Documentation Oracle Cloud Infrastructure

SSO entre OCI et Microsoft Entra ID

Dans ce tutoriel, configurez SSO entre OCI IAM et Microsoft Entra ID, en utilisant Entra ID comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous explique comment intégrer OCI IAM, agissant en tant que fournisseur de services, à Entra ID, agissant en tant que IdP. En configurant la fédération entre Entra ID et OCI IAM, vous permettez à l'utilisateur d'accéder aux services et applications dans OCI à l'aide d'informations d'identification utilisateur authentifiées par Entra ID.

Ce tutoriel explique comment configurer Entra ID en tant que IdP pour OCI IAM.

  1. Tout d'abord, téléchargez les métadonnées à partir du domaine d'identité OCI IAM.
  2. Dans les étapes suivantes, vous allez créer et configurer une application dans Entra ID.
  3. Dans Entra ID, configurez SSO avec OCI IAM à l'aide des métadonnées.
  4. Dans Entra ID, modifiez les attributs et les revendications de sorte que l'adresse électronique soit employée comme identificateur pour les utilisateurs.
  5. Dans Entra ID, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous allez revenir à votre domaine d'identité afin de terminer la configuration et configuration.In OCI IAM, mettez à jour la stratégie IdP par défaut afin d'ajouter l'ID Entra.
  7. Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et Entra ID.
Remarque

Ce tutoriel est propre à IAM avec des domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Compte Oracle Cloud Infrastructure (OCI) payant ou compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Compte Entra ID avec l'un des rôles Entra ID suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application
Remarque

L'utilisateur employé pour l'accès avec connexion unique (SSO) doit exister à la fois dans OCI IAM et dans Entra ID pour que SSO fonctionne. Une fois ce tutoriel SSO terminé, un autre tutoriel est disponible, Gestion du cycle de vie des identités entre OCI IAM et Entra ID. Cet autre tutoriel vous explique comment provisionner des comptes utilisateur d'Entra ID vers OCI IAM ou d'OCI IAM vers Entra ID.
1. Obtention des métadonnées de fournisseur de services à partir d'OCI IAM

Vous avez besoin des métadonnées de fournisseur de services de votre domaine d'identité OCI IAM pour procéder à l'import dans l'application SAML Entra ID que vous créez. OCI IAM fournit une URL directe permettant de télécharger les métadonnées du domaine d'identité que vous utilisez. Pour télécharger les métadonnées, procédez comme suit.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com .

  2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité auquel vous connecter. Il s'agit du domaine d'identité utilisé pour configurer SSO, par exemple Default.
  4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  6. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, cliquez sur Paramètres, puis sur Paramètres de domaine.
  7. Sous Accéder au certificat de signature, sélectionnez Configurer l'accès client.

    Cela permet au client d'accéder à la certification de signature pour le domaine d'identité sans se connecter au domaine.

  8. Sélectionnez Enregistrer les modifications.

    Configuration de l'accès client sur la page Paramètres de domaine

  9. Revenez à la présentation de domaine d'identité en sélectionnant le nom de domaine d'identité dans le chemin de navigation. Sélectionnez Copier en regard de l'URL de domaines dans les informations de domaine et enregistrez l'URL dans une application pour laquelle vous pouvez le modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

  10. Dans un nouvel onglet de navigateur, collez l'URL que vous avez copiée et ajoutez /fed/v1/metadata à la fin.

    Par exemple :

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Les métadonnées du domaine d'identité sont affichées dans le navigateur. Enregistrez-les au format XML sous le nom OCIMetadata.xml.
2. Créer une application d'entreprise d'ID entrée

Pour les étapes suivantes, vous travaillez dans Entra ID.

Créez une application d'entreprise SAML dans Entra ID.

  1. Dans le navigateur, connectez-vous à Microsoft Entra en utilisant l'URL :
    
                                https://entra.microsoft.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications Enterprise, puis Nouvelle application.
  4. Dans Rechercher des applications, saisissez Oracle Cloud Infrastructure Console.
  5. Sélectionnez la mosaïque Console Oracle Cloud Infrastructure par Oracle Corporation.
  6. Entrez le nom de l'application, par exemple Oracle IAM, et sélectionnez Créer.

