Documentation Oracle Cloud Infrastructure

Identity Federation

Découvrez comment créer une fédération d'identités pour OracleDB pour Azure à l'aide d'Azure Active Directory.

Cette dernière étape d'intégration est facultative. Si les administrateurs Azure pensent qu'un ou plusieurs utilisateurs OracleDB pour Azure devront utiliser la console OCI pour effectuer des tâches, ils doivent activer la fédération d'identités entre Azure et OCI pour permettre aux utilisateurs d'utiliser un seul ensemble d'informations d'identification afin de se connecter aux deux environnements cloud.

Pour le chemin d'intégration guidée, il n'existe aucun processus automatisé de configuration de Identity Federation. A la place, le portail OracleDB pour Azure fournit un lien vers les instructions relatives aux étapes qu'un utilisateur Azure autorisé doit effectuer pour configurer la fédération d'identités entre les deux environnements cloud.

Important

Les enregistrements utilisateur dans Azure Active Directory doivent contenir un nom et une adresse électronique valides pour fonctionner avec OracleDB pour la fédération d'identités Azure.

Plus d'informations

Pour plus d'informations sur les stratégies OCI IAM nécessaires lors de la configuration de la fédération d'identités pour OracleDB pour Azure, reportez-vous à Instructions de stratégie Oracle Cloud Infrastructure IAM pour Oracle Database Service for Azure.

Instructions

Afin de créer une application confidentielle pour OracleDB pour Azure dans votre compte OCI
  1. Accédez à la console OCI à l'adresse https://cloud.oracle.com.
  2. Saisissez le nom du compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité auquel vous connecter. Pour OracleDB pour Azure, utilisez le domaine par défaut.
  4. Connectez-vous avec le nom utilisateur et le mot de passe d'administrateur.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  6. Dans la liste des domaines, cliquez sur le nom du domaine à afficher. Pour OracleDB pour Azure, utilisez le domaine par défaut.
  7. Sur la page d'aperçu du domaine, cliquez sur Applications dans la liste des liens sous Domaine d'identité.
  8. Cliquez sur Ajouter une application et sélectionnez Application confidentielle.
  9. Cliquez sur Lancer le workflow.
  10. Dans le workflow Ajouter une application confidentielle, saisissez le nom de l'application. Par exemple, "AzureSCIMProvisioningApplication".
  11. Cliquez sur Suivant en bas de la page.
  12. Sur la page Configurer OAuth, dans la section Configuration du client, sélectionnez Configurer cette application comme client maintenant.
  13. Sous Autorisation, sélectionnez Informations d'identification client.
  14. Sous Type de client, sélectionnez Confidentiel.
  15. Dans la section Stratégie d'émission de jeton, sélectionnez Ajouter des rôles d'application.
  16. Dans la table Rôles d'application, cliquez sur le bouton Ajouter des rôles.
  17. Dans la liste des rôles d'application du panneau Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs, puis cliquez sur Ajouter.
  18. Cliquez sur Suivant.
  19. Sur la page Configurer la stratégie, sous Stratégie de niveau Web, sélectionnez Ignorer et revenir plus tard.
  20. Cliquez sur Terminer pour créer l'application.

  21. Sur la page de détails de l'application que vous venez de créer, dans la section Informations générales, repérez les champs ID client et Clé secrète du client. Copiez ces valeurs dans un éditeur de texte et formatez-les comme suit, en utilisant le signe deux-points (":") pour les séparer :

    <client_id>:<client_secret>
  22. Créez une valeur encodée en Base64 à partir de cette chaîne et stockez-la dans un emplacement sûr. Vous aurez besoin de cette valeur encodée en Base64 lors de la configuration de la fédération.
Procédure de téléchargement des métadonnées du fournisseur de services SAML du domaine OCI IAM

OCI vous permet d'utiliser une URL spéciale pour télécharger les métadonnées du fournisseur de services SAML. L'URL de téléchargement est formatée comme suit :

https://idcs-<numéro-instance-service>.identity.oraclecloud.com/fed/v1/metadata

Procédure d'obtention des métadonnées du fournisseur de services à partir d'OCI IAM

  1. Accédez à la console OCI à l'adresse https://cloud.oracle.com.
  2. Saisissez le nom du compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité auquel vous connecter. Pour OracleDB pour Azure, utilisez le domaine par défaut.
  4. Connectez-vous avec votre nom utilisateur et votre mot de passe.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  6. Dans la liste des domaines, cliquez sur le nom du domaine à afficher. Pour OracleDB pour Azure, utilisez le domaine par défaut.
  7. Sur la page d'aperçu du domaine, cliquez sur Paramètres dans la liste des liens sous Domaine d'identité.

