                https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Application d'entreprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Sur la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappings, sélectionnez Provisionner les utilisateurs Entra ID.

  8. Sous Correspondances d'attributs, faites défiler la page vers le bas et sélectionnez Ajouter une nouvelle correspondance.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Modifier un attribut :
    • Pour Type de mappage, choisissez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, choisissez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Modifier attribut (page)

  10. Sélectionnez OK.
  11. Sur la page Correspondance d'attributs, sélectionnez Enregistrer.

Désormais, lorsque les utilisateurs sont provisionnés à partir d'Entra ID vers OCI, leur statut fédéré est défini sur True. Vous pouvez le voir sur la page de profil de l'utilisateur.

  • Dans la console OCI, accédez au domaine d'identité que vous utilisez, sélectionnez Utilisateurs et sélectionnez l'utilisateur pour afficher les informations utilisateur.
  • Federated est affiché sous la forme Yes.

    Informations utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les notifications pour la création ou les mises à jour de compte

L'indicateur Ignorer la notification détermine si une notification par e-mail est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de contournement de la notification sur Vrai.

Pour définir l'indicateur de contournement de la notification :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    
                                https://portal.azure.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Application d'entreprise.
  4. Sélectionnez l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, sélectionnez Provisionnement, puis Modifier le provisionnement.
  6. Sur la page Provisionnement, sélectionnez Mappages.

  7. Sous Mappings, sélectionnez Provisionner les utilisateurs Entra ID.

    Provisionner les utilisateurs Entra ID sous Mappings, dans la page Provisioning Mode

  8. Sous Correspondances d'attributs, faites défiler la page vers le bas et sélectionnez Ajouter une nouvelle correspondance.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Dans la page Modifier un attribut :
    • Pour Type de mappage, choisissez Expression.
    • Pour Expression, entrez CBool("true").
    • Pour Attribut cible, choisissez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Modifier attribut (page)

  10. Sélectionnez OK.
  11. Sur la page Correspondance d'attributs, sélectionnez Enregistrer.