SSO entre OCI et Microsoft Entra ID

Dans ce tutoriel, configurez SSO entre OCI IAM et Microsoft Entra ID, en utilisant Entra ID en tant que fournisseur d'identités (IdP).

Ce tutoriel de 30 minutes vous montre comment intégrer OCI IAM, en tant que fournisseur de services (SP), à l'ID Entra, en tant que IdP. En configurant la fédération entre l'ID Entra et OCI IAM, vous activez l'accès des utilisateurs aux services et aux applications dans OCI à l'aide des informations d'identification utilisateur authentifiées par l'ID Entra.

Ce tutoriel explique la configuration de l'ID Entra en tant que IdP pour OCI IAM.

  1. Tout d'abord, téléchargez les métadonnées à partir du domaine d'identité OCI IAM.
  2. Dans les étapes suivantes, vous allez créer et configurer une application dans Entra ID.
  3. Dans l'ID Entra, configurez SSO avec OCI IAM à l'aide des métadonnées.
  4. Dans Entra ID, modifiez les attributs et les revendications de sorte que l'adresse électronique soit utilisée comme identificateur pour les utilisateurs.
  5. Dans Entra ID, ajoutez un utilisateur à l'application.
  6. Pour les étapes suivantes, revenez à votre domaine d'identité pour terminer la configuration et configuration.In OCI IAM, mettez à jour la stratégie IdP par défaut pour ajouter l'ID Entra.
  7. Vérifiez que l'authentification fédérée fonctionne entre OCI IAM et l'ID Entra.
Remarque

Ce tutoriel est propre à IAM avec domaines d'identité.
Avant de commencer

Pour effectuer ce tutoriel, vous devez disposer des éléments suivants :

  • Un compte Oracle Cloud Infrastructure (OCI) payant ou un compte d'évaluation OCI. Reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

  • Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Reportez-vous à Présentation des rôles d'administrateur.
  • Un compte Entra ID avec l'un des rôles Entra ID suivants :
    • Administrateur global
    • Administrateur d'application cloud
    • Administrateur d'application
Remarque

L'utilisateur utilisé pour l'accès avec connexion unique (SSO) doit exister à la fois dans OCI IAM et dans l'ID Entra pour que SSO fonctionne. Une fois ce tutoriel SSO terminé, il existe un autre tutoriel, Gestion du cycle de vie des identités entre OCI IAM et l'ID Entra. Cet autre tutoriel vous explique comment provisionner des comptes utilisateur à partir d'Entra ID vers OCI IAM ou d'OCI IAM vers Entra ID.
1. Obtention des métadonnées de fournisseur de services à partir d'OCI IAM

Vous avez besoin des métadonnées de fournisseur de services de votre domaine d'identité OCI IAM pour effectuer l'import dans l'application d'ID d'entra SAML que vous créez. OCI IAM fournit une URL directe permettant de télécharger les métadonnées du domaine d'identité que vous utilisez. Pour télécharger les métadonnées, procédez comme suit.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console :

    https://cloud.oracle.com.

  2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité auquel vous connecter. Il s'agit du domaine d'identité utilisé pour configurer SSO, par exemple Default.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  6. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Paramètres, puis sur Paramètres de domaine.
  7. Sous Accéder au certificat de signature, sélectionnez Configurer l'accès client.

    Cela permet à un client d'accéder à la certification de signature du domaine d'identité sans se connecter à ce dernier.

  8. Sélectionnez Enregistrer les modifications.

    Configuration de l'accès client sur la page Paramètres de domaine

  9. Revenez à la présentation du domaine d'identité en le sélectionnant dans le chemin de navigation. Sélectionnez Copier en regard de l'URL du domaine dans les informations du domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.

    Informations sur le domaine indiquant l'emplacement des informations d'URL de domaine.

  10. Dans un nouvel onglet de navigateur, collez l'URL que vous avez copiée et ajoutez /fed/v1/metadata à la fin.

    Par exemple :

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Les métadonnées du domaine d'identité sont affichées dans le navigateur. Enregistrez-les au format XML sous le nom OCIMetadata.xml.
2. Créer une application d'entreprise Entra ID

Pour les étapes suivantes, vous travaillez dans Entra ID.

Créez une application d'entreprise SAML dans Entra ID.

  1. Dans le navigateur, connectez-vous à Microsoft Entra à l'aide de l'URL :
    https://entra.microsoft.com
  2. Sélectionnez Identité, puis Applications.
  3. Sélectionnez Applications d'entreprise, puis Nouvelle application.
  4. Dans Rechercher des applications, saisissez Oracle Cloud Infrastructure Console.
  5. Sélectionnez la mosaïque Console Oracle Cloud Infrastructure par Oracle Corporation.
  6. Entrez le nom de l'application, par exemple Oracle IAM, et sélectionnez Créer.

