Documentation Oracle Cloud Infrastructure

Tutoriel 1 : Entra ID en tant que source faisant autorité pour gérer les identités à l'aide de l'application Entra ID Gallery

Configurez l'ID Entra en tant que banque d'identités faisant autorité pour gérer les identités dans OCI IAM à l'aide d'un modèle d'application de la galerie d'ID Entra.

  1. Configurez OCI IAM de sorte que l'ID Entra soit la banque d'identités qui gère les identités dans OCI IAM. Dans OCI IAM, créez une application confidentielle.
  2. Générez un jeton secret à partir de l'ID client et de la clé secrète client du domaine d'identité OCI IAM. Utilisez ceci, avec l'URL de domaine, dans Entra ID.
  3. Créez une application dans l'ID Entra, utilisez le jeton secret et l'URL de domaine d'identité pour indiquer le domaine d'identité OCI IAM, et vérifiez son fonctionnement en propageant les utilisateurs de l'ID Entra vers OCI IAM.
  4. Affectez les utilisateurs et les groupes à provisionner sur OCI IAM dans l'application d'ID Entra.
  1. En outre, des instructions sur la façon de
    • Définissez le statut fédéré des utilisateurs de sorte qu'ils soient authentifiés par le fournisseur d'identités externe.
    • Empêchez les utilisateurs d'obtenir des courriels de notification lorsque leur compte est créé ou mis à jour.
1. Création d'une application confidentielle

Dans cette section, vous configurez l'ID Entra pour qu'il agisse en tant que gestionnaire d'identités afin que les comptes utilisateur soient synchronisés de l'ID Entra vers OCI IAM.

  1. Dans le domaine d'identité dans lequel vous travaillez, cliquez sur Applications.
  2. Cliquez sur Ajouter une application, choisissez Application confidentielle, puis cliquez sur Lancer le workflow.

    Application confidentielle

  3. Entrez le nom de l'application, par exemple Entra ID, puis cliquez sur Suivant.
  4. Sous Configuration du client, sélectionnez Configurer cette application comme client maintenant.

    Configurer l'application en tant que client

  5. Sous Autorisation, vérifiez les informations d'identification client.

    Configurer l'application pour les informations d'identification client

  6. Sous Type de client, sélectionnez Confidentiel.
  7. Faites défiler vers le bas et, dans la section Stratégie d'émission de jeton, définissez Ressources autorisées sur Spécifique.

    Stratégie d'émission de jeton

  8. Sélectionnez Ajouter des rôles d'application.
  9. Dans la section Rôles d'application, cliquez sur Ajouter des rôles. Sur la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs, puis cliquez sur Ajouter.

    Ajouter des rôles d'application

  10. Cliquez sur Suivant, puis sur Terminer.
  11. Sur la page de présentation de l'application, cliquez sur Activer et confirmez l'activation de l'application.

    L'application confidentielle est activée.

2. Recherche de l'URL de domaine et génération d'un jeton secret

Vous avez besoin de deux informations à utiliser dans le cadre des paramètres de connexion de l'application d'entreprise que vous créez dans Entra ID :

  • URL de domaine
  • Jeton secret généré à partir de l'ID client et de la clé secrète client
  1. Revenez à la présentation du domaine d'identité en cliquant sur son nom dans le chemin de navigation. Cliquez sur Copier en regard de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

  2. Dans l'application confidentielle dans OCI IAM, cliquez sur Configuration OAuth sous Ressources.
  3. Faites défiler vers le bas, et recherchez l'ID client et la clé secrète client sous Informations générales.
  4. Copiez l'ID client et stockez-le.
  5. Cliquez sur Afficher la clé secrète, copiez-la et stockez-la.

    ID et clé secrète du client

    Le jeton secret est l'encodage base64 de <clientID>:<clientsecret>, ou
    base64(<clientID>:<clientsecret>)

    Ces exemples montrent comment générer le jeton secret sous Windows, Linux ou MacOS.

