Remarque :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeur pour les informations d'identification Oracle Cloud Infrastructure, la location et les compartiments. A la fin de votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configurer la fédération et le provisionnement des utilisateurs entre Oracle Identity Cloud Service et CyberArk

Introduction

Les entreprises utilisent des fournisseurs d'identités (généralement appelés IDP) pour gérer les utilisateurs/groupes, leurs identifiants/mots de passe et pour authentifier les utilisateurs afin d'accéder à des ressources spécifiques. Si une personne souhaite accéder à la console OCI (oracle cloud infrastructure) pour gérer/utiliser des ressources, elle doit se connecter avec son nom utilisateur et son mot de passe via une connexion native. Cependant, les entreprises ont la possibilité de fédérer leurs fournisseurs d'identités existants afin que les employés puissent utiliser leurs informations d'identification existantes pour accéder aux ressources Oracle Cloud Infrastructure (OCI) sans avoir à se souvenir d'un autre ensemble d'informations d'identification.

En bref, Identity Federation est le processus de délégation de la responsabilité d'authentification d'une personne ou d'une entité à une partie externe de confiance. Chaque partenaire de fédération joue le rôle d'un fournisseur d'identités (IdP) ou d'un fournisseur de services (SP). Dans ce tutoriel, CyberArk est le fournisseur d'identités et Oracle Identity Cloud Service est le fournisseur de services.

Flux de fédération

La fédération est l'endroit où le SP fait confiance aux identités fournies par un IdP. Techniquement, le fournisseur d'identités fournit un jeton de sécurité qui contient des informations sur l'utilisateur utilisé pour autoriser l'utilisateur et donner accès au service particulier.

Le flux fédéré est le suivant.

1. L'utilisateur tente d'accéder au fournisseur de services à l'aide d'un navigateur.
2. Le fournisseur de services envoie une demande de redirection au navigateur de l'utilisateur.
3. Le navigateur connecte le fournisseur d'identités et le fournisseur d'identités effectue une authentification.
4. Une fois l'authentification réussie, le fournisseur de services crée un jeton de sécurité et redirige le navigateur vers le fournisseur de services.
5. Le navigateur accède au service fourni par le fournisseur de services.

Public

Ce tutoriel est destiné aux professionnels de l'informatique et aux administrateurs de la sécurité/identité OCI.

Objectif

Ce tutoriel présente la configuration de la fédération et du provisionnement automatique des utilisateurs entre CyberArk et Oracle Identity Cloud Service.

Remarque : à mesure que le processus de remplacement d'Oracle Identity Cloud Service par des domaines d'identité OCI IAM se poursuit, le concept et la configuration de fédération et du provisionnement automatique des utilisateurs sont les mêmes que ceux abordés dans ce tutoriel. Cependant, toutes les étapes de configuration doivent être effectuées dans la console de domaine OCI IAM et il n'y aura pas de console Oracle Identity Cloud Service distincte.

Prérequis

• Accès administrateur Oracle Identity Cloud Service
• Accès au portail d'administration CyberArk

Tâche 1 : configuration de la fédération entre CyberArk et Oracle Identity Cloud Service

1. Ajoutez le modèle d'application Web Oracle Cloud Infrastructure.

   • Dans le portail d'administration CyberArk, sélectionnez Applications et widgets, Applications Web, puis cliquez sur Ajouter des applications Web.

     

   • Dans l'onglet Recherche, entrez Oracle Cloud Infrastructure dans le champ Recherche et cliquez sur l'icône de recherche.

   • En regard d'Oracle Cloud Infrastructure, cliquez sur Ajouter.

   • Dans l'écran Ajouter une application Web, cliquez sur Oui pour confirmer.

   • Cliquez sur Fermer pour quitter le catalogue d'applications.

   • L'application Oracle Cloud Infrastructure s'ouvre sur la page Paramètres.

2. Configurez la page Paramètres.

   • Définissez le nom, la description, la catégorie et le logo d'une application si vous souhaitez les modifier.

