Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery
Configurez l'ID Entra en tant que banque d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie d'ID Entra.
- Configurez OCI IAM de sorte que l'ID Entra soit la banque d'identités qui gère les identités dans OCI IAM. Dans OCI IAM, créez une application confidentielle.
- Générez un jeton secret à partir de l'ID client et de la clé secrète client du domaine d'identité OCI IAM. Utilisez ceci, avec l'URL de domaine, dans Entra ID.
- Créez une application dans l'ID Entra, utilisez le jeton secret et l'URL de domaine d'identité pour indiquer le domaine d'identité OCI IAM, et vérifiez son fonctionnement en propageant les utilisateurs de l'ID Entra vers OCI IAM.
- Affectez les utilisateurs et les groupes à provisionner sur OCI IAM dans l'application d'ID Entra.
- En outre, des instructions sur la façon de
- Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
- Empêchez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
Dans cette section, vous configurez l'ID Entra pour qu'il agisse en tant que gestionnaire d'identités afin que les comptes utilisateur soient synchronisés de l'ID Entra vers OCI IAM.
- Dans le domaine d'identité dans lequel vous travaillez, cliquez sur Applications.
- Cliquez sur Ajouter une application, choisissez Application confidentielle, puis cliquez sur Lancer le workflow.
- Entrez le nom de l'application, par exemple
Entra ID
, puis cliquez sur Suivant. - Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.
- Sous Autorisation, vérifiez les informations d'identification client.
- Sous Type de client, sélectionnez Confidentiel.
- Faites défiler vers le bas et, dans la section Stratégie d'émission de jeton, définissez Ressources autorisées sur Spécifique.
- Sélectionnez Ajouter des rôles d'application.
- Dans la section Rôles d'application, cliquez sur Ajouter des rôles. Sur la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs, puis cliquez sur Ajouter.
- Cliquez sur Suivant, puis sur Terminer.
- Sur la page de présentation de l'application, cliquez sur Activer et confirmez l'activation de l'application.
L'application confidentielle est activée.
Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion de l'application d'entreprise que vous créez dans Entra ID :
- URL de domaine
- Jeton secret généré à partir de l'ID client et de la clé secrète client
- Revenez à la présentation du domaine d'identité en cliquant sur son nom dans le chemin de navigation. Cliquez sur Copier en regard de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.
- Dans l'application confidentielle dans OCI IAM, cliquez sur Configuration OAuth sous Ressources.
- Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
- Copiez l'ID client et stockez-le.
- Cliquez sur Afficher la clé secrète, copiez-la et stockez-la.Le jeton secret est l'encodage base64 de
<clientID>:<clientsecret>
, oubase64(<clientID>:<clientsecret>)
Ces exemples montrent comment générer le jeton secret sous Windows, Linux ou MacOS.
Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer base64 encoding
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"
Sous Linux, utilisezecho -n <clientID>:<clientsecret> | base64 --wrap=0
Dans MacOS, utilisez :echo -n <clientID>:<clientsecret> | base64
Le jeton secret est renvoyé. Par exemple :echo -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==
Notez la valeur du jeton secret.
Configurez l'ID Entra pour permettre à l'ID Entra d'être la banque d'identités faisant autorité pour gérer les identités dans IAM.
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://portal.azure.com
- Cliquez sur Identité, puis sur Applications.
- Cliquez sur Applications d'entreprise.
- Sur la page Applications d'entreprise, cliquez sur Nouvelle application, puis sur Oracle.
- Sélectionnez Console Oracle Cloud Infrastructure.
- Entrez un nom ou acceptez la valeur par défaut (
Oracle Cloud Infrastructure Console
). - Cliquez sur Créer.
- Choisissez Provisionnement dans le menu de gauche sous Gérer.
- Cliquez sur Introduction et remplacez Mode de provisionnement par Automatique.
- Dans URL de locataire, entrez l'URL de domaine OCI IAM de l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret, suivie de
/admin/v1
. Autrement dit, l'URL de locataire est la suivante :https://<domainURL>/admin/v1
- Entrez le jeton secret généré à l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret.
- Cliquez sur Test de connexion. Lorsque ce message apparaît, la connexion est établie
Testing connection to Oracle Cloud Infrastructure Console The supplied credentials are authorized to enable provisioning
- Choisissez Provisionnement dans le menu de gauche sous Gérer, puis cliquez sur Démarrer le provisionnement. Le cycle de provisionnement démarre et le statut du provisionnement est affiché.