    Dans un environnement Windows, ouvrez CMD et utilisez cette commande powerhell pour générer base64 encoding[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    Sous Linux, utilisez
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Dans MacOS, utilisez :
    echo -n <clientID>:<clientsecret> | base64
    Le jeton secret est renvoyé. Par exemple :
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notez la valeur du jeton secret.

3. Créer une application OCI sur l'ID Entra

Configurez l'ID Entra pour permettre à l'ID Entra d'être la banque d'identités faisant autorité pour gérer les identités dans IAM.

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur Applications d'entreprise.

    Ajouter une application d'entreprise

  4. Sur la page Applications d'entreprise, cliquez sur Nouvelle application, puis sur Oracle.
  5. Sélectionnez Console Oracle Cloud Infrastructure.

    Sélectionner Console Oracle Cloud Infrastructure

  6. Entrez un nom ou acceptez la valeur par défaut (Oracle Cloud Infrastructure Console).
  7. Cliquez sur Créer.

    Créer une application de console OCI IAM

  8. Choisissez Provisionnement dans le menu de gauche sous Gérer.

    Page de provisionnement pour l'application d'entreprise dans l'ID Entra

  9. Cliquez sur Introduction et remplacez Mode de provisionnement par Automatique.
  10. Dans URL de locataire, entrez l'URL de domaine OCI IAM de l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret, suivie de /admin/v1. Autrement dit, l'URL de locataire est la suivante : 
    https://<domainURL>/admin/v1
  11. Entrez le jeton secret généré à l'étape 2. Recherche de l'URL de domaine et génération d'un jeton secret.

    Entrer les informations d'identification d'administrateur

  12. Cliquez sur Test de connexion. Lorsque ce message apparaît, la connexion est établie
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Choisissez Provisionnement dans le menu de gauche sous Gérer, puis cliquez sur Démarrer le provisionnement. Le cycle de provisionnement démarre et le statut du provisionnement est affiché.
4. Affecter des utilisateurs et des groupes à l'application Entra ID

Affectez les utilisateurs à provisionner sur OCI IAM à l'application d'ID Entra.

  1. Dans Entra ID, dans le menu de gauche, cliquez sur applications d'entreprise.
  2. Cliquez sur l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  3. Dans le menu de gauche, sous Gérer, cliquez sur Utilisateurs et groupes.
  4. Sur la page Utilisateurs et groupes, cliquez sur Ajouter un utilisateur/groupe.
  5. Sur la page Ajouter une affectation, à gauche, sous Utilisateurs et groupes, cliquez sur Aucune sélection.

    La page Utilisateurs et groupes apparaît.

  6. Sélectionnez des utilisateurs ou des groupes dans la liste en cliquant dessus. Ceux que vous sélectionnez sont répertoriés sous Eléments sélectionnés.

    Utilisateurs et groupes

  7. Cliquez sur Sélectionner. Le nombre d'utilisateurs et de groupes sélectionnés est affiché sur la page Ajouter une affectation.

    Le nombre d'utilisateurs et de groupes sélectionnés s'affiche sur la page Ajouter une affectation.

  8. Sur la page Ajouter une affectation, cliquez sur Affecter.

    La page Utilisateurs et groupes affiche désormais les utilisateurs et les groupes que vous avez choisis.

    Les utilisateurs et le groupe que vous avez choisis sont affichés dans la liste des utilisateurs et des groupes de l'application.

  9. Cliquez sur Provisioning dans le menu de gauche pour provisionner les groupes et les utilisateurs. Le journal de provisionnement affiche le statut.

    Journal de provisionnement affichant le statut Succès.

  10. Une fois le provisionnement terminé, le statut du cycle en cours indique que le cycle incrémentiel est terminé, et le nombre d'utilisateurs provisionnés vers OCI IAM est affiché.

    Le statut du provisionnement apparaît, ainsi que le nombre d'utilisateurs provisionnés vers OCI IAM

    Dans OCI IAM, vous pouvez désormais voir les utilisateurs et les groupes provisionnés à partir de l'ID Entra.