    L'application d'entreprise est créée dans l'ID entrée.

3. Configurer l'accès avec connexion unique pour l'application d'entreprise Entra ID

Configurez l'authentification unique pour l'application SAML Entra ID et téléchargez les métadonnées SAML Entra ID. Dans cette section, vous utilisez le fichier des métadonnées du fournisseur de services OCI IAM que vous avez enregistré dans 1. Obtention des métadonnées de fournisseur de service à partir d'OCI IAM.

  1. Dans la page Introduction, sélectionnez Introduction sous Configurer l'accès avec connexion unique.
  2. Sélectionnez SAML, puis Télécharger le fichier de métadonnées (bouton en haut de la page). Accédez au fichier XML contenant les métadonnées du domaine d'identité OCI, OCIMetadata.xml.
  3. Indiquez l'URL de connexion. Par exemple : 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Sélectionnez Save (Enregistrer).
  5. Fermez la page Télécharger le fichier des métadonnées à l'aide de la croix en haut à droite. Si vous êtes invité à tester l'application immédiatement, refusez-la car vous la testerez plus tard dans ce tutoriel.
  6. Dans la page Configurer l'authentification unique avec SAML, faites défiler vers le bas et, dans Certificat de signature SAML, sélectionnez Télécharger en regard de l'option XML de métadonnées de fédérations.
  7. A l'invite, sélectionnez Save File. Les métadonnées sont automatiquement enregistrées avec le fichier par défaut <your_enterprise_app_name>.xml. Par exemple : OracleIAM.xml.

    Page SSO basée sur SAML Entra ID

4. Modification des attributs et des revendications

Modifiez les attributs et les revendications dans votre nouvelle application SAML Entra ID afin que l'adresse électronique de l'utilisateur soit employée comme nom d'utilisateur.

  1. Dans l'application Enterprise, dans le menu de gauche, sélectionnez Accès avec connexion unique.
  2. Dans Attributs et revendications, sélectionnez Modifier.
  3. Sélectionnez la réclamation requise : 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Dans la page Gérer la revendication, remplacez l'attribut source user.userprinciplename par user.mail.

    Attributs d'ID et déclarations

  5. Sélectionnez Save (Enregistrer).

Configurations d'ID entrée supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction du nom du groupe ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Sélectionnez la déclaration de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtre.
    • Pour L'attribut doit correspondre, sélectionnez Display Name.
    • Pour Mettre en correspondance avec, sélectionnez contains.
    • Pour String, indiquez le nom du groupe (par exemple, Administrators).

    Filtrer pour les groupes

Avec cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe d'administrateurs dans SAML.
Remarque

Les organisations peuvent ainsi envoyer uniquement les groupes requis vers OCI IAM à partir d'Entra ID.
5. Ajouter un utilisateur de test à l'application Entra ID

Créez un utilisateur test pour votre application Entra ID. Par La suite, cet utilisateur peut employer ses informations d'identification Entra pour se connecter à la console OCI.

  1. Dans le centre d'administration Microsoft Entra, sélectionnez Identité, Utilisateurs, puis Tous les utilisateurs.
  2. Sélectionnez Nouvel utilisateur, Créer un utilisateur et créez un utilisateur et entrez son ID de courriel.
    Remarque

    Veillez à utiliser les détails d'un utilisateur présent dans OCI IAM avec le même ID de courriel.
  3. Revenez au menu de l'application Enterprise. Sous Mise en route, sélectionnez Affecter des utilisateurs et des groupes. Vous pouvez également sélectionner Utilisateurs sous Gérer dans le menu de gauche.
  4. Sélectionnez Ajouter un utilisateur/groupe et, sur la page suivante, sous Utilisateurs, sélectionnez Aucune sélection.
  5. Dans la page Users, sélectionnez l'utilisateur de test que vous avez créé. Lorsque vous sélectionnez cette option, l'utilisateur apparaît sous Eléments sélectionnés. Sélectionnez Sélectionner.
  6. De retour sur la page Ajouter une affectation, sélectionnez Affecter.
6. Activer Entra ID en tant que IdP pour OCI IAM

Pour ces étapes, vous travaillez dans OCI IAM.

