Documentation Oracle Cloud Infrastructure

Configuration d'Identity Federation

Pour configurer un fournisseur d'identités dans Private Cloud Appliance, assurez-vous que vous disposez de son fichier de métadonnées et que les exigences de certificat d'autorité de certification ont été vérifiées. Ajoutez les mappages de groupe requis pour activer l'authentification utilisateur fédérée.

Suivez les instructions détaillées de cette section pour gérer les fournisseurs d'identités et leurs correspondances de groupes.

Gestion des fournisseurs d'identités

Ajout d'Active Directory en tant que fournisseur d'identités

  1. Connectez-vous à l'interface utilisateur Web du service.

  2. Ouvrez le menu de navigation et cliquez sur Fournisseur d'identités.

  3. Dans la page Identity Providers, cliquez sur Create Identity Provider.

  4. Dans la page Créer un fournisseur d'identités, fournissez les informations suivantes :

    • Nom d'affichage

      Nom que les utilisateurs fédérés voient lorsqu'ils choisissent le fournisseur d'identités à utiliser pour se connecter à l'interface utilisateur Web de service. Ce nom doit être unique parmi tous les fournisseurs d'identités et ne peut pas être modifié.

    • Description

      Description conviviale du fournisseur d'identités.

    • Contextes d'authentification

      Cliquez sur Ajouter une référence de classe et sélectionnez un contexte d'authentification dans la liste.

      Lorsque des valeurs sont spécifiées, Private Cloud Appliance (la partie d'origine) s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors l'authentification de l'utilisateur. La réponse SAML renvoyée par le fournisseur d'identités doit contenir une instruction d'authentification avec cette référence des classes du contexte d'authentification. Si le contexte de l'authentification de la réponse SAML ne correspond pas à ce qui est indiqué ici, le service d'authentification Private Cloud Appliance rejette la réponse SAML avec un message 400.

    • Crypter l'assertion (facultatif)

      Lorsque cette option est activée, le service d'autorisation attend des assertions cryptées du fournisseur d'identités. Seul le service d'autorisation peut décrypter l'assertion. Lorsqu'elle n'est pas activée, le service d'autorisation s'attend à ce que les jetons SAML soient non cryptés, mais protégés par SSL.

    • Forcer l'authentification (facultatif)

      Lorsque cette option est activée, les utilisateurs sont toujours invités à s'authentifier auprès de leur fournisseur d'identités lorsqu'ils sont redirigés par le service d'autorisation. Lorsqu'elle n'est pas activée, les utilisateurs ne sont pas invités à se réauthentifier s'ils ont déjà une session de connexion active avec le fournisseur d'identités.

    • URL de métadonnées

      Entrez l'URL du document FederationMetadata.xml à partir du fournisseur d'identités.

      Par défaut, le fichier de métadonnées pour ADFS se trouve dans https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  5. Cliquez sur Créer un fournisseur d'identités.

    Un OCID est affecté au nouveau fournisseur d'identités et est affiché sur la page Fournisseurs d'identités

Une fois le fournisseur d'identités ajouté, vous devez configurer les mappages de groupe entre Private Cloud Appliance et Active Directory. Reportez-vous à Gestion des correspondances de groupes pour un fournisseur d'identités.

Mise à jour d'un fournisseur d'identités

  1. Ouvrez le menu de navigation et cliquez sur Fournisseurs d'identités.

    La liste des fournisseurs d'identités s'affiche.

  2. Cliquez sur l'icône Actions (trois points), puis sur Modifier, pour le fournisseur d'identités à mettre à jour.

  3. Modifiez l'une des informations suivantes. Cependant, sachez que la modification de ces informations peut affecter la fédération.

    • Description

    • Contextes d'authentification

      Ajouter ou supprimer une référence de classe.

    • Crypter l'assertion

      Activez ou désactivez les assertions cryptées du fournisseur d'identités.

    • Forcer l'authentification

      Activez ou désactivez l'authentification de redirection à partir du fournisseur d'identités.

    • URL de métadonnées

      Entrez l'URL d'un nouveau document FederationMetadata.xml à partir du fournisseur d'identités.

  4. Cliquez sur Mettre à jour le fournisseur d'identités.

Affichage des fournisseurs d'identités et des détails de configuration

La page de détails du fournisseur d'identités affiche des informations générales telles que les contextes d'authentification. Il fournit également les paramètres du fournisseur d'identités, qui incluent l'URL de réacheminement. A partir de cette page, vous pouvez également modifier le fournisseur d'identités et gérer les correspondances de groupes.