    L'application d'entreprise est créée dans Entra ID.

3. Configuration de l'authentification unique pour l'application d'entreprise Entra ID

Configurez SSO pour l'application SAML ID Entra et téléchargez les métadonnées SAML ID Entra. Dans cette section, vous utilisez le fichier de métadonnées de SP OCI IAM enregistré à l'étape 1. Obtenez les métadonnées de fournisseur de services à partir d'OCI IAM.

  1. Sur la page Introduction, sélectionnez Introduction sous Configurer l'accès avec connexion unique.
  2. Sélectionnez SAML, puis Télécharger le fichier de métadonnées (bouton en haut de la page). Accédez au fichier XML contenant les métadonnées de domaine d'identité OCI, OCIMetadata.xml.
  3. Indiquez l'URL de connexion. Par exemple :
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Sélectionnez Enregistrer.
  5. Fermez la page Télécharger vers le serveur le fichier de métadonnées à l'aide de la croix en haut à droite. Si vous êtes invité à tester l'application immédiatement, refusez car vous la testerez plus tard dans ce tutoriel.
  6. Dans la page Configurer l'authentification unique avec SAML, faites défiler vers le bas et, dans Certificat de signature SAML, sélectionnez Télécharger en regard de XML de métadonnées de fédération.
  7. A l'invite, sélectionnez Enregistrer le fichier. Les métadonnées sont automatiquement enregistrées avec le nom de fichier par défaut <your_enterprise_app_name>.xml. Par exemple : OracleIAM.xml.

    Page SSO basée sur SAML de l'ID Entra

4. Modification des attributs et des revendications

Modifiez les attributs et les revendications dans votre nouvelle application SAML Entra ID afin que l'adresse électronique de l'utilisateur soit utilisée comme nom d'utilisateur.

  1. Dans l'application d'entreprise, dans le menu de gauche, sélectionnez Accès avec connexion unique.
  2. Dans Attributs et revendications, sélectionnez Modifier.
  3. Sélectionnez la demande requise :
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Sur la page Gérer la revendication, remplacez l'attribut source user.userprinciplename par user.mail.

    Attributs et déclarations d'ID Entra

  5. Sélectionnez Enregistrer.

Configurations d'ID entra supplémentaires

Dans Entra ID, vous pouvez filtrer les groupes en fonction de l'attribut de nom de groupe, ou sAMAccountName.

Par exemple, supposons que seul le groupe Administrators doit être envoyé via SAML :

  1. Sélectionnez la demande de groupe.
  2. Dans Réclamations de groupe, développez Options avancées.
  3. Sélectionnez Groupes de filtres.
    • Pour Attribut à mettre en correspondance, sélectionnez Display Name.
    • Dans Correspondance avec, sélectionnez contains.
    • Pour Chaîne, indiquez le nom du groupe, par exemple Administrators.

    Filtre pour les groupes

Avec cette option, même si l'utilisateur du groupe d'administrateurs fait partie d'autres groupes, Entra ID envoie uniquement le groupe d'administrateurs dans SAML.
Remarque

Cela aide les organisations à envoyer uniquement les groupes requis à OCI IAM à partir de l'ID Entra.
5. Ajout d'un utilisateur test à l'application Entra ID

Créez un utilisateur de test pour votre application Entra ID. Par la suite, cet utilisateur peut utiliser ses informations d'identification d'ID Entra pour se connecter à la console OCI.

  1. Dans le centre d'administration Microsoft Entra, sélectionnez Identité, Utilisateurs, puis Tous les utilisateurs.
  2. Sélectionnez Nouvel utilisateur, puis Créer un utilisateur, créez un utilisateur et entrez son ID d'adresse électronique.
    Remarque

    Veillez à indiquer les détails d'un utilisateur présent dans OCI IAM avec le même ID d'adresse électronique.
  3. Revenez au menu de l'application Enterprise. Sous Mise en route, sélectionnez Affecter des utilisateurs et des groupes. Vous pouvez également sélectionner Utilisateurs sous Gérer dans le menu de gauche.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis, sur la page suivante sous Utilisateurs, sélectionnez Aucune sélection.
  5. Sur la page Utilisateurs, sélectionnez l'utilisateur de test que vous avez créé. Au fur et à mesure que vous la sélectionnez, l'utilisateur apparaît sous éléments sélectionnés. Sélectionnez Sélectionner.
  6. De retour sur la page Ajouter une affectation, sélectionnez Affecter.
6. Activation de l'ID Entra en tant que IdP pour OCI IAM

Pour ces étapes, vous travaillez dans OCI IAM.

