Documentation Oracle Cloud Infrastructure

Activation de la relation de confiance de fédération

La fédération d'identités requiert une relation de confiance entre Private Cloud Appliance et son fournisseur d'identités, Microsoft Active Directory. Des détails spécifiques du système partenaire de fédération sont requis pour établir cette confiance mutuelle, afin que les données pour l'authentification utilisateur puissent être échangées.

Collecter les métadonnées ADFS requises

La fédération d'identités requiert les informations suivantes du fournisseur d'identités :

  • Document de métadonnées SAML d'Active Directory Federation Services (ADFS)

    Son emplacement par défaut est : https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  • Noms des groupes Active Directory (AD) à mettre en correspondance avec des groupes Private Cloud Appliance

    Notez tous les groupes AD qui nécessitent un mapping.

    Attention

    Assurez-vous que tous les groupes Private Cloud Appliance ont été configurés avant d'ajouter AD en tant que fournisseur d'identités.

Vérification des certificats de fournisseur d'identités

Attention

Si votre certificat ADFS est signé par une autorité de certification connue, il doit déjà exister dans le groupe de certificats Private Cloud Appliance. Dans ce cas, vous pouvez ignorer cette section.

L'autorité de certification Private Cloud Appliance est basée sur des certificats x.509 racine et intermédiaires générés par OpenSSL et autosignés. Ces certificats CA sont utilisés pour émettre des certificats serveur/client x.509, ce qui vous permet d'ajouter des informations de confiance CA externes à l'appareil. Si vous utilisez un certificat auto-signé pour ADFS, vous devez ajouter aux noeuds de gestion des informations de confiance CA externes provenant d'ADFS.

Remarque

Si vous utilisez la propriété metadataUrl pour créer ou mettre à jour un fournisseur d'identités, vous devez ajouter la chaîne de certificat du serveur Web du fournisseur d'identités à l'appliance de cloud privé en dehors du package d'autorité de certification. Consultez la documentation de votre fournisseur d'identités sur la recherche de la chaîne de certificats du serveur Web, puis suivez les étapes 3 à 8.

Pour ajouter des informations de confiance d'autorité de certification externe, procédez comme suit :

  1. Téléchargez le document de métadonnées SAML pour ADFS, disponible par défaut à l'adresse suivante :

    https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

  2. Ouvrez le fichier dans un éditeur de texte ou XML et localisez la section du certificat de signature. Par exemple :

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. Connectez-vous au noeud de gestion 1 (pcamn01).

  4. Accédez à /etc/pca3.0/vault et créez un répertoire nommé customer_ca.

    Remarque

    Vous pouvez utiliser ce répertoire pour plusieurs fichiers. Par exemple, vous pouvez créer un fichier pour le certificat du fournisseur d'identités et un fichier pour la chaîne de certificats du serveur Web.

  5. Dans le répertoire customer_ca, créez un fichier au format PEM.

  6. Copiez le certificat à partir du fichier FederationMetadata.xml, situé dans la balise <X509Certificate>, puis collez-le dans le nouveau fichier PEM. Veillez à inclure les éléments -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, par exemple :

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. Enregistrez le fichier et fermez-le.

  8. Exécutez la commande suivante pour mettre à jour ca_outside_bundle.crt sur tous les noeuds de gestion :

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

Ajout de Private Cloud Appliance en tant que partie de confiance dans ADFS

Pour terminer le processus de fédération, vous devez ajouter Private Cloud Appliance en tant que partie de confiance dans Microsoft Active Directory Federation Services (ADFS), puis ajouter des règles de réclamation de partie de confiance associées.

Ajouter une partie réceptrice dans ADFS

  1. Dans l'interface utilisateur Web de service de la page Fournisseurs d'identités, affichez le bloc de texte suivant :

    Le document sur les métadonnées de fédération de l'appliance de cloud privé est affiché en bas : Vous avez besoin du document relatif à la configuration de la confiance de Microsoft Active Directory Federation Services ou d'autres fournisseurs d'identités compatibles SAML 2.0. Il s'agit d'un document XML qui décrit les informations d'adresse et de certificat de l'appliance de cloud privé. Cliquer ici

  2. Cliquez ici.

    Un fichier XML de métadonnées s'ouvre dans le navigateur avec une URL similaire à :

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. Copiez l'URL du fichier XML de métadonnées.

  4. A partir du système installé avec ADFS, ouvrez une fenêtre de navigateur et collez l'URL.

  5. Enregistrez le fichier en vous assurant qu'il utilise l'extension .xml, par exemple my-sp-metadata.xml.

  6. Accédez à la console de gestion AD FS et connectez-vous au compte que vous souhaitez fédérer.

  7. Ajoutez Private Cloud Appliance en tant que partie de confiance.

    1. Sous AD FS, cliquez avec le bouton droit de la souris sur les fiducies de partie réceptrice et sélectionnez Ajouter une fiducie de partie réceptrice.

    2. Dans la page d'accueil de l'assistant Ajouter une fiducie de partie réceptrice, sélectionnez Réclamations conscientes, puis cliquez sur Démarrer.

    3. Dans la page Select Data Source, sélectionnez Import data about the relying party from a file (Importer des données sur la partie réceptrice à partir d'un fichier).

    4. Cliquez sur Browse et accédez à my-sp-metadata.xml, puis cliquez sur Open.

    5. Dans la page Spécifier le nom d'affichage, entrez un nom d'affichage, ajoutez des notes facultatives pour la partie réceptrice, puis cliquez sur Suivant.

    6. Dans la page Choisir une stratégie de contrôle d'accès, sélectionnez le type d'accès à accorder, puis cliquez sur Suivant.

    7. Dans la page Ready to Add Trust, vérifiez les paramètres, puis cliquez sur Next pour enregistrer les informations de confiance de la partie de confiance.

    8. Dans la page Fin, cochez "Configurer la stratégie d'émission des réclamations pour cette application", puis cliquez sur Fermer.

      La boîte de dialogue Modifier la stratégie d'émission de la réclamation apparaît. Vous pouvez la laisser ouverte pour la procédure suivante.

Ajout de règles de déclaration de partie réceptrice

Après avoir ajouté Private Cloud Appliance en tant que partie de confiance, vous devez ajouter des règles de réclamation afin que les éléments requis (ID de nom et groupes) soient ajoutés à la réponse d'authentification SAML.

Pour ajouter une règle d'ID de nom, procédez comme suit :

  1. Dans la boîte de dialogue Modifier la stratégie d'émission de réclamation, cliquez sur Ajouter une règle.

    La boîte de dialogue Sélectionner un modèle de règle s'affiche.

  2. Pour le modèle de règle Réclamation, sélectionnez Transformer une réclamation entrante, puis cliquez sur Suivant.

  3. Entrez les informations suivantes :

    • Nom de règle de déclaration : saisissez le nom de cette règle, par exemple, nameid.

    • Type de revendication entrante : sélectionnez le nom de compte Microsoft Windows.

    • Type de demande sortante : sélectionnez un type de demande, par exemple, ID de nom.

    • Format d'ID de nom sortant : sélectionnez Identificateur persistant.

    • Sélectionnez Transmettre toutes les valeurs de déclaration, puis cliquez sur Terminer.

      La règle est affichée dans la liste des règles.

La boîte de dialogue Règles de transformation d'émission affiche la nouvelle règle.

Si vos utilisateurs Active Directory appartiennent à 100 groupes ou moins, il vous suffit d'ajouter la règle de groupes. Toutefois, si vos utilisateurs Active Directory appartiennent à plus de 100 groupes, ces utilisateurs ne peuvent pas être authentifiés pour utiliser l'interface utilisateur Web de service. Pour ces groupes, vous devez appliquer un filtre à la règle de groupes.

Pour ajouter la règle de groupes, procédez comme suit :

  1. Dans la boîte de dialogue Règles de transformation d'émission, cliquez sur Ajouter une règle.

    La boîte de dialogue Sélectionner un modèle de règle s'affiche.

  2. Sous Modèle de règle de revendication, sélectionnez Envoyer les revendications en utilisant une règle personnalisée, puis cliquez sur Suivant.

  3. Dans l'assistant Ajout de règle de revendication de transformation, entrez les informations suivantes :

    • Nom de la règle de revendication : entrez des groupes.

    • Règle personnalisée : entrez la règle personnalisée.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    • Cliquez sur Terminer.

    La boîte de dialogue Règles de transformation d'émission affiche la nouvelle règle.

Désactivation de la vérification de révocation de certificat

Pour qu'ADFS fonctionne avec SAML, vous devez désactiver la vérification de la liste des certificats révoqués (CRL). Ouvrez Powershell sur le système ADFS et entrez la commande suivante, où TRUST_NAME est le nom de l'approbation de la partie de confiance :

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None