3. Configurez la page de sécurisation.

   • Dans la section Configuration du fournisseur d'identités, sélectionnez Métadonnées, puis cliquez sur Télécharger le fichier de métadonnées pour télécharger les métadonnées du fournisseur d'identités. Ce fichier est utilisé ultérieurement lorsque vous configurez l'intégration SAML dans Oracle Cloud Infrastructure.

   • Configurez l'URL du fournisseur d'identités qui émet le jeton de sécurité SAML2 et le certificat de signature, si nécessaire. Votre fournisseur de services SAML vous obligera à envoyer des valeurs de configuration de fournisseur d'identités dans une certaine méthode. Choisissez la méthode, puis suivez les instructions.

     

4. Configurez la page Réponse SAML.

   • Ajoutez un attribut de courriel comme indiqué dans l'image ci-dessous.

     

5. Configurer la page Droits d'accès.

   • Sélectionnez les utilisateurs et les groupes à affecter à l'application.

6. Vérifiez et enregistrez.

7. Connectez-vous à la console Oracle Identity Cloud Service et accédez à Fournisseurs d'identités sous Fédération. Ajoutez un nouveau fournisseur d'identités et entrez les détails suivants.

   • Nom : entrez le nom du fournisseur d'identités.
   • Description : entrez les informations relatives au fournisseur d'identités.
   • Icône : Cliquez pour télécharger une icône représentant le fournisseur d'identités. L'icône doit avoir une taille de 48X48 pixels et un arrière-plan transparent. Types de fichier pris en charge : png, jpg, jpeg.

8. Configurez les détails suivants dans l'onglet Configurer le fournisseur d'identités et cliquez sur Suivant.

   • Importer les métadonnées de fournisseur d'identités : cliquez sur cette option pour configurer la fédération du fournisseur d'identités en important les métadonnées.
   • Métadonnées : cliquez sur Télécharger. Sélectionnez le fichier .xml contenant les métadonnées de fournisseur d'identités à importer.
   • Algorithme de hachage de signature : sélectionnez l'algorithme de hachage SHA-1 ou SHA-256 lors de la signature des messages SAML au fournisseur d'identités.
   • Inclure le certificat de signature : cochez cette case pour inclure le certificat de signature Oracle Identity Cloud Service avec les messages SAML signés envoyés au fournisseur d'identités. Si vous ne voulez pas inclure le certificat de signature, laissez-le désélectionné.

9. Ajoutez les détails suivants dans l'onglet Map Attributes.

   • Attribut utilisateur de fournisseur d'identités : permet de configurer l'identificateur utilisateur unique fourni dans l'assertion SAML. Si vous sélectionnez l'ID de nom, Oracle Identity Cloud Service met en correspondance l'utilisateur en fonction de la valeur du sujet NameID dans l'assertion. Si vous sélectionnez un attribut SAML, vous devez entrer le nom de l'attribut dans l'assertion et l'utilisateur sera mis en correspondance en fonction de la valeur de l'attribut SAML.
   • Attribut utilisateur Oracle Identity Cloud Service : sélectionnez l'attribut d'identité de l'utilisateur dans Oracle Identity Cloud Service qui correspondra à l'attribut d'identité de l'utilisateur reçu dans l'assertion SAML du fournisseur d'identités.
   • Format NameID demandé : sélectionnez le format NameID indiqué par Oracle Identity Cloud Service dans les demandes d'authentification SAML envoyées au fournisseur d'identités. Si vous ne souhaitez pas spécifier de format, conservez la valeur Aucun demandé.

10. Exportez les métadonnées du fournisseur de services pour une utilisation ultérieure. Utilisez les mêmes métadonnées de fournisseur de services pour terminer également la configuration de CyberArk.

11. Dans l'onglet Test IDP, cliquez sur Tester la connexion pour tester les paramètres de configuration du fournisseur d'identités et cliquez sur Suivant.

12. Dans le panneau Activer, cliquez sur Activer le fournisseur d'identités pour activer ce dernier et cliquez sur Terminer.

13. Après avoir activé le fournisseur d'identités, accédez à Stratégies de fournisseur d'identités, puis sélectionnez Stratégie de fournisseur d'identités par défaut.

    

14. Cliquez sur Modifier la règle de fournisseur d'identités et incluez le nom du fournisseur d'identités que vous avez activé précédemment dans la liste Affecter des fournisseurs d'identités et enregistrez-le. Après cet utilisateur, vous pouvez vous connecter avec les informations d'identification CyberArk à l'environnement OCI.

    

Tâche 2 : activer le provisionnement des utilisateurs SCIM de CyberArk vers Oracle Identity Cloud Service

1. Créez une application confidentielle sous Oracle Identity Cloud Service, Applications avec les détails de configuration suivants, et enregistrez l'ID client et la clé secrète client pour une utilisation ultérieure.

   • Indiquez le nom de l'application confidentielle.
   • Dans l'écran suivant, sélectionnez l'option Configure this application as a client now.
   • Dans la liste des types d'octroi disponibles, sélectionnez le type d'octroi Informations d'identification client.
   • Cliquez sur le bouton Ajouter ci-dessous, Octroyer au client l'accès aux API d'administration d'Identity Cloud Service. Sélectionnez le rôle d'application Administrateur d'utilisateurs et cliquez sur Ajouter.
   • Cliquez sur Suivant.
   • Dans l'onglet Ressources, ne mettez rien à jour et cliquez sur Suivant.
   • Dans l'onglet Autorisation, ne mettez rien à jour et cliquez sur Terminer.
   • Un message apparaît indiquant que l'application a été ajoutée avec les informations d'identification client. Notez l'ID client et la clé secrète du client.

2. Configurez les détails suivants sous l'onglet Provisionnement de l'application CyberArk.

   • Dans le portail d'administration, accédez à la page Provisionnement de l'application déployée.

   • Sélectionnez Activer le provisionnement pour cette application.

   • Sélectionnez Live Mode.

   • Entrez l'URL SCIM du fournisseur de services pour l'URL du service SCIM.

   • Sélectionnez l'en-tête d'autorisation comme type d'autorisation.

   • Sélectionnez Header Type as Bearer et collez votre jeton d'accès (valeur codée en base de ClientID:Clientsecret) dans le champ Bearer Token.

   • Vérifiez la connexion.

     

Une fois la vérification effectuée, vous pourrez provisionner les utilisateurs et les groupes.

Erreurs et dépannage

• Le type d'autorisation "Oauth 2.0" nécessite qu'un utilisateur valide les informations d'identification car il utilise un flux à trois acteurs. En raison de laquelle le jeton d'accès n'est valide que pendant une heure par défaut et lorsque l'utilisateur se déconnecte de la session, il lui est demandé de valider à nouveau la configuration de provisionnement lors de sa prochaine connexion. Cela ne répond pas aux exigences de provisionnement automatique des utilisateurs. Par conséquent, il n'est pas recommandé d'utiliser ce type d'autorisation.

• Problème : lorsque vous utilisez le type d'autorisation en tant qu'en-tête d'autorisation (comme décrit dans la session de provisionnement des utilisateurs) et que vous provisionnez des utilisateurs, le message d'erreur suivant s'affiche : Impossible de valider les informations d'identification utilisateur.

  Résolution : vérifiez que l'appel d'API /GetServiceProviderConfig (utilisé pour obtenir des informations sur les schémas et les adresses pris en charge) échoue avec une erreur non autorisée et ajoutez le schéma et la version manuellement via les indicateurs de configuration suivants. En outre, l'appel de point de terminaison utilisateur est sensible à la casse et traite les points de terminaison "users" et "Users" différemment. Ajoutez donc une autre configuration pour ne pas modifier la casse.

  Generic SAML_doNotChangeSCIMURLCase.OCI = true
  Generic SAML_ScimVersion.OCI = v2
  Generic SAML_Schemas_User.OCI (user schema )
  

Liens connexes

• Fédération avec les fournisseurs d'identités

Remerciements

Auteur - Ranjini Rajendran (ingénieur cloud senior)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenu de formation gratuit sur le canal Oracle Learning YouTube. En outre, accédez à education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour consulter la documentation produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Configure federation and user provisioning between Oracle Identity Cloud Service and CyberArk

F80211-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.