Il est recommandé de définir <stripename> pour toutes les entités que vous allez créer propres au stripe. Il est important d'identifier de manière unique les configurations associées à un stripe, en particulier lorsque plusieurs stripes sont configurés.

Dans IDCS, créez un groupe dans le stripe secondaire et ajoutez-y des utilisateurs du stripe secondaire.

1. Ajouter un groupe dans le stripe secondaire et le nommer stripename_administrators. Reportez-vous à Définition d'une convention de dénomination de stripe. Par exemple, nommez-le stripe2_administrators. Cliquez sur Terminer.
   Pour plus d'informations, reportez-vous à Création de groupes dans Administration d'Oracle Identity Cloud Service.

   Ces administrateurs seront autorisés à créer des instances Oracle Integration. Ce groupe IDCS sera mis en correspondance avec un groupe Oracle Cloud Infrastructure.

2. Ajoutez des utilisateurs du stripe secondaire au groupe.

Créez une application confidentielle IDCS qui utilise les informations d'identification client OAuth et à laquelle est affecté le rôle d'administrateur de domaine IDCS. Vous devez créer une application confidentielle par stripe secondaire.

1. En tant qu'administrateur IDCS, connectez-vous à la console d'administration IDCS secondaire.
2. Ajoutez une application confidentielle.
   1. Accédez à l'onglet Applications.
   2. Cliquez sur Ajouter.
   3. Sélectionnez Application confidentielle.
   4. Nommez l'application Client_Credentials_For_SAML_Federation.
   5. Cliquez sur Suivant.
   
   

   
   

   
   
3. Configurez les paramètres client.
   1. Cliquez sur Configurer cette application comme client maintenant.
   2. Sous Autorisation, sélectionnez Informations d'identification client.
      
      

      
      

      
      
   3. Sous Octroyer au client l'accès aux API d'administration d'Identity Cloud Service, cliquez sur Ajouter et sélectionnez le rôle d'application Administrateur de domaine d'identité.
      
      

      
      

      
      
   4. Cliquez deux fois sur Suivant.
4. Cliquez sur Terminer. Une fois l'application créée, notez son ID client et sa clé secrète client. Vous aurez besoin de ces informations pour des étapes ultérieures de la fédération.
   
   

   
   

   
   
5. Cliquez sur Activer et confirmez l'activation de l'application.

Ce groupe est nécessaire car la fédération de fournisseurs d'identités SAML Oracle Cloud Infrastructure exige la mise en correspondance de groupes pour la fédération des utilisateurs du fournisseur d'identités fédéré (IDCS), et l'appartenance à un groupe natif OCI est requise pour la définition et l'octroi des droits d'accès Oracle Cloud Infrastructure (stratégies) pour les utilisateurs fédérés.

1. Dans la console Oracle Cloud Infrastructure, ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Groupes.

   Ce groupe Oracle Cloud Infrastructure sera mis en correspondance avec le groupe IDCS que vous avez créé.

2. Créer un groupe et lui attribuer le nom oci_stripename_administrators. Par exemple, nommez-le oci_stripe2_administrators.
   
   

   
   

   
   

Maintenant que les groupes IDCS et Oracle Cloud Infrastructure sont créés et que les informations client sont nécessaires, créez le fournisseur d'identités IDCS et mettez en correspondance les groupes.

1. Connectez-vous à la console Oracle Cloud Infrastructure. Sélectionnez le domaine d'identité du stripe primordial (identitycloudservice) et entrez les informations d'identification utilisateur correspondantes.

   N'oubliez pas que la mise en correspondance de groupes d'un stripe secondaire utilise la connexion utilisateur du stripe principal. Ceci est important, car l'ajout de plusieurs stripes entraîne l'ajout de plusieurs options à la liste déroulante.

2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité, puis sur Fédération.
3. Cliquez sur Ajouter un fournisseur d'identités.
4. Dans l'écran affiché, renseignez les champs comme indiqué ci-dessous.

   Champ	Entrée
   Nom	<stripename>_service
   Description	Federation with IDCS secondary stripe
   Type	Oracle Identity Cloud Service
   URL de base Oracle Identity Cloud Service	Entrez l'URL au format suivant : https://idcs-xxxx.identity.oraclecloud.com Remplacez la partie correspondant au domaine (<idcs-xxxx>) par votre stripe IDCS secondaire.
   ID client/Clé secrète du client	Entrez les informations que vous avez créées dans le bande secondaire et notées lors des étapes de création d'un client OAuth dans le bande secondaire.
   Forcer l'authentification	Sélectionnez cette option.