Affectez les utilisateurs à provisionner sur OCI IAM à l'application d'ID Entra.
- Dans Entra ID, dans le menu de gauche, cliquez sur applications d'entreprise.
- Cliquez sur l'application que vous avez créée précédemment,
Oracle Cloud Infrastructure Console
. - Dans le menu de gauche, sous Gérer, cliquez sur Utilisateurs et groupes.
- Sur la page Utilisateurs et groupes, cliquez sur Ajouter un utilisateur/groupe.
- Sur la page Ajouter une affectation, à gauche, sous Utilisateurs et groupes, cliquez sur Aucune sélection.
La page Utilisateurs et groupes apparaît.
- Sélectionnez des utilisateurs ou des groupes dans la liste en cliquant dessus. Ceux que vous sélectionnez sont répertoriés sous Eléments sélectionnés.
- Cliquez sur Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché sur la page Ajouter une affectation.
- Sur la page Ajouter une affectation, cliquez sur Affecter.
La page Utilisateurs et groupes affiche désormais les utilisateurs et les groupes que vous avez choisis.
- Cliquez sur Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.
- Une fois le provisionnement terminé, le statut du cycle en cours indique que le cycle incrémentiel est terminé, et le nombre d'utilisateurs provisionnés vers OCI IAM est affiché.
Dans OCI IAM, vous pouvez désormais voir les utilisateurs et les groupes provisionnés à partir de l'ID Entra.
Remarque
Lorsque vous enlevez des utilisateurs de l'application de console Oracle Cloud Infrastructure sur l'ID Entra, l'utilisateur est uniquement désactivé sur OCI IAM.
- Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
- Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.
Pour définir le statut fédéré de l'utilisateur :
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://portal.azure.com
- Cliquez sur Identité, puis sur Applications.
- Cliquez sur Applications d'entreprise.
- Cliquez sur l'application que vous avez créée précédemment,
Oracle Cloud Infrastructure Console
. - Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
- Sur la page Provisionnement, cliquez sur Mappages.
-
Sous Mappages, cliquez sur Provisionner les utilisateurs d'ID Entra.
- Sous Mappages d'attributs, faites défiler la page vers le bas et cliquez sur Ajouter un nouveau mappage.
- Sur la page Modifier un attribut :
- Pour Type de mise en correspondance, sélectionnez
Expression
. - Dans Expression, entrez
CBool("true")
. - Dans Attribut cible, sélectionnez
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser
.
- Pour Type de mise en correspondance, sélectionnez
- Cliquez sur OK.
- Sur la page Mappage d'attribut, cliquez sur Enregistrer.
Désormais, lorsque les utilisateurs sont provisionnés à partir de l'ID Entra vers OCI, leur statut fédéré est défini sur True. Vous pouvez le voir sur la page de profil de l'utilisateur.
- Dans la console OCI, accédez au domaine d'identité que vous utilisez, cliquez sur Utilisateurs et cliquez sur l'utilisateur pour afficher les informations sur l'utilisateur.
- Fédéré s'affiche sous la forme
Yes
.
L'indicateur de notification de contournement contrôle si une notification par courriel est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de notification de contournement sur True.
Pour définir l'indicateur de notification de contournement :
- Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
https://portal.azure.com
- Cliquez sur Identité, puis sur Applications.
- Cliquez sur Applications d'entreprise.
- Cliquez sur l'application que vous avez créée précédemment,
Oracle Cloud Infrastructure Console
. - Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
- Sur la page Provisionnement, cliquez sur Mappages.
-
Sous Mappages, cliquez sur Provisionner les utilisateurs d'ID Entra.
- Sous Mappages d'attributs, faites défiler la page vers le bas et cliquez sur Ajouter un nouveau mappage.
- Sur la page Modifier un attribut :
- Pour Type de mise en correspondance, sélectionnez
Expression
. - Dans Expression, entrez
CBool("true")
. - Dans Attribut cible, sélectionnez
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification
.
- Pour Type de mise en correspondance, sélectionnez
- Cliquez sur OK.
- Sur la page Mappage d'attribut, cliquez sur Enregistrer.