  8. Sur la page Paramètres de domaine, sous Accéder au certificat de signature, cochez la case Configurer l'accès client.

    Cela permet à un client d'accéder à la certification de signature du domaine d'identité sans être connecté à ce dernier.

  9. Cliquez sur Enregistrer les modifications.
  10. Revenez à la page d'aperçu du domaine d'identité en cliquant sur son nom ("Domaine par défaut") dans le chemin de navigation. Cliquez sur Copier en regard de l'URL du domaine dans Informations sur le domaine et enregistrez l'URL dans une application dans laquelle vous pouvez la modifier.
  11. Dans un nouvel onglet de navigateur, collez l'URL que vous avez copiée et ajoutez /fed/v1/metadata à la fin.

    Exemples :

    https://idcs-<unique_id>.identity.oraclecloud.com:443/fed/v1/metadata
  12. Les métadonnées du domaine d'identité sont affichées dans le navigateur. Enregistrez-les dans un fichier XML sous le nom IDCSMetadata.xml.

Etapes suivantes

Créez un principal de service SAML dans le portail Azure. Pour obtenir des instructions, reportez-vous à Procédure de création d'un principal de service SAML dans votre compte Azure.

Procédure de création d'un principal de service SAML dans votre compte Azure
Remarque

Avant de commencer cette tâche, vous devez télécharger les métadonnées du fournisseur de services SAML du domaine d'identité OCI. Pour obtenir des instructions, reportez-vous à Procédure de téléchargement des métadonnées du fournisseur de services SAML du domaine OCI IAM.

  1. Connectez-vous au portail Azure.
  2. Sous Services Azure, cliquez sur Azure Active Directory.
  3. Dans le panneau de gauche, cliquez sur Applications d'entreprise.
  4. Cliquez sur + Nouvelle application.
  5. Cliquez sur + Créer votre propre application.
  6. Indiquez le nom de l'application dans le champ Nom. Par exemple, "Fournisseur de services SAML du domaine OCI IAM".
  7. Sélectionnez le bouton radio Intégrer une autre application que vous ne trouvez pas dans la galerie.
  8. Cliquez sur Créer. La création de l'application par Azure prend quelques instants.
  9. Sur la page Vue d'ensemble de l'application, cliquez sur Authentification unique dans le panneau de gauche, sous Gérer.
  10. Sélectionnez SAML comme méthode d'authentification unique.
  11. Cliquez sur Charger le fichier de métadonnées.
  12. Dans la boîte de dialogue Charger le fichier de métadonnées, cliquez sur l'icône de dossier, puis accédez au fichier de métadonnées d'ID OCI enregistré localement (IDCSMetadata.xml).
  13. Sélectionnez le fichier de métadonnées, puis cliquez sur Ajouter. Les métadonnées préconfigurées du fichier sont utilisées pour créer l'application.
  14. Dans le panneau Configuration SAML de base, cliquez sur Enregistrer. Fermez le panneau une fois l'enregistrement terminé.
  15. Repérez le champ XML de métadonnées de fédération dans la section Certificat de signature SAML et cliquez sur le lien Télécharger. Ce fichier vous servira à créer une ressource de fournisseur d'identités dans OCI. Cette ressource autorise le service d'identité d'OCI à effectuer la fédération avec Azure Active Directory.
  16. Dans le panneau gauche, cliquez sur Utilisateurs et groupes.
  17. Cliquez sur + Ajouter un utilisateur/groupe.

  18. Dans le panneau Ajouter une attribution, sélectionnez Aucune sélection sous Utilisateurs et groupes ou Utilisateurs.

  19. Recherchez et sélectionnez l'utilisateur ou le groupe à affecter à l'application. Par exemple, vous pouvez rechercher un nom utilisateur tel que odsauser1@liilca.com. Recherchez et ajoutez des utilisateurs ou des groupes supplémentaires, selon vos besoins.

