Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration de l'accès avec connexion unique et du provisionnement des utilisateurs entre OCI IAM et JumpCloud

Introduction

En configurant l'accès avec connexion unique (SSO) entre Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) et JumpCloud, les administrateurs OCI peuvent se connecter de manière transparente à la console OCI à l'aide de leurs informations d'identification JumpCloud. En outre, avec le provisionnement des utilisateurs sur les API RESTful, la synchronisation utilisateur en temps réel de JumpCloud vers OCI peut être réalisée.

Ce tutoriel montre comment OCI IAM peut être intégré à JumpCloud, en configurant une fédération SAML (Security Assertion Markup Language) et une connexion SCIM (System for Cross-domain Identity Management) 2.0.

En outre, une fois que SSO est établi et que les identités sont synchronisées, des stratégies OCI IAM peuvent être définies pour configurer les contrôles d'accès aux différentes ressources OCI. Pour plus d'informations, reportez-vous à Introduction aux stratégies et à Présentation des stratégies Oracle Cloud Infrastructure Identity and Access Management basées sur des balises.

Remarque : ce tutoriel est propre à OCI IAM avec domaines d'identité.

Objectifs

• Configurer la connexion unique SAML pour la gestion des accès.

• Configurer le provisionnement SCIM 2.0 pour la gestion des identités.

• Tester et valider.

Prérequis

• Accès à une location OCI. Pour plus d'informations, reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

• Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Pour plus d'informations, reportez-vous à Présentation des rôles d'administrateur.

• Organisation JumpCloud.

• Rôle d'administrateur au sein de l'organisation JumpCloud.

Remarque : nous avons remarqué des incohérences dans les actions de création/mise à jour d'utilisateurs lors de l'utilisation de l'offre OCI dans les intégrations JumpCloud. Par conséquent, dans le cadre de ce tutoriel, nous allons utiliser l'application personnalisée à la place.

Section 1 : Configurer la connexion unique SAML pour Access Management

JumpCloud agit en tant que fournisseur d'identités (IdP), authentifiant les utilisateurs et transmettant des jetons d'authentification de manière sécurisée à OCI IAM, qui fonctionne en tant que fournisseur de services. Pour configurer la fédération SAML, les métadonnées doivent être échangées par les deux parties.

Tâche 1.1 : obtenir les métadonnées du fournisseur de services à partir d'OCI IAM

Les métadonnées de SP du domaine d'identité OCI IAM sont exportées en premier.

1. Ouvrez un onglet de navigateur et entrez l'URL : https://cloud.oracle.com.

2. Saisissez le nom du compte cloud, également appelé nom de location, puis cliquez sur Suivant.

3. Sélectionnez le domaine d'identité auquel vous connecter. Il s'agit du domaine d'identité utilisé pour configurer SSO, par exemple Default.

4. Entrez les informations d'identification de l'administrateur pour vous connecter à la console OCI.

5. Accédez à Identité et sécurité, puis accédez à Identité et cliquez sur Domaines.

   

6. Cliquez sur le nom du domaine d'identité. Si le domaine n'est pas visible, modifiez le compartiment pour trouver le bon domaine.

   

7. Cliquez sur Sécurité, Fournisseurs d'identités et Exporter les métadonnées SAML.

   

8. Sélectionnez Fichier de métadonnées. Sous Métadonnées avec certificats autosignés, cliquez sur Télécharger le fichier XML et enregistrez ce fichier XML localement sur l'ordinateur. Il s'agit des métadonnées du processeur de service.

   

Tâche 1.2 : créer une application SSO

L'application SSO est créée dans le portail JumpCloud pour représenter la console OCI.

1. Dans le navigateur, connectez-vous au portail JumpCloud à l'aide de l'URL : https://console.jumpcloud.com/login

2. Sous AUTHENTIFICATION UTILISATEUR, sélectionnez Applications SSO et cliquez sur Mise en route.

   

3. Sous Application personnalisée, cliquez sur Sélectionner, puis sur Suivant.

   

4. Sélectionnez Gérer l'accès avec connexion unique (SSO), puis Configurer SSO avec SAML. Sélectionnez Exporter les utilisateurs vers cette application (Gestion des identités) et cliquez sur Suivant.

   

5. Entrez un nom sous Libellé d'affichage (par exemple, OCI Console) et cliquez sur Enregistrer l'application. Cliquez ensuite sur Configurer l'application.

   

Tâche 1.3 : configurer l'application SSO

La configuration SSO est nécessaire sur la nouvelle application personnalisée.

1. Dans l'onglet SSO, sous Métadonnées du fournisseur de services, cliquez sur Télécharger les métadonnées et sélectionnez le fichier de métadonnées du SP enregistré dans la tâche 1.1.8.

   

2. Si l'ID d'entité SP et les URL ACS sont renseignés automatiquement, le fichier XML a été analysé correctement.

   Sous Métadonnées JumpCloud, cliquez sur Exporter les métadonnées et enregistrez ce fichier XML en local sur l'ordinateur. Il s'agit des métadonnées IdP. Une fois que vous avez terminé, cliquez sur Enregistrer.

   

Tâche 1.4 : activation de JumpCloud en tant que IdP pour OCI IAM

Un élément IdP représentant JumpCloud est créé. Une fois que vous avez terminé, la stratégie IdP est configurée pour activer l'authentification SSO.

1. Dans la console OCI, accédez au domaine, sélectionnez Sécurité et cliquez sur Fournisseurs d'identités.

2. Sélectionnez Ajouter IdP et cliquez sur Ajouter IdP SAML.

   

3. Entrez le nom (par exemple, JumpCloud) du IdP SAML, puis cliquez sur Suivant.

   

4. Veillez à sélectionner Importer les métadonnées IdP. Sous Télécharger les métadonnées du fournisseur d'identités, téléchargez les métadonnées IdP à partir de la tâche 1.3.2 et cliquez sur Suivant.

   

5. Dans Mettre en correspondance l'identité de l'utilisateur, entrez les informations suivantes et cliquez sur Suivant.

   • Format NameID demandé : sélectionnez Aucun.
   • Attribut utilisateur du fournisseur d'identités : sélectionnez ID de nom d'assertion SAML.
   • Attribut utilisateur de domaine d'identité : sélectionnez Nom utilisateur.

   

6. Dans Vérifier et créer, vérifiez la configuration et cliquez sur Créer IdP.

   

7. Cliquez sur Activer, puis sur Ajouter à la stratégie IdP.

   

   Remarque : prête à l'emploi, une seule stratégie par défaut IdP est présente dans un domaine auquel aucune application n'est associée. Cela signifie essentiellement que toutes les applications entrent dans le champ d'application de cette stratégie, y compris la console OCI. Si le domaine dispose de stratégies IdP personnalisées qui ciblent des applications spécifiques séparément, veillez à ajouter les règles nécessaires pour cibler la console OCI. Faites preuve de prudence, car toute mauvaise configuration peut entraîner un verrouillage.

8. Cliquez sur Créer une stratégie IdP.

   

9. Dans Ajouter une stratégie, entrez le nom (par exemple, OCI Console) et cliquez sur Ajouter une stratégie.

   

10. Dans Ajouter des règles de fournisseur d'identités, cliquez sur Ajouter une règle IdP et entrez le nom de la règle. Par exemple, OCI Console access rule.

    Sous Affecter des fournisseurs d'identités, sélectionnez Nom utilisateur-Mot de passe et JumpCloud. Une fois que vous avez terminé, cliquez sur Ajouter une règle IdP, puis sur Suivant.

    

    Remarque : l'option Nom utilisateur-Mot de passe est ajoutée pour préserver l'authentification locale. Cela évite un verrouillage en cas de problème dans les paramètres de fédération.

11. Cliquez sur Ajouter une application, recherchez et sélectionnez Console OCI dans la liste. Cliquez sur Ajouter une application, puis sur Fermer.

    

Section 2 : Configuration du provisionnement des utilisateurs basé sur SCIM 2.0

La gestion du cycle de vie des utilisateurs est configurée entre JumpCloud et OCI IAM, où JumpCloud agit en tant que banque d'identités. Assurez-vous que tous les utilisateurs destinés au provisionnement en aval ont des valeurs appropriées renseignées pour les attributs suivants :

• Prénom
• Nom de famille
• Courriel de la société
• Nom d'affichage
• Pays de l'organisation
• Ville de travail
• Etat du travail (région)
• Adresse professionnelle
• Code postal

Remarque : la mise en correspondance de Adresse électronique de la société avec le nom utilisateur garantit la cohérence dans SAML Subject/NameID et est requise pour que SSO fonctionne. Exemple :

<saml2:Subject><saml2:NameID Format="urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified">XXX+test4@oracle.com</saml2:NameID> 

Tâche 2.1 : création d'une application confidentielle dans OCI IAM et génération d'un jeton secret

Un client OAuth 2.0 est inscrit dans OCI IAM. Les flux appropriés sont activés et des privilèges sont accordés. Les informations d'identification de ce client sont collectées.

1. Accédez à la console OCI, accédez à Domaines et sélectionnez le domaine utilisé dans la section 1.

2. Accédez à Applications intégrées, sélectionnez Ajouter une application, Application confidentielle et cliquez sur Lancer le workflow.

   

3. Entrez le nom (par exemple, SCIMclient) de l'application confidentielle et cliquez sur Suivant.

4. Dans la section Configuration client, sélectionnez Configurer cette application en tant que client maintenant et, sous Autorisation, sélectionnez Informations d'identification client.

   

5. Sélectionnez Ajouter des rôles d'application et cliquez sur Ajouter des rôles d'application. Sur la page Ajouter des rôles d'application, sélectionnez Administrateur des utilisateurs, puis cliquez sur Ajouter.

   

6. Cliquez sur Suivant, puis sur Terminer.

7. Cliquez sur Activer pour activer la nouvelle application.

   

8. Dans la section Informations générales, notez l'ID client et la clé secrète client, puis sélectionnez Afficher la clé secrète pour afficher le texte brut.

   

9. Le jeton secret est le codage base64 de clientID et de clientsecret.

   • Pour Windows, ouvrez PowerShell et exécutez la commande suivante pour générer l'encodage base64.

     [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret')) 

   • Pour MacOS, utilisez Terminal pour exécuter la commande suivante.

     echo -n <clientID>:<clientsecret> | base64 

     Le jeton secret est renvoyé. Exemple :

     echo -n 392357752xxxx7523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzxxxxxxxxxxxxxxxMzMtNTQzNC05ODc4LTUzNQ== 

   

10. Notez le jeton secret.

Tâche 2.2 : recherche du GUID OCI IAM

Les détails de l'adresse SCIM sont requis par le client pour effectuer des appels d'API.

1. Accédez à la console OCI, accédez à Domaines et sélectionnez le domaine utilisé dans la section 1.

2. Sélectionnez Copier en regard de l'URL de domaine dans Informations sur le domaine et notez-le. Elle doit ressembler à ce qui suit :

   https://<IdentityDomainID>.identity.oraclecloud.com:443 

3. Ajoutez /admin/v1 à la fin de l'URL. L'URL finale doit ressembler à ceci :

   https://<IdentityDomainID>.identity.oraclecloud.com:443/admin/v1 

4. Notez l'URL.

Tâche 2.3 : configuration de la gestion des identités dans l'application JumpCloud

Accédez à JumpCloud, l'adresse SCIM et les informations d'identification OAuth 2.0 sont renseignées.

1. Ouvrez l'application SSO créée dans la tâche 1.1.2 et accédez à Gestion des identités.

2. Entrez les informations ci-après et cliquez sur Tester la connexion.

   • Type d'API : sélectionnez API SCIM.
   • Version SCIM : sélectionnez SCIM 2.0.
   • URL de base : entrez l'URL de base à partir de la tâche 2.2.4.
   • Clé de jeton : entrez le jeton secret généré à partir de la tâche 2.1.10.
   • Adresse électronique de l'utilisateur test : entrez une adresse électronique pour un utilisateur dans le répertoire JumpCloud.

   

   Remarque : si la connexion réussit, la personnalisation de l'attribut utilisateur SCIM devient disponible. Par défaut, les groupes sont synchronisés avec OCI, mais vous pouvez modifier ce paramètre en activant OFF pour la gestion des groupes.

3. Dans Nom d'attribut SCIM, cliquez sur + Ajouter un attribut pour créer les mises en correspondance d'attributs en fonction de l'image suivante. Une fois que vous avez terminé, cliquez sur Activer.

   

4. Une notification doit être envoyée concernant la connexion en cours de vérification. Cliquez sur Enregistrer.

   

Tâche 2.4 : affecter des groupes à l'application JumpCloud

Remarque : comme prérequis, créez les groupes pour les administrateurs OCI dans JumpCloud avant de continuer.

Désormais, les groupes nécessitant un accès aux ressources Oracle sont alignés pour le provisionnement.

1. Ouvrez l'application SSO et accédez à l'onglet Groupes d'utilisateurs.

2. Sélectionnez les groupes à provisionner dans OCI et cliquez sur Enregistrer.

   

Section 3 : Tester et valider

Remarque : pour que SSO fonctionne, le compte utilisateur SSO doit être présent dans OCI IAM et JumpCloud.

Enfin, les identités synchronisées sont validées et l'authentification fédérée est testée.

1. Ouvrez l'un des utilisateurs dans JumpCloud et la console OCI pour vérifier que les détails correspondent.

   

   

2. Répétez le même processus pour vérifier que les groupes sont synchronisés.

   

   

Remarque : Maintenant que les identités sont synchronisées, nous validerons la connexion SSO.

1. Dans une nouvelle fenêtre de navigateur, ouvrez la console OCI. Saisissez le nom du compte cloud, également appelé nom de location, puis cliquez sur Suivant.

2. Sélectionnez le domaine d'identité dans lequel la fédération JumpCloud a été configurée.

3. Sur la page Connexion à un compte Oracle Cloud, sélectionnez JumpCloud. Il doit y avoir une redirection vers la page de connexion JumpCloud.

   

4. Entrez les informations d'identification JumpCloud de l'utilisateur fédéré. Une fois l'authentification réussie, il doit y avoir une redirection vers la console OCI.

Conclusion

Cette intégration élimine la nécessité pour les administrateurs de gérer des informations d'identification OCI distinctes, améliorant ainsi la sécurité et simplifiant la gestion des accès. Cela permet également de gérer les identités, ce qui réduit les frais administratifs et élimine la redondance.

Remerciements

• Auteur - Tonmendu Bose (ingénieur cloud senior)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Set up Single Sign-On and User Provisioning between OCI IAM and JumpCloud

G33638-01

Copyright ©2025, Oracle and/or its affiliates.