  1. Ouvrez le menu de navigation et cliquez sur Fournisseurs d'identités.

    La liste des fournisseurs d'identités s'affiche.

  2. Pour le fournisseur d'identités dont vous souhaitez visualiser les détails, cliquez sur l'icône Actions (trois points), puis sur Afficher les détails.

    La page des détails de fournisseur d'identités s'affiche.

Suppression d'un fournisseur d'identités

Si vous voulez enlever l'option permettant aux utilisateurs fédérés de se connecter à Private Cloud Appliance, vous devez supprimer le fournisseur d'identités, ce qui supprime également toutes les correspondances de groupes associées.

  1. Ouvrez le menu de navigation, cliquez sur Identité, puis sur Fédération.

    La liste des fournisseurs d'identités est affichée.

  2. Pour le fournisseur d'identités à supprimer, cliquez sur l'icône Actions (trois points), puis sur Supprimer.

  3. A l'invite Delete Identity Provider, cliquez sur Confirm.

Gestion des mises en correspondance de groupes pour un fournisseur d'identités

Lorsque vous utilisez des mappages de groupe, n'oubliez pas les éléments suivants :

  • Un groupe Active Directory donné est mis en correspondance avec un seul groupe d'appliance de cloud privé.

  • Les noms de groupe de l'appliance de cloud privé ne doivent pas contenir d'espaces et ne peuvent pas être modifiés ultérieurement. Caractères autorisés : lettres, chiffres, traits d'union, points, traits de soulignement et signes plus (+).

  • vous ne pouvez pas mettre à jour une correspondance de groupes, mais vous pouvez la supprimer et en ajouter une nouvelle.

Important

Pour que les utilisateurs fédérés puissent se connecter à l'interface utilisateur Web de service, vous devez leur fournir l'URL. Assurez-vous d'avoir configuré toutes les correspondances de groupes requises. Sinon, un utilisateur fédéré ne peut effectuer aucune opération dans Private Cloud Appliance.

Créer un mappage de groupe

Pour chaque groupe de fournisseurs d'identités à mettre en correspondance, procédez comme suit :

  1. Ouvrez le menu de navigation et cliquez sur IDP Group Mappings.

    La liste des correspondances de groupes de fournisseurs d'identités s'affiche.

  2. Cliquez sur Créer une correspondance de groupe.

    Le formulaire de mappage de groupe de fournisseurs d'identités s'affiche.

  3. Dans le champ Nom, entrez le nom du mappage de groupe de fournisseurs d'identités.

  4. Dans le champ Nom du groupe de fournisseurs d'identités, entrez le nom exact du groupe de fournisseurs d'identités.

  5. Dans la liste Nom du groupe d'administrateurs, sélectionnez le groupe d'appliance de cloud privé à mettre en correspondance avec le groupe de fournisseurs d'identités.

  6. Le cas échéant, saisissez une description du groupe.

  7. Cliquez sur Créer un mappage de groupe de fournisseur d'identités.

    Le nouveau mappage de groupe s'affiche dans la liste.

Mise à jour d'un mappage de groupe

  1. Ouvrez le menu de navigation et cliquez sur IDP Group Mappings.

    La liste des correspondances de groupes de fournisseurs d'identités s'affiche.

  2. Pour la mise en correspondance de groupe à mettre à jour, cliquez sur l'icône Actions (trois points), puis sur Modifier.

    Le formulaire de mappage de groupe de fournisseurs d'identités s'affiche.

  3. Modifiez un des champs suivants. Cependant, sachez que la modification de ces informations peut affecter la fédération.

    • Nom

    • Nom du groupe de fournisseurs d'identités

    • Nom groupe admin.

    • Description

  4. Cliquez sur Modifier le mappage de groupe de fournisseurs d'identités.

    Le mappage de groupe mis à jour s'affiche dans la liste.

Suppression d'un mappage de groupe

  1. Ouvrez le menu de navigation et cliquez sur IDP Group Mappings.

    La liste des correspondances de groupes de fournisseurs d'identités s'affiche.

  2. Pour la mise en correspondance de groupe à supprimer, cliquez sur l'icône Actions (trois points), puis sur Supprimer.

  3. A l'invite Delete IDP Group Mapping, cliquez sur Confirm.