Ajoutez l'ID Entra en tant que IdP pour OCI IAM. Dans cette section, vous utilisez le fichier de métadonnées d'ID Entra que vous avez enregistré dans 3. Configurez l'accès avec connexion unique pour l'application Enterprise ID Entra, par exemple, Oracle IAM.xml.

  1. Dans la console OCI dans le domaine dans lequel vous travaillez, sélectionnez Sécurité, puis Fournisseurs d'identités.
  2. Sélectionnez Ajouter IdP, puis Ajouter IdP SAML.
  3. Entrez le nom du SAML IdP, par exemple Entra ID. Sélectionnez Suivant.
  4. Assurez-vous que l'option Importer les métadonnées du fournisseur d'identités est sélectionnée, et recherchez et sélectionnez le fichier XML de métadonnées d'ID d'entité Oracle IAM.xml, ou glissez-déplacez-vous vers Métadonnées du fournisseur d'identités. Il s'agit du fichier de métadonnées que vous avez enregistré lorsque vous avez suivi l'étape 3. Configuration de l'accès avec connexion unique pour l'application d'entreprise Entra ID. Sélectionnez Suivant.
  5. Dans l'identité de l'utilisateur Map, définissez ce qui suit :
    • Sous Format NameID demandé, sélectionnez Email address.
    • Sous Attribut utilisateur de fournisseur d'identités, sélectionnez l'ID SAML assertion Name.
    • Sous Attribut utilisateur de domaine d'identité, sélectionnez Primary email address.

    Attributs du fournisseur d'identités SAML

  6. Sélectionnez Suivant.
  7. Sous Vérifier et créer, vérifiez les configurations et sélectionnez Créer IdP.
  8. Sélectionnez Activer.
  9. Sélectionnez Ajouter à la règle de stratégie IdP.
  10. Sélectionnez Stratégie de fournisseur d'identités par défaut pour l'ouvrir, sélectionnez le menu Actions (trois points) et sélectionnez Modifier la règle IdP.

    Menu contextuel affichant Modifier la règle de fournisseur d'identités

  11. Sélectionnez Affecter des fournisseurs d'identités, puis Entra ID pour l'ajouter à la liste.

    ajout de l'ID Entra en tant que fournisseur d'identités dans la règle IdP par défaut

  12. Sélectionnez Enregistrer les modifications.
7. Test SSO entre Entra ID et OCI
Dans cette section, vous pouvez vérifier que l'authentification fédérée fonctionne entre OCI IAM et l'ID Entra.
Remarque

Pour que cela fonctionne, l'utilisateur utilisé pour SSO doit être présent à la fois dans OCI IAM et dans l'ID Entra. L'utilisateur doit également être affecté à l'application OCI IAM créée dans l'ID Entra.

Pour ce faire, vous avez le choix entre deux méthodes :

  • Vous pouvez créer manuellement un utilisateur de test dans OCI IAM et l'ID Entra.
  • Toutefois, si vous voulez effectuer un test avec un utilisateur en temps réel, vous devez configurer le provisionnement entre Entra ID et OCI IAM en suivant les étapes du tutoriel Gestion du cycle de vie des identités entre OCI IAM et Entra ID.
Si vous n'avez pas configuré d'utilisateurs pour tester ce tutoriel, vous voyez l'erreur suivante
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testez le SSO initié par le SP.

  1. Ouvrez un navigateur pris en charge et saisissez l'URL de la console OCI :

    https://cloud.oracle.com.

  2. Entrez votre nom de compte cloud, également appelé nom de location, et sélectionnez Suivant.
  3. Sélectionnez le domaine d'identité dans lequel la fédération d'ID Entra a été configurée.
  4. Sur la page de connexion, vous pouvez voir une option de connexion avec Entra ID.

    Page de connexion OCI IAM

  5. Sélectionnez l'ID Entra. Vous êtes réacheminé vers la page de connexion Microsoft.
  6. Fournissez vos informations d'identification Entra ID.
  7. En cas de réussite de l'authentification, vous êtes connecté à la console OCI.
Etapes suivantes

Félicitations ! Vous avez configuré SSO entre l'ID Entra et OCI IAM.

Si un utilisateur avait déjà été créé dans l'ID Entra et affecté à l'application, et provisionné pour OCI IAM, vous avez pu tester le fonctionnement de l'authentification de fédération entre OCI IAM et l'ID Entra. Si vous ne disposez pas d'un tel utilisateur, vous pouvez en créer un en suivant l'un des tutoriels Gestion du cycle de vie des identités entre OCI IAM et l'ID Entra.

Pour obtenir plus d'informations sur le développement avec les produits Oracle, consultez les sites suivants :