  20. Vérifiez la liste des éléments sélectionnés, puis cliquez sur Sélectionner.

  21. Dans le panneau Ajouter une attribution, sélectionnez Affecter en bas du panneau.

Etapes suivantes

Créez une ressource de fournisseur d'identités pour Azure Active Directory dans la console OCI. Pour obtenir des instructions, reportez-vous à Procédure de création d'une ressource de fournisseur d'identités dans OCI IAM pour Azure Active Directory.

Procédure de création d'une ressource de fournisseur d'identités dans OCI IAM pour Azure Active Directory
Remarque

Pour mener à bien cette tâche, vous avez besoin du fichier XML de métadonnées de fédération téléchargé à partir du portail Azure. Son téléchargement est décrit dans Procédure de création d'un principal de service SAML dans votre compte Azure.

  1. Connectez-vous à votre compte OCI à l'adresse https://cloud.oracle.com.
  2. Indiquez le nom de la location.
  3. Sélectionnez le domaine Par défaut.
  4. Indiquez les informations d'identification. Assurez-vous que l'utilisateur OCI dispose des privilèges d'administration requis pour configurer la fédération d'identités dans votre compte OCI.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité.
  6. Cliquez sur Domaines sous l'en-tête Identité.
  7. Sélectionnez votre compartiment.
  8. Dans la liste des domaines, localisez le domaine Par défaut et cliquez sur son nom.
  9. Cliquez sur Fournisseurs d'identités sous Sécurité.
  10. Cliquez sur le bouton Ajouter un fournisseur d'identités et sélectionnez l'option Ajouter un fournisseur d'identités SAML.
  11. Sous Ajouter des détails, indiquez le nom du fournisseur d'identités. Vous pouvez éventuellement ajouter une description du fournisseur d'identités. Cliquez ensuite sur Suivant.
  12. Sur l'écran Configurer un fournisseur d'identités, sélectionnez Importer les métadonnées du fournisseur d'identités.
  13. Glissez-déplacez le fichier XML de métadonnées de fédération vers la zone Métadonnées du fournisseur d'identités, ou cliquez sur le lien sélectionner un élément, puis accédez au fichier sur votre système de fichiers local et sélectionnez-le. Cliquez ensuite sur Suivant.
  14. Sur l'écran Mettre les attributs en correspondance, sélectionnez ID de nom comme attribut utilisateur du fournisseur d'identités. Sélectionnez Nom utilisateur comme attribut utilisateur du domaine d'identité et Adresse électronique comme format de NameID demandé.
  15. Cliquez sur Créer IdP.
  16. facultatif. Sur l'écran Exporter, cliquez sur le bouton Télécharger dans le champ de métadonnées Fournisseur de services pour télécharger les métadonnées de votre fournisseur d'identités SAML.
  17. facultatif. Testez les paramètres de configuration du fournisseur d'identités pour vous assurer qu'il fonctionne correctement. Vous pouvez utiliser les informations d'identification du fournisseur d'identités pour vous connecter au domaine d'identité par l'intermédiaire d'un site Web externe.
  18. Sous Activer le fournisseur d'identités, cliquez sur Activer, puis sur Terminer.

Etapes suivantes

Activez la synchronisation des utilisateurs et des groupes dans le principal de service SAML Azure. Pour obtenir des instructions, reportez-vous à Procédure d'activation de la synchronisation des utilisateurs et des groupes dans le principal de service SAML Azure.

Afin de créer des groupes d'utilisateurs OCI IAM et des stratégies pour OracleDB pour Azure

Vous devrez créer des stratégies dans OCI IAM afin d'activer l'autorisation d'Azure Active Directory pour OracleDB pour les groupes d'utilisateurs Azure. Reportez-vous à Gestion de l'accès aux ressources pour obtenir un aperçu des stratégies dans OCI IAM.

Pour obtenir des exemples d'instructions de stratégie, reportez-vous à Instructions de stratégie Oracle Cloud Infrastructure IAM pour Oracle Database Service for Azure.