Ajoutez Entra ID en tant qu'élément IdP pour OCI IAM. Dans cette section, vous allez utiliser le fichier de métadonnées Entra ID que vous avez enregistré dans 3. Configurez l'accès avec connexion unique pour l'application Entra ID Enterprise, par exemple, Oracle IAM.xml.

  1. Dans la console OCI du domaine dans lequel vous travaillez, sélectionnez Sécurité, puis Fournisseurs d'identités.
  2. Sélectionnez Ajouter IdP, puis Ajouter un IdP SAML.
  3. Entrez le nom du fournisseur d'identités SAML IdP, par exemple Entra ID. Sélectionnez Suivant.
  4. Ensure that Import identity provider metadata is selected, and browse and select, or drag and drop the Entra ID metadata XML file, Oracle IAM.xml into Identity provider metadata. Il s'agit du fichier de métadonnées que vous avez enregistré lorsque vous avez travaillé sur l'3. Configurez l'accès avec connexion unique pour l'application d'entreprise Entra ID. Sélectionnez Suivant.
  5. Dans l'identité de l'utilisateur Map, définissez les éléments suivants :
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut utilisateur fournisseur d'identités, sélectionnez l'ID SAML assertion Name.
    • Sous Attribut utilisateur de domaine d'identité, sélectionnez Primary email address.

    Attributs de fournisseur d'identité SAML

  6. Sélectionnez Suivant.
  7. Sous Vérifier et créer, vérifiez les configurations et sélectionnez Créer IdP.
  8. Sélectionnez Activer.
  9. Sélectionnez Ajouter à la règle de stratégie IdP.

  10. Sélectionnez Stratégie de fournisseur d'identités par défaut pour l'ouvrir, sélectionnez le menu Actions (trois points) et sélectionnez Modifier la règle IdP.

    Menu contextuel affichant Modifier la règle de fournisseur d'identités

  11. Sélectionnez Affecter des fournisseurs d'identités, puis Entra ID pour l'ajouter à la liste.

    ajout d'Entra ID en tant que fournisseur d'identités dans la règle IdP par défaut

  12. Sélectionnez Enregistrer les modifications.
7. Test SSO entre Entra ID et OCI
Dans cette section, vous pouvez tester le fonctionnement de l'authentification fédérée entre OCI IAM et Entra ID.
Remarque

Pour que cela fonctionne, l'utilisateur employé pour SSO doit être présent à La fois dans OCI IAM et dans Entra ID. De plus, l'utilisateur doit être affecté à l'application OCI IAM créée dans Entra ID.

Pour ce faire, vous avez le choix entre deux méthodes :

  • Vous pouvez créer manuellement un utilisateur test à la fois dans OCI IAM et dans Entra ID.
  • Toutefois, si vous voulez effectuer un test avec un utilisateur en temps réel, vous devez configurer le provisionnement entre Entra ID et OCI IAM en suivant les étapes du tutoriel, Gestion du cycle de vie des identités entre OCI IAM et Entra ID.
Si vous n'avez pas configuré les utilisateurs pour tester ce tutoriel, l'erreur suivante apparaît.
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testez l'authentification unique lancée par le processeur de service.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console OCI :

    https://cloud.oracle.com .

  2. Saisissez votre nom de compte Cloud, également appelé nom de location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité dans lequel la fédération d'ID d'entrée a été configurée.
  4. Sur la page de connexion, vous pouvez voir une option de connexion avec Entra ID.

    Page de connexion OCI IAM

  5. Sélectionnez Entra ID. Vous êtes réacheminé vers la page de connexion Microsoft.
  6. Fournissez vos informations d'identification Entra ID.
  7. En cas d'authentification réussie, vous êtes connecté à la console OCI.
Etapes suivantes

Félicitations ! Vous avez configuré SSO entre Entra ID et OCI IAM.

Si un utilisateur avait déjà été créé dans Entra ID et affecté à l'application, et provisionné pour OCI IAM, vous pouvez tester le fonctionnement de l'authentification de fédération entre OCI IAM et Entra ID. Si vous ne disposez pas d'un tel utilisateur, vous pouvez le créer en suivant l'un des tutoriels Gestion du cycle de vie des identités entre OCI IAM et Entra ID.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :