Documentation Oracle Cloud Infrastructure

SSO entre OCI et Microsoft Azure

Dans ce tutoriel, configurez SSO entre OCI IAM et Microsoft Azure AD en utilisant Azure AD comme fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous montre comment intégrer OCI IAM (qui sert de fournisseur de service) à Azure AD (qui sert de IdP). En configurant la fédération entre Azure AD et OCI IAM, vous permet aux utilisateurs d'accéder aux services et aux applications dans OCI à l'aide d'informations d'identification utilisateur authentifiées par Azure AD.

Ce tutoriel explique comment configurer Azure AD en tant que fournisseur d'identités pour OCI IAM.

  1. Tout d'abord, téléchargez les métadonnées à partir du domaine d'identité OCI IAM.
  2. Dans les étapes suivantes, vous allez créer et configurer une application dans Azure.
  3. Dans Azure, configurez SSO avec OCI IAM à l'aide des métadonnées.
  4. Dans Azure, modifiez les attributs et les revendications de sorte que l'adresse électronique soit employée comme identificateur pour les utilisateurs.
  5. Dans Azure, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, vous revenez à votre domaine d'identité pour terminer la configuration et configuration.In OCI IAM, mettez à jour la stratégie IdP par défaut pour ajouter Azure AD.
  7. Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et Azure AD.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Un compte Azure AD avec l'un des rôles Azure AD suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application
Remarque

L'utilisateur utilisé pour l'accès avec connexion unique (SSO) doit exister à la fois dans OCI IAM et dans Azure AD pour que SSO fonctionne. Une fois ce tutoriel SSO terminé, un autre tutoriel est disponible : Gestion du cycle de vie des identités entre OCI IAM et Azure AD. Cet autre tutoriel vous explique comment provisionner des comptes utilisateur d'Azure AD vers OCI IAM ou d'OCI IAM vers Azure AD.
1. Obtention des métadonnées de fournisseur de services à partir d'OCI IAM

Vous avez besoin des métadonnées de SP de votre domaine d'identité IAM OCI pour effectuer l'import dans l'application Azure AD SAML que vous créez. OCI IAM fournit une URL directe permettant de télécharger les métadonnées du domaine d'identité que vous utilisez. Pour télécharger les métadonnées, procédez comme suit.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com.

  2. Entrez votre nom de compte cloud, également appelé nom de location, et cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité auquel vous connecter. Il s'agit du domaine d'identité utilisé pour configurer SSO, par exemple Default.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  6. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Paramètres, puis sur Paramètres de domaine.
  7. Sous Accéder au certificat de signature, sélectionnez Configurer l'accès client.

    Cela permet à un client d'accéder à la certification de signature pour le domaine d'identité sans se connecter au domaine.

  8. Cliquez sur Enregistrer les modifications.

    Configuration de l'accès client sur la page Paramètres de domaine

  9. Revenez à la présentation du domaine d'identité en cliquant sur son nom dans le chemin de navigation. Cliquez sur Copier en regard de l'URL de domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

  10. Dans un nouvel onglet de navigateur, collez l'URL que vous avez copiée et ajoutez /fed/v1/metadata à la fin.

    Par exemple :

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Les métadonnées du domaine d'identité sont affichées dans le navigateur. Enregistrez-les au format XML sous le nom OCIMetadata.xml.
2. Création d'une application d'entreprise Azure AD

Pour les étapes suivantes, vous travaillez dans Azure AD.

Créez une application d'entreprise SAML dans Azure AD.

  1. Dans le navigateur, connectez-vous à Microsoft Azure à l'aide de l'URL:
    https://portal.azure.com
  2. Cliquez sur Azure Active Directory pour ouvrir la page de présentation d'Azure Active Directory.
  3. Dans le menu de gauche, cliquez sur Applications d'entreprise.
  4. Sur la page Applications d'entreprise, cliquez sur Nouvelle application.
  5. Dans les applications de recherche, saisissez Oracle Cloud Infrastructure Console.
  6. Cliquez sur Oracle Cloud Infrastructure Console by Oracle Corporation.
  7. Entrez le nom de l'application, par exemple Oracle IAM, et cliquez sur Créer.

    Azure AD affichant le nom de l'application

    L'application d'entreprise est créée dans Azure AD.

3. Configuration de l'accès avec connexion unique pour l'application d'entreprise Azure AD

Configurez SSO pour l'application SAML Azure AD et téléchargez en local les métadonnées SAML Azure AD. Dans cette section, vous utilisez le fichier de métadonnées de SP OCI IAM que vous avez enregistré à l'étape 1. Obtenez les métadonnées de fournisseur de services à partir d'OCI IAM.

  1. Sur la page Introduction, cliquez sur Introduction sous Configurer l'accès avec connexion unique.
  2. Cliquez sur SAML, puis sur Charger le fichier de métadonnées (bouton en haut de la page). Accédez au fichier XML contenant les métadonnées de domaine d'identité OCI, OCIMetadata.xml.
  3. Indiquez l'URL de connexion. Par exemple : 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Cliquez sur Enregistrer.
  5. Fermez la page Upload metadata file du X en haut à droite. Si vous êtes invité à tester l'application immédiatement, ne le faites pas car vous la testerez plus tard dans ce tutoriel.
  6. Dans la page Configurer l'authentification unique avec SAML, faites défiler vers le bas puis, dans Certificat de signature SAML, cliquez sur Télécharger en regard de XML de métadonnées de fédération.
  7. A l'invite, sélectionnez Enregistrer le fichier. Les métadonnées sont automatiquement enregistrées avec le nom de fichier par défaut <your_enterprise_app_name>.xml. Par exemple : OracleIAM.xml.

    Page SSO basée sur SAML Azure AD

4. Modification des attributs et des revendications

Modifiez les attributs et les réclamations dans votre nouvelle application SAML Azure AD afin que l'adresse électronique de l'utilisateur soit utilisée comme nom d'utilisateur.

  1. Dans l'application d'entreprise, dans le menu de gauche, cliquez sur Ouvrir une seule connexion.
  2. Dans Attributs et revendications, cliquez sur Modifier.
  3. Cliquez sur la revendication requise : 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Dans la page Gérer la réclamation, remplacez l'attribut Source par user.userprinciplename en user.mail.

    Attributs et réclamations Azure AD

  5. Cliquez sur Enregistrer.

Configurations Azure AD supplémentaires

Dans Azure AD, vous pouvez filtrer les groupes en fonction du nom du groupe, ou de l'attribut sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé à l'aide de SAML :

  1. Cliquez sur la demande du groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Pour Correspondance avec, sélectionnez contains.
    • Pour String, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

Avec cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Azure AD envoie uniquement le groupe Administrateurs dans SAML.
Remarque

Les organisations peuvent ainsi envoyer uniquement les groupes requis à OCI IAM à partir d'Azure AD.
5. Ajout d'un utilisateur à l'application Azure AD

Créez un utilisateur pour votre application Azure AD. Par la suite, cet utilisateur peut employer ses informations d'identification Azure AD pour se connecter à la console OCI.

  1. Dans le centre d'administration Azure Active Directory, dans My Dashboard, cliquez sur Users.
  2. Cliquez sur Nouvel utilisateur, créez un utilisateur et entrez son ID d'adresse électronique.
    Remarque

    Veillez à indiquer les détails d'un utilisateur présent dans OCI IAM avec le même ID d'adresse électronique.
  3. Revenez au menu de l'application d'entreprise. Sous Introduction, cliquez sur Affecter des utilisateurs et des groupes. Vous pouvez également cliquer sur Utilisateurs sous Gérer dans le menu de gauche.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis sur la page suivante, sous Utilisateurs, cliquez sur Aucune sélection.
  5. Sur la page Utilisateurs, cliquez sur l'utilisateur de test créé. Lorsque vous la sélectionnez, l'utilisateur apparaît sous Eléments sélectionnés. Cliquez sur Sélectionner.
  6. De retour sur la page Ajouter une affectation, cliquez sur Affecter.
6. Activation d'Azure AD en tant que IdP pour OCI IAM

Pour ces étapes, vous travaillez dans OCI IAM.

Ajoutez Azure AD en tant que IdP pour OCI IAM. Dans cette section, vous utilisez le fichier de métadonnées Azure AD enregistré à l'étape 3. Configuration de l'accès avec connexion unique pour l'application d'entreprise Azure AD, par exemple, OracleIAM.xml.

  1. Dans la console OCI dans le domaine dans lequel vous travaillez, cliquez sur Sécurité, puis sur Fournisseurs d'identités.
  2. Cliquez sur Ajouter un fournisseur d'identités, puis sur Ajouter un fournisseur d'identités SAML.
  3. Entrez le nom du fournisseur d'identités SAML, par exemple Azure AD. Cliquez sur Suivant.
  4. Assurez-vous que l'option Importer les métadonnées du fournisseur d'identités est sélectionnée, et recherchez et sélectionnez le fichier XML de métadonnées Azure AD (Oracle IAM.xml), ou glissez-déplacez-le vers Métadonnées du fournisseur d'identités. Il s'agit du fichier de métadonnées que vous avez enregistré lorsque vous avez suivi l'étape 3. Configuration de l'accès avec connexion unique pour l'application d'entreprise Azure AD. Cliquez sur Suivant.
  5. Dans Mapper l'identité de l'utilisateur, définissez ce qui suit :
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut utilisateur du fournisseur d'identités, sélectionnez SAML assertion Name ID.
    • Sous Attribut utilisateur de domaine d'identité, sélectionnez Primary email address.

    Attributs de fournisseur d'identités SAML

  6. Cliquez sur Suivant.
  7. Sous Vérifier et créer, vérifiez les configurations et cliquez sur Créer IdP.
  8. Cliquez sur Activate.
  9. Cliquez sur Ajouter à la règle de stratégie IdP.

  10. Cliquez sur Stratégie de fournisseur d'identités par défaut pour l'ouvrir, cliquez sur le menu Actions (Menu Actions) et cliquez sur Modifier la règle IdP.

    Menu contextuel affichant Modifier la règle de fournisseur d'identités

  11. Cliquez sur Affecter des fournisseurs d'identités, puis sur Azure AD pour l'ajouter à la liste.

    ajout d'azure ad en tant que fournisseur d'identités dans la règle de fournisseur d'identités par défaut

  12. Cliquez sur Enregistrer les modifications.
7. Test de SSO entre Azure AD et OCI
Dans cette section, vous pouvez vérifier que l'authentification fédérée fonctionne entre OCI IAM et Azure AD.
Remarque

Pour que cela fonctionne, l'utilisateur employé pour SSO doit être présent à la fois dans OCI IAM et dans Azure AD. L'utilisateur doit également être affecté à l'application OCI IAM créée dans Azure AD.

Pour ce faire, vous avez le choix entre deux méthodes :

  • Vous pouvez créer manuellement un utilisateur de test dans OCI IAM et Azure AD.
  • Toutefois, si vous voulez effectuer un test avec un utilisateur en temps réel, vous devez configurer le provisionnement entre Azure AD et OCI IAM en suivant les étapes du tutoriel, Gestion du cycle de vie des identités entre OCI IAM et Azure AD.
Si vous n'avez pas configuré les utilisateurs pour tester ce tutoriel, l'erreur suivante s'affiche.
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testez le SSO initié par le SP.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console OCI :

    https://cloud.oracle.com.

  2. Saisissez votre nom de compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité dans lequel la fédération Azure AD a été configurée.
  4. Sur la page de connexion, vous pouvez voir une option de connexion avec Azure AD.

    Page de connexion OCI IAM

  5. Sélectionnez Azure AD. Vous êtes réacheminé vers la page de connexion Microsoft.
  6. Indiquez vos informations d'identification Azure AD.
  7. En cas de réussite de l'authentification, vous êtes connecté à la console OCI.
Etapes suivantes

Félicitations ! Vous avez configuré SSO entre Azure AD et OCI IAM.

Si un utilisateur avait déjà été créé dans Azure AD et affecté à l'application, et provisionné pour OCI IAM, vous avez pu tester le fonctionnement de l'authentification de fédération entre OCI IAM et Azure AD. Si vous ne disposez pas d'un tel utilisateur, vous pouvez en créer un en suivant l'un des tutoriels Gestion du cycle de vie des identités entre OCI IAM et Azure AD.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :