Documentation Oracle Cloud Infrastructure

Intégration avec Microsoft Entra ID

Prérequis

Avant d'installer et de configurer un système orchestré Microsoft Entra ID, vous devez prendre en compte les tâches et prérequis suivants.

Composants certifiés

Le système Microsoft Entra ID peut être l'un des suivants :

Composants certifiés
Type de composant Composant
Système
  • Microsoft Entra ID
  • ID Microsoft Entra avec locataire activé Business-to-Consumer (B2C)
Version de l'API système
  • Microsoft Entra ID
  • API Microsoft Graph v1.0
  • API d'authentification Microsoft version v2.0 (OAuth 2.0)

Modes pris en charge

Le système orchestré Microsoft Entra ID prend en charge les modes suivants :

  • Source faisant autorité
  • Système géré

Opérations prises en charge

Le système orchestré Microsoft Entra ID prend en charge les opérations suivantes sur Microsoft Entra ID :
  • Créer un utilisateur
  • Supprimer l'utilisateur
  • Réinitialiser le mot de passe
  • Affecter des rôles à un utilitaire
  • Révoque des rôles d'un utilisateur
  • Attribuer des licences à un utilisateur
  • Supprimer les licences d'un utilisateur
  • Affecter SecurityGroup à un utilisateur
  • Enlever SecurityGroup d'un utilisateur
  • Affecter OfficeGroup à un utilisateur
  • Enlever OfficeGroup d'un utilisateur

Attributs pris en charge par défaut

Le système orchestré Microsoft Entra ID prend en charge les attributs par défaut suivants. Ces attributs sont mis en correspondance en fonction de la direction de la connexion, par exemple :
  • Données incluses par Oracle Access Governance à partir de l'ID Microsoft Entra : User.givenName sera mis en correspondance avec Identity.firstName
  • Données provisionnées dans Microsoft Entra ID à partir d'Oracle Access Governance : account.lastName sera mis en correspondance avec User.surname
Attributs par défaut - Source autorisée
Entité locataire activée pour Microsoft Entra ID/Microsoft Entra ID B2C Nom d'attribut sur le système géré Nom d'attribut d'identité Oracle Access Governance Nom d'affichage de l'attribut d'identité Oracle Access Governance
Utilisateur ID UID ID uniques
mailNickname nom Nom utilisateur de l'employé
userPrincipalName e-mail E-mail
givenName firstName Prénom
nom de famille lastName Nom
displayName displayName Nom
usageLocation usageLocation Nom d'emplacement
responsable managerLogin Responsable
preferredLanguage preferredLanguage Langue préférée
accountEnabled statut Statut
Attributs supplémentaires pour le locataire activé par B2C identités identities.issuerAssignedId identités
identités identities.signInType Type de connexion
identités identities.issuer Emetteur
passwordPolicies passwordPolicy Stratégie de mot de passe
Attributs par défaut - Système géré
Entité locataire activée pour Microsoft Entra ID/Microsoft Entra ID B2C Nom d'attribut sur le système géré Nom d'attribut de compte Oracle Access Governance Nom d'affichage de l'attribut de compte Oracle Access Governance
Utilisateur ID UID ID uniques
userPrincipalName nom Connexion de l'utilisateur
givenName firstName Prénom
nom de famille lastName Nom
displayName displayName Nom
mailNickname mailNickname Pseudonyme de messagerie
courrier e-mail E-mail
usageLocation usageLocation Emplacement d'utilisation de l'élément
ville ville Ville
pays pays Pays
responsable managerLogin Responsable
passwordProfile.forceChangePasswordNextSignIn forceChangePasswordNextSignIn Modifier le mot de passe à la prochaine connexion
preferredLanguage preferredLanguage Langue préférée
userType userType Type d'employé
accountEnabled statut Statut
mot de passe mot de passe Mot de passe
Attributs supplémentaires pour le locataire activé par B2C
identities.issuerAssignedId issuerAssignedId ID affecté à l'émetteur
identities.signInType signInType Type de connexion
identities.issuer émetteur Emetteur
passwordPolicies passwordPolicy Stratégie de mot de passe
Licences licences en tant que droit

Configuration et paramètres des applications Microsoft Enterprise

Pour pouvoir établir une connexion, vous devez effectuer les tâches suivantes dans le centre d'administration Microsoft Entra ID pour l'application Enterprise :
  1. Créez et inscrivez une application d'entreprise à intégrer à Oracle Access Governance. Pour plus d'informations, voir la documentation Microsoft.
  2. Générer une clé secrète client pour l'application
  3. Accordez les droits d'accès délégués et d'application suivants pour l'API Microsoft Graph :

    Droit d'accès délégué

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.Read
    • User.ReadWrite

    Autorisation d'application

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.ReadWrite.All
    • RoleManagement.ReadWrite.Directory
  4. Cliquez sur le bouton Accorder le consentement de l'administrateur pour fournir des droits d'accès complets à l'échelle du répertoire afin d'effectuer les tâches d'API associées pour un système intégré

Pour plus d'informations, reportez-vous à la documentation Microsoft.

Règles de correspondance par défaut

Pour mettre en correspondance des comptes avec des identités dans Oracle Access Governance, vous devez disposer d'une règle de mise en correspondance pour chaque règle de mise en correspondance par défaut system.The orchestrée pour le système orchestré Microsoft Entra ID :

Règles de correspondance par défaut
Mode Règle de correspondance par défaut
Source faisant autorité

La mise en correspondance des identités vérifie si les identités entrantes correspondent à une identité existante ou sont nouvelles.

Pour le locataire Microsoft Entra ID/pour le locataire Microsoft Entra ID B2C :

Valeur d'écran :

User login = Email

Nom d'attribut :

Account.userPrincipalName = Identity.name

Système géré

La mise en correspondance des comptes vérifie si les comptes entrants correspondent aux identités existantes.

Pour Microsoft Entra ID :

Valeur d'écran :

User login = Email

Nom d'attribut :

Account.userPrincipalName = Identity.name

Pour le locataire Microsoft Entra ID B2C :

Valeur d'écran :

Email = Email

Nom d'attribut :

Account.mail = Identity.email

Configurer

Vous pouvez établir une connexion entre Microsoft Entra ID (anciennement Azure Active Directory) et Oracle Access Governance en saisissant les détails de connexion. Pour ce faire, utilisez la fonctionnalité des systèmes orchestrés disponible dans la console Oracle Access Governance.

Accéder à la page Systèmes orchestrés

Accédez à la page Systèmes orchestrés de la console Oracle Access Governance en procédant comme suit :
  1. Dans l'icône Menu de navigation du menu de navigation d'Oracle Access Governance, sélectionnez Administration des services → Systèmes orchestrés.
  2. Cliquez sur le bouton Ajouter un système orchestré pour démarrer le workflow.

Sélectionner un système

A l'étape Sélectionner un système du workflow, vous pouvez indiquer le type de système que vous souhaitez intégrer. Vous pouvez rechercher le système requis par nom à l'aide du champ Rechercher.

  1. Sélectionnez ID Microsoft Entra.
  2. Cliquez sur Suivant.

Saisir les détails

A l'étape Ajouter des détails du workflow, entrez les détails du système orchestré :
  1. Entrez le nom du système auquel vous souhaitez vous connecter dans le champ Nom.
  2. Entrez une description du système dans le champ Description.
  3. Décidez si ce système orchestré est une source faisant autorité et si Oracle Access Governance peut gérer les droits d'accès en cochant les cases suivantes.
    • Il s'agit de la source faisant autorité pour mes identités

      Sélectionnez l'une des options suivantes :

      • Source d'identités et de leurs attributs : le système agit comme une source d'identités et des attributs associés. De nouvelles identités sont créées via cette option .
      • Source des attributs d'identité uniquement : le système ingère des détails d'attributs d'identité supplémentaires et les applique aux identités existantes. Cette option n'ingère ni ne crée d'enregistrements d'identité.
    • Je veux gérer les droits d'accès pour ce système
    Dans chaque cas, la valeur par défaut est Non sélectionné.
  4. Sélectionnez Suivant.
Remarque

Le système orchestré Microsoft Entra ID vous permet de gérer des groupes dans Microsoft Entra ID à l'aide de l'option Je veux gérer les collections d'identités pour ce système orchestré. Si cette case est cochée, vous pouvez gérer les groupes d'ID Microsoft Entra à partir d'Oracle Access Governance. Toutes les modifications apportées aux groupes d'ID Microsoft Entra seront rapprochées entre Oracle Access Governance et le système orchestré. De même, toutes les modifications apportées dans Microsoft Entra ID seront reflétées dans Oracle Access Governance

Ajouter des propriétaires

Vous pouvez associer la propriété des ressources en ajoutant des propriétaires principaux et supplémentaires. Cela entraîne le libre-service car ces propriétaires peuvent ensuite gérer (lire, mettre à jour ou supprimer) les ressources qu'ils possèdent. Par défaut, le créateur de la ressource est désigné comme propriétaire de la ressource. Vous pouvez affecter un propriétaire principal et jusqu'à 20 propriétaires supplémentaires pour les ressources.
Remarque

Lorsque vous configurez le premier système orchestré pour votre instance de service, vous ne pouvez affecter des propriétaires qu'après avoir activé les identités à partir de la section Gérer les identités.
Pour ajouter des propriétaires :
  1. Sélectionnez un utilisateur actif Oracle Access Governance en tant que propriétaire principal dans le champ Qui est le propriétaire principal ?.
  2. Sélectionnez un ou plusieurs propriétaires supplémentaires dans la liste Qui d'autre en est propriétaire ?. Vous pouvez ajouter jusqu'à 20 propriétaires supplémentaires pour la ressource.
Vous pouvez afficher le propriétaire principal dans la liste. Tous les propriétaires peuvent afficher et gérer les ressources qu'ils possèdent.

Paramètres de compte

A l'étape Paramètres de compte du workflow, indiquez comment Oracle Access Governance doit gérer les comptes lorsque le système est configuré en tant que système géré :
  1. Lorsqu'une autorisation est demandée et que le compte n'existe pas encore, sélectionnez cette option pour créer de nouveaux comptes. Cette option est sélectionnée par défaut. Lorsque cette option est sélectionnée, Oracle Access Governance crée un compte s'il n'en existe pas lorsqu'une autorisation est demandée. Si vous désélectionnez cette option, les droits d'accès ne sont provisionnés que pour les comptes existants dans le système orchestré. Si aucun compte n'existe, l'opération de provisionnement échoue.
  2. Sélectionnez les destinataires des courriels de notification lorsqu'un compte est créé. Le destinataire par défaut est Utilisateur. Si aucun destinataire n'est sélectionné, aucune notification n'est envoyée lors de la création des comptes.
    • Utilisateur
    • Gestionnaire d'utilisateurs
  3. Configurer des comptes existants
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.
    1. Sélectionner ce qu'il faut faire avec les comptes lorsqu'une résiliation anticipée commence : choisissez l'action à effectuer lorsqu'une résiliation anticipée commence. Cela se produit lorsque vous devez révoquer les accès à l'identité avant la date de fin officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action, aucune action n'est entreprise.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
      • Aucune action : aucune action n'est entreprise lorsqu'une identité est marquée pour une résiliation anticipée par Oracle Access Governance.
    2. Sélectionner ce qu'il faut faire avec les comptes à la date de fin de contrat : sélectionnez l'action à effectuer lors de la fin de contrat officielle. Cela se produit lorsque vous devez révoquer les accès d'identité à la date de fin de contrat officielle.
      • Supprimer : supprime tous les comptes et droits d'accès gérés par Oracle Access Governance.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Supprimer, aucune action n'est effectuée.
      • Désactiver : désactive tous les comptes et tous les droits d'accès gérés par Oracle Access Governance.
        • Supprimer les droits d'accès pour les comptes désactivés : pour garantir un accès résiduel nul, sélectionnez cette option pour supprimer les droits d'accès affectés directement et les droits d'accès accordés par une stratégie lors de la désactivation du compte.
        Remarque

        Si un système orchestré spécifique ne prend pas en charge l'action Désactiver, le compte est supprimé.
      • Aucune action : aucune action n'est effectuée sur les comptes et les droits d'accès par Oracle Access Governance.
  4. Lorsqu'une identité quitte votre entreprise, vous devez supprimer l'accès à ses comptes.
    Remarque

    Vous ne pouvez définir ces configurations que si l'administrateur système l'autorise. Lorsque les paramètres globaux de résiliation de compte sont activés, les administrateurs de l'application ne peuvent pas gérer les paramètres de résiliation de compte au niveau du système orchestré.

    Sélectionnez l'une des actions suivantes pour le compte :

    • Supprimer : supprimez tous les comptes et droits d'accès gérés par Oracle Access Governance.
    • Désactiver : désactivez tous les comptes et marquez les autorisations comme inactives.
      • Supprimer les droits d'accès pour les comptes désactivés : supprimer les droits d'accès directement affectés et accordés par une stratégie lors de la désactivation du compte afin de garantir un accès résiduel nul.
    • Aucune action : n'effectuez aucune action lorsqu'une identité quitte l'organisation.
    Remarque

    Ces actions ne sont disponibles que si elles sont prises en charge par le type de système orchestré. Par exemple, si l'option Supprimer n'est pas prise en charge, vous verrez uniquement les options Désactiver et Aucune action.
  5. Lorsque tous les droits d'accès d'un compte sont supprimés, par exemple lorsqu'une identité se déplace d'un service à l'autre, vous devrez peut-être décider quoi faire avec le compte. Sélectionnez l'une des actions suivantes, si elle est prise en charge par le type de système orchestré :
    • Supprimer
    • Désactiver
    • Aucune intervention
  6. Gérer les comptes qui ne sont pas créés par Access Governance : sélectionnez cette option pour gérer les comptes qui sont créés directement dans le système orchestré. Vous pouvez ainsi rapprocher les comptes existants et les gérer à partir d'Oracle Access Governance.
Remarque

Si vous ne configurez pas le système en tant que système géré, cette étape du workflow s'affiche mais n'est pas activée. Dans ce cas, vous passez directement à l'étape Paramètres d'intégration du workflow.
Remarque

Si votre système orchestré nécessite un repérage de schéma dynamique, comme pour les intégrations Generic REST et Database Application Tables, seule la destination de courriel de notification peut être définie (Utilisateur, Usermanager) lors de la création du système orchestré. Vous ne pouvez pas définir les règles de désactivation/suppression pour les déménageurs et les sortants. Pour ce faire, vous devez créer le système orchestré, puis mettre à jour les paramètres de compte comme décrit dans Configurer les paramètres de compte système orchestré.

Paramètres d'intégration

A l'étape Paramètres d'intégration du workflow, entrez les détails de configuration requis pour autoriser Oracle Access Governance à se connecter à l'ID Microsoft Entra.

  1. Dans le champ Hôte, entrez le nom d'hôte de l'ordinateur hébergeant votre système géré. Par exemple, pour l'API Microsoft Graph, vous pouvez entrer graph.microsoft.com
  2. Dans le champ Port, saisissez le numéro de port auquel le système sera accessible. Par défaut, Microsoft Entra ID utilise le port 443.
  3. Entrez l'URL du serveur d'authentification qui valide l'ID et le secret client de votre système géré dans le champ URL du serveur d'authentification. Par exemple, pour authentifier l'application à l'aide de l'API OAuth 2.0, entrez la syntaxe suivante : 
    https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token
    Pour savoir comment extraire le domaine principal ou l'ID de locataire, reportez-vous à la documentation Microsoft.
  4. Entrez l'identificateur client (chaîne unique) émis par le serveur d'autorisation à votre système client au cours du processus d'enregistrement dans le champ ID client. L'ID client, également appelé ID d'application, est obtenu lors de l'enregistrement d'une application dans Microsoft Entra ID. Cette valeur identifie votre application dans la plate-forme d'identité Microsoft. Pour plus d'informations, reportez-vous à la documentation Microsoft.
  5. Dans le champ Clé secrète client, entrez la valeur d'ID de clé secrète pour authentifier l'identité de votre système. Vous devez créer une clé secrète client pour votre système et saisir la valeur dans ce champ. Utilisez cette valeur uniquement lorsque vous n'utilisez pas de clé privée pour l'authentification.
    Remarque

    Vous devez noter ou copier cette valeur de clé secrète client, car vous ne pourrez pas y accéder ni la visualiser une fois que vous aurez quitté la page.
    Pour plus d'informations, reportez-vous à la documentation Microsoft.
  6. Entrez la clé privée PEM dans le champ Clé privée, uniquement lorsque vous n'utilisez pas de clé secrète client pour l'authentification.

    A des fins de test uniquement, vous pouvez générer un certificat auto-signé en procédant comme suit :

    1. Créez une clé privée cryptée que vous allez charger dans l'instance Entra ID.
      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365
    2. Déchiffrez la clé privée pour créer un fichier .pem (decrypted_key.pem dans l'exemple) que vous pouvez entrer en tant que valeur pour la clé privée lors de la configuration d'Oracle Access Governance.
      openssl rsa -in encrypted_key.pem -out decrypted_key.pem
    3. Si votre clé privée est au format PKCS1, vous pouvez éventuellement la convertir au format PKCS8, pris en charge dans Oracle Access Governance.
      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
  7. Entrez la valeur de l'empreinte de certificat (X509) dans l'empreinte de certificat, uniquement lorsque vous n'utilisez pas de clé secrète client pour l'authentification.

    Pour obtenir l'empreinte du certificat, procédez comme suit :

    1. Convertissez la valeur hexadécimale de l'empreinte du certificat en fichier binaire.
      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin
    2. Convertissez l'empreinte binaire en base64, qui peut être utilisé dans le champ Empreinte de certificat.
      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
  8. Cochez la case Cet environnement de locataire B2C est-il activé ? pour inclure les attributs d'identité (émetteur, type de connexion, ID émetteur) pour chaque utilisateur. Si l'un des attributs d'identité est renvoyé NULL ou vide, Oracle Access Governance ignore le chargement des données pour cet utilisateur et n'ingère pas l'utilisateur.
  9. Dans le champ Quel est le délai d'expiration de la demande ?, entrez la durée maximale d'attente pour qu'un serveur réponde à une demande.
  10. Cliquez sur Ajouter pour créer le système orchestré.

Terminer

Enfin, vous pouvez choisir de configurer davantage votre système orchestré avant d'exécuter un chargement de données, ou d'accepter la configuration par défaut et de lancer un chargement de données. Sélectionnez l'une des options suivantes :
  • Effectuer une personnalisation avant d'activer le système pour les chargements de données
  • Activer et préparer le chargement de données avec les valeurs par défaut fournies

Post-configuration

Aucune étape de postinstallation n'est associée à un système Microsoft Entra ID.