5. Cliquez sur Continuer.
6. Mettez en correspondance le stripe secondaire IDCS et les groupes OCI que vous avez créés précédemment.
   Mettez en correspondance le groupe de partition secondaire IDCS (créé dans Création d'un groupe IDCS pour les utilisateurs du groupe secondaire) et le groupe OCI (créé dans Création d'un groupe Oracle Cloud Infrastructure pour les utilisateurs du groupe secondaire).
7. Cliquez sur Ajouter un fournisseur.
   La fédération de stripe secondaire est terminée. La correspondance de groupes est affichée.
   
   

   
   

   
   
8. Vérifiez la bande secondaire et configurez la visibilité pour les administrateurs de bandes secondaires et les utilisateurs.

   • L'administrateur de locataire peut voir toutes les bandes IDCS fédérées dans la console OCI :

   • L'administrateur de bande secondaire et tous les autres utilisateurs de bande secondaire ne verront aucun stripe sous Federation. Pour résoudre ce problème, reportez-vous à Fourniture de l'accès à une bande fédérée dans le groupe de consoles Oracle Cloud Infrastructure pour les utilisateurs de bande secondaires.

Une fois la fédération terminée, configurez des stratégies Oracle Cloud Infrastructure qui permettent aux utilisateurs fédérés du stripe IDCS secondaire de créer des instances Oracle Integration. En tant que modèle commun, la stratégie est limitée à un compartiment.

1. Créez un compartiment dans lequel des instances Oracle Integration pour le stripe IDCS secondaire peuvent être créées. Nommez le compartiment stripename_compartment.
   Par exemple, créez un compartiment nommé stripe2_compartment.
2. Créez une stratégie permettant aux utilisateurs fédérés de créer des instances Oracle Integration dans le compartiment. Nommez la stratégie stripename_adminpolicy (par exemple, stripe2_adminpolicy).
   Sous Policy Builder, sélectionnez Afficher l'éditeur manuel.

   • Syntaxe : allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

   • Stratégie : allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

   Cette stratégie permet à un utilisateur membre du groupe indiqué de créer une instance Oracle Integration (integration-instance) dans le compartiment nommé stripe2_compartment.

Effectuez des étapes supplémentaires pour permettre à l'administrateur de bande secondaire et à tous les autres utilisateurs de bande secondaire de voir les bandes sous fédération.

1. Dans Oracle Identity Cloud Service, créez un groupe nommé stripe2_federation_administrators.
2. Ajoutez des utilisateurs au groupe auquel vous voulez pouvoir visualiser la fédération et créer des utilisateurs et des groupes dans la console Oracle Cloud Infrastructure dans cette bande.
3. Dans la console Oracle Cloud Infrastructure, à l'aide de l'utilisateur de bande principal disposant des droits d'accès appropriés, créez un groupe Oracle Cloud Infrastructure nommé oci_stripe2_federation_administrators.
4. Mettez en correspondance les groupes stripe2_federation_administrators et oci_stripe2_federation_administrators.
5. A l'aide des exemples d'instructions suivants, définissez une stratégie qui accorde l'accès aux bandes fédérées.
   Plusieurs exemples montrent comment accorder l'accès à une bande fédérée spécifique, en utilisant une clause where qui identifie la bande secondaire. Vous pouvez obtenir l'OCID de la fédération à partir de la vue de fédération dans la console Oracle Cloud Infrastructure.

   Permet aux administrateurs de bandes secondaires...	Instruction de stratégie
   Créer des groupes (utiliser)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Enumérer les fournisseurs d'identités dans la fédération (spect)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Notez que si les administrateurs de bande secondaires sont requis pour créer des groupes, cette stratégie est requise lorsqu'une clause WHERE est incluse.
   Accéder à une bande fédérée spécifique (utilisation)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”
   Gérer TOUT ou UNIQUEMENT un fournisseur d'identités de bande secondaire spécifique (gérer)	ALL : allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy UNIQUEMENT fournisseur d'identités de bande secondaire spécifique : allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"

Une fois les stratégies de fédération et Oracle Cloud Infrastructure définies, les utilisateurs fédérés peuvent se connecter à la console Oracle Cloud Infrastructure et créer des instances Oracle Integration.

1. Connectez-vous en tant qu'utilisateur fédéré à partir de la bande secondaire.
   Les utilisateurs doivent sélectionner la bande secondaire dans le champ Fournisseur d'identités (idcs-secondary-stripe-service, dans ce cas).
2. Les administrateurs autorisés peuvent créer des instances Oracle Integration dans le compartiment indiqué (idcs-secondary-stripe-compartment, dans ce cas).