Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
• Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration de l'accès avec connexion unique entre Oracle Cloud Infrastructure Identity and Access Management et PingOne

Introduction

En configurant l'accès avec connexion unique (SSO) entre PingOne et Oracle Cloud Infrastructure Identity and Access Management (OCI IAM), les administrateurs OCI peuvent se connecter de manière transparente à la console OCI à l'aide de leurs informations d'identification PingOne.

PingOne fait office de fournisseur d'identités (IdP), authentifie les utilisateurs et transmet des jetons d'authentification sécurisés à OCI IAM, qui fonctionne en tant que fournisseur de services. Cette intégration élimine la nécessité pour les administrateurs de gérer des informations d'identification OCI distinctes, améliorant ainsi la sécurité et simplifiant la gestion des accès.

Ce tutoriel vous explique comment intégrer OCI IAM, en tant que fournisseur de services, à PingOne, en tant que IdP. En configurant la fédération entre PingOne et OCI IAM, vous activez l'accès utilisateur aux services et aux applications dans OCI via SSO.

Remarque : ce tutoriel est propre à OCI IAM avec domaines d'identité.

Objectifs

• Configurez SSO entre OCI IAM et PingOne.

Prérequis

• Accès à un locataire OCI. Pour plus d'informations, reportez-vous à Niveau gratuit d'Oracle Cloud Infrastructure.

• Rôle d'administrateur de domaine d'identité pour le domaine d'identité OCI IAM. Pour plus d'informations, reportez-vous à Présentation des rôles d'administrateur.

• Environnement PingOne dans lequel le service PingOne SSO est activé. Vous aurez également besoin de l'un des rôles suivants :

  • Administrateur d'organisation.
  • Administrateur d'environnement.
  • Développeur d'applications client.

Tâche 1 : obtenir les métadonnées du fournisseur de services à partir d'OCI IAM

Vous avez besoin des métadonnées de SP de votre domaine d'identité OCI IAM pour les importer dans l'application SAML (Security Assertion Markup Language) PingOne que vous créez. OCI IAM fournit une URL directe permettant de télécharger les métadonnées du domaine d'identité que vous utilisez.

Pour télécharger les métadonnées, procédez comme suit.

1. Ouvrez un onglet de navigateur et entrez l'URL : https://cloud.oracle.com.

2. Entrez le nom du compte cloud, également appelé nom de location, et sélectionnez Suivant.

3. Sélectionnez le domaine d'identité auquel vous connecter. Il s'agit du domaine d'identité utilisé pour configurer SSO. Par exemple, Default.

4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe.

5. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.

   

6. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Cliquez sur Paramètres, puis sur Paramètres de domaine.

   

7. Sous Accéder au certificat de signature, sélectionnez Configurer l'accès client. Sélectionnez Enregistrer les modifications. Cela permet à un client d'accéder à la certification de signature pour le domaine d'identité sans se connecter au domaine.

   

8. Revenez à la vue d'ensemble du domaine d'identité en sélectionnant son nom dans le parcours de navigation. Cliquez ensuite sur Sécurité, puis sur Fournisseurs d'identités. Cliquez sur Exporter les métadonnées SAML.

   

9. Assurez-vous que l'option Fichier de métadonnées est sélectionnée. Sous Métadonnées avec certificats autosignés, cliquez sur Télécharger le XML. Enregistrez-le localement sur votre ordinateur. Il s'agit des métadonnées du processeur de service.

   

Tâche 2 : créer une application SAML PingOne

Dans cette tâche, nous allons travailler dans la console d'administration PingOne pour créer une application SAML dans PingOne.

1. Dans le navigateur, connectez-vous à PingOne à l'aide de l'URL : https://console.pingone.com/index.html?env=<your_environment_ID>

2. Sous Applications, cliquez sur Applications et sur + pour ajouter une nouvelle application.

   

3. Entrez le nom de l'application (par exemple, OCI Admin Console), sélectionnez Type d'application comme Application SAML et cliquez sur Configurer.

4. Sélectionnez Importer les métadonnées et cliquez sur Sélectionner un fichier. Sélectionnez le fichier de métadonnées du processeur de service enregistré dans la tâche 1.9. Si vous voyez des URL ACS et un ID d'entité remplis automatiquement, le XML a été analysé correctement. Cliquez sur Enregistrer.

   

Tâche 3 : configurer l'application SAML

Configurez SSO pour l'application SAML PingOne et téléchargez les métadonnées IdP.

Dans cette tâche, nous allons utiliser le fichier de métadonnées du SP que vous avez enregistré précédemment et configurer les mappages d'attributs.

1. Cliquez sur l'application, Configuration, puis sur le symbole de modification en haut à droite.

   

2. Dans Format de l'objet NameID, remplacez la sélection par urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress et cliquez sur Enregistrer.

   

3. Cliquez sur Mappages d'attributs, puis sur le symbole de modification en haut à droite.

4. Dans Attributs, entrez saml_subject, remplacez PingOne Mappings par Adresse électronique, puis cliquez sur Enregistrer.

   

5. Cliquez sur Présentation, faites défiler la page vers le bas et cliquez sur Télécharger les métadonnées. Enregistrez-le localement sur votre ordinateur. Il s'agit des métadonnées IdP.

   

6. Activer ou activer l'application.

Remarque : par défaut, la valeur de NameID est mise en correspondance avec le nom utilisateur dans OCI IAM.

Tâche 4 : configurer les stratégies d'authentification et l'accès utilisateur

En cas de fédération, nous vous recommandons de configurer l'authentification à plusieurs facteurs avec un contrôle d'accès basé sur un groupe ou un rôle.

1. Cliquez sur Stratégies, puis sur le symbole de modification en haut à droite.

2. Cliquez sur + Ajouter des stratégies, affectez les stratégies pertinentes à votre architecture, puis cliquez sur Enregistrer.

   

3. Cliquez sur Accès et sur le symbole de modification en haut à droite.

4. Sélectionnez les groupes qui seraient autorisés à accéder à l'application. Ignorez cette étape si vous ne souhaitez pas appliquer cette restriction.

   

Tâche 5 : activation de PingOne en tant que IdP pour OCI IAM

Pour ces étapes, vous travaillez dans OCI IAM. Dans cette section, vous utilisez le fichier de métadonnées IdP que vous avez enregistré précédemment et configurez également les mises en correspondance d'attributs.

1. Dans la console OCI, pour le domaine dans lequel vous travaillez, sélectionnez Sécurité, puis Fournisseurs d'identités.

2. Sélectionnez Ajouter IdP, puis Ajouter IdP SAML.

3. Entrez le nom de IdP SAML, par exemple PingOne. Sélectionnez Suivant.

4. Assurez-vous que l'option Importer les métadonnées du fournisseur d'identités est sélectionnée. Sélectionnez le fichier PingOnemetadata.xml enregistré précédemment dans les métadonnées du fournisseur d'identités. Sélectionnez Suivant.

   

5. Dans Mettre en correspondance l'identité de l'utilisateur, définissez les éléments suivants :

   • Sous Format NameID demandé, sélectionnez Email address.
   • Sous Attribut utilisateur du fournisseur d'identités, sélectionnez SAML assertion Name ID.
   • Sous Attribut utilisateur de domaine d'identité, sélectionnez Username.

   

6. Sélectionnez Suivant.

7. Sous Vérifier et créer, vérifiez la configuration et sélectionnez Créer IdP.

8. Sous Activer IdP, cliquez sur Activer, puis en bas, cliquez sur Fermer.

9. Sous Sécurité, accédez à Stratégies IdP et cliquez sur Créer une stratégie IdP.

   

10. Indiquez un nom et cliquez sur Ajouter une stratégie. Par exemple : PingOne IdP

11. Cliquez sur Ajouter une règle IdP et entrez un nom. Par exemple, Default.

12. Dans Affecter des fournisseurs d'identités, sélectionnez PingOne. En outre, vous pouvez cibler des groupes spécifiques ou exclure des utilisateurs pour ce IdP. Cliquez sur Ajouter une règle IdP et sur Suivant.

    

13. (Facultatif) Si vous devez restreindre cette stratégie à certaines applications uniquement, ajoutez-les sous Ajouter des applications.

14. Sélectionnez Fermer.

Tâche 6 : test de SSO entre PingOne et OCI

Remarque : pour que cela fonctionne, l'utilisateur SSO doit être présent dans OCI IAM et PingOne avec une adresse électronique valide.

Dans cette tâche, vous pouvez vérifier que l'authentification fédérée fonctionne entre OCI IAM et PingOne.

1. Ouvrez un onglet de navigateur et saisissez l'URL de la console OCI : https://cloud.oracle.com.

2. Saisissez le nom du compte cloud, également appelé nom de location, puis cliquez sur Suivant.

3. Sélectionnez le domaine d'identité dans lequel la fédération PingOne a été configurée.

4. Sur la page de connexion, vous pouvez voir une option de connexion avec PingOne. Cliquez sur PingOne et vous êtes redirigé vers la page de connexion PingOne.

   

5. Fournissez vos informations d'identification PingOne.

En cas de réussite de l'authentification, vous êtes connecté à la console OCI.

Remerciements

• Auteur - Tonmendu Bose (ingénieur cloud senior)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

---

Informations relatives au titre et au copyright

Set up Single Sign-On Between Oracle Cloud Infrastructure Identity and Access Management and PingOne

G27804-01

March 2025

Copyright ©2025, Oracle and/or its affiliates.