    Utilisateurs Entra ID désormais provisionnés dans IAM
    Remarque

    Lorsque vous enlevez des utilisateurs de l'application de console Oracle Cloud Infrastructure sur l'ID Entra, l'utilisateur est uniquement désactivé sur OCI IAM.

    Groupes d'ID Entra désormais provisionnés dans IAM

5. Configurations supplémentaires pour les utilisateurs fédérés
  • Vous pouvez définir le statut fédéré des utilisateurs afin qu'ils soient authentifiés par le fournisseur d'identités externe.
  • Vous pouvez désactiver les courriels de notification envoyés à l'utilisateur lors de la création ou de la mise à jour de son compte.
a. Définir le statut fédéré des utilisateurs

Les utilisateurs fédérés ne disposent pas d'informations d'identification pour se connecter directement à OCI. Ils sont plutôt authentifiés par le fournisseur d'identités externe. Si vous voulez que les utilisateurs utilisent leurs comptes fédérés pour se connecter à OCI, définissez l'attribut fédéré sur True pour ces utilisateurs.

Pour définir le statut fédéré de l'utilisateur :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur Applications d'entreprise.
  4. Cliquez sur l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
  6. Sur la page Provisionnement, cliquez sur Mappages.

  7. Sous Mappages, cliquez sur Provisionner les utilisateurs d'ID Entra.

  8. Sous Mappages d'attributs, faites défiler la page vers le bas et cliquez sur Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Sur la page Modifier un attribut :
    • Pour Type de mise en correspondance, sélectionnez Expression.
    • Dans Expression, entrez CBool("true").
    • Dans Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Modifier attribut (page)

  10. Cliquez sur OK.
  11. Sur la page Mappage d'attribut, cliquez sur Enregistrer.

Désormais, lorsque les utilisateurs sont provisionnés à partir de l'ID Entra vers OCI, leur statut fédéré est défini sur True. Vous pouvez le voir sur la page de profil de l'utilisateur.

  • Dans la console OCI, accédez au domaine d'identité que vous utilisez, cliquez sur Utilisateurs et cliquez sur l'utilisateur pour afficher les informations sur l'utilisateur.
  • Fédéré s'affiche sous la forme Yes.

    Informations utilisateur indiquant que l'utilisateur est fédéré

b. Désactiver les notifications de création ou de mise à jour de compte

L'indicateur de notification de contournement contrôle si une notification par courriel est envoyée après la création ou la mise à jour d'un compte utilisateur dans OCI. Si vous ne voulez pas que les utilisateurs soient informés que le compte a été créé pour eux, définissez l'indicateur de notification de contournement sur True.

Pour définir l'indicateur de notification de contournement :

  1. Dans le navigateur, connectez-vous à Microsoft Entra ID à l'aide de l'URL :
    https://portal.azure.com
  2. Cliquez sur Identité, puis sur Applications.
  3. Cliquez sur Applications d'entreprise.
  4. Cliquez sur l'application que vous avez créée précédemment, Oracle Cloud Infrastructure Console.
  5. Dans le menu de gauche sous Gérer, cliquez sur Provisionnement, puis sur Modifier le provisionnement.
  6. Sur la page Provisionnement, cliquez sur Mappages.

  7. Sous Mappages, cliquez sur Provisionner les utilisateurs d'ID Entra.

    Provisionner les utilisateurs d'ID Entra sous Mappings, sur la page Mode de provisionnement

  8. Sous Mappages d'attributs, faites défiler la page vers le bas et cliquez sur Ajouter un nouveau mappage.

    Ajouter un nouveau champ de mappage sous Mappages d'attributs

  9. Sur la page Modifier un attribut :
    • Pour Type de mise en correspondance, sélectionnez Expression.
    • Dans Expression, entrez CBool("true").
    • Dans Attribut cible, sélectionnez urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Modifier attribut (page)

  10. Cliquez sur OK.
  11. Sur la page Mappage d'attribut, cliquez sur Enregistrer.