A propos de la configuration de la fédération entre Identity Cloud Service et Access Manager
En utilisant Oracle Access Management (OAM) afin de fournir une connexion unique (SSO) pour vos applications sur site, vous pouvez également intégrer n'importe quelle application protégée par Oracle Identity Cloud Service.
Votre système de gestion des accès sur site existant fournit à vos utilisateurs une connexion unique à vos applications d'entreprise on-premise. L'ajout d'applications cloud à votre entreprise présente les défis liés à la gestion d'un autre annuaire des utilisateurs avec les mots de passe utilisateur associés.
Lorsque vous utilisez Oracle Identity Cloud Service pour votre solution d'accès avec connexion unique basée sur le cloud, vous avez également la possibilité d'ajouter des fournisseurs d'identités externes. La configuration de votre environnement OAM en tant que fournisseur d'identités (IdP) pour Oracle Identity Cloud Service fournit à vos utilisateurs un emplacement unique pour gérer les mots de passe.
En configurant OAM de sorte qu'il agisse en tant que IdP, Oracle Identity Cloud Service est fédéré avec OAM. L'accord de fédération stipule que lorsqu'un utilisateur tente d'accéder à une application protégée par Oracle Identity Cloud Service, l'authentification est sous-traitée à OAM. L'accord de fédération désigne OAM comme partenaire de confiance.
Oracle Identity Cloud Service fournit une intégration prête à l'emploi avec la version IdPs conforme à SAML 2.0.
La fonctionnalité Oracle Identity Cloud Service SAML 2.0 IdP :
- Fonctionne avec les solutions SSO fédérées compatibles avec SAML 2.0, telles qu'Oracle Access Management.
- Permet aux utilisateurs de se connecter à Oracle Identity Cloud Service à l'aide de leurs informations d'identification à partir de IdP.
- Peut forcer l'authentification IdP pour tous les utilisateurs ou offrir l'authentification IdP en tant qu'option Sélecteur de connexion.
L'établissement d'une connexion unique (SSO) entre votre système OAM sur site et Oracle Identity Cloud Service est une étape importante de la migration vers le cloud. La fédération d'Oracle Identity Cloud Service avec OAM rend le processus de migration transparent pour vos utilisateurs, car vous n'avez pas besoin de modifier l'écran de connexion ou le flux d'authentification des utilisateurs.
Architecture
Votre implémentation Oracle Access Management sur site est la source fiable des informations d'identification de connexion. La configuration d'une fédération SAML 2.0 vous permet de continuer à exploiter les informations d'identification à partir d'Oracle Access Management dans Oracle Identity Cloud Service.
La deuxième étape de la feuille de route pour migrer votre environnement d'un système de gestion des accès sur site vers Oracle Identity Cloud Service consiste à établir une connexion unique fédérée.
Le schéma suivant met en évidence les principaux composants architecturaux de cette étape :
Figure - Oracle Access Manager en tant que IdP pour Oracle Identity Cloud Service