  1. Accédez à la console OCI à l'adresse https://cloud.oracle.com.
  2. Saisissez le nom du compte cloud, également appelé nom de location, puis cliquez sur Suivant.
  3. Sélectionnez le domaine d'identité auquel vous connecter. Pour OracleDB pour Azure, utilisez le domaine par défaut.
  4. Connectez-vous avec le nom utilisateur et le mot de passe d'administrateur.
  5. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  6. Dans la liste des domaines, cliquez sur le nom du domaine à afficher. Pour OracleDB pour Azure, utilisez le domaine par défaut.
  7. Sur la page d'aperçu du domaine, cliquez sur Groupes dans la liste des liens sous Domaine d'identité.
  8. Cliquez sur Créer un groupe et entrez le nom du groupe. Par exemple, odsa-db-family-administrators.
  9. Saisissez la description du groupe.
  10. Cliquez sur Créer pour créer le groupe.
  11. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Stratégies.
  12. Cliquez sur Créer une stratégie.
  13. Attribuez un nom à la règle. Par exemple, my_odsa_compartment_odsa-db-family-administrators.
  14. Entrez la description de la stratégie.
  15. Pour compartiment, sélectionnez OracleDB pour le compartiment Azure.
  16. Dans la section Générateur de stratégies, activez Afficher l'éditeur manuel, puis copiez et collez votre stratégie dans le champ Générateur de stratégies.
  17. Sélectionnez Créer une autre stratégie pour créer une autre stratégie après avoir créé la stratégie en cours de configuration.
  18. Cliquez sur Créer.
  19. Répétez les étapes 12 à 18 pour créer les stratégies supplémentaires dont vos utilisateurs ont besoin.
Procédure de création de OracleDB pour les groupes d'utilisateurs Azure dans Azure pour la fédération d'identités OCI IAM

Les groupes d'utilisateurs OCI IAM que vous avez créés dans Procédure de création de groupes d'utilisateurs et de stratégies OCI IAM pour OracleDB for Azure ont besoin d'un ensemble de groupes d'utilisateurs correspondant dans Azure Active Directory afin de permettre à OracleDB d'obtenir l'autorisation des utilisateurs Azure. Créez les groupes suivants dans Azure et affectez-leur des utilisateurs Azure selon vos besoins :

  • oci-direct-readers

  • network-oci-direct-users

  • exadb-oci-direct-users

  • ocimcs-administrateur

  1. Connectez-vous au portail Azure.
  2. Sur la page d'accueil, sélectionnez Azure Active Directory.
  3. Sur la page Active Directory, sélectionnez Groupes.
  4. Cliquez sur Nouveau groupe.
  5. Sur la page Nouveau groupe, choisissez Sécurité pour Type de groupe.
  6. Renseignez les champs Nom du groupe et Description du groupe.
  7. Cliquez sur Aucun propriétaire sélectionné sous Propriétaires, sélectionnez un propriétaire de groupe, puis cliquez sur Sélectionner.
  8. Cliquez sur Aucun membre sélectionné sous Membres, sélectionnez des membres de groupe, puis cliquez sur Sélectionner.
  9. Cliquez sur Créer.
  10. Répétez les étapes 4 à 9 pour créer tous les groupes abordés dans cette rubrique.
Procédure d'activation de la synchronisation des utilisateurs et des groupes dans le principal de service SAML Azure
  1. Dans votre compte Azure, accédez au principal de service SAML que vous avez créé à l'aide des instructions fournies dans Procédure de création d'un principal de service SAML dans votre compte Azure :
    1. Sous Services Azure, cliquez sur Azure Active Directory.
    2. Dans le panneau de gauche, cliquez sur Applications d'entreprise.
    3. Dans la liste des applications d'entreprise, cliquez sur le nom de votre application. La page Vue d'ensemble de l'application s'affiche.
  2. Cliquez sur Approvisionnement dans le panneau de gauche.
  3. Cliquez sur Prise en main.
  4. Sur la page Approvisionnement, sélectionnez Automatique comme mode d'approvisionnement.

  5. Dans la section Informations d'identification d'administration, indiquez l'URL de locataire et le jeton de clé secrète base64 décrits dans les deux dernières étapes de Procédure de création d'une application confidentielle pour OracleDB pour Azure dans votre compte OCI.

  6. Cliquez sur Test de connexion.
  7. Si la configuration de la connexion aboutit, cliquez sur Enregistrer.

Etapes suivantes

Vous pouvez affecter des utilisateurs Azure supplémentaires à OracleDB pour les groupes d'utilisateurs Azure. Pour plus d'informations, reportez-vous à Ajout d'utilisateurs OracleDB pour Azure dans Azure après avoir terminé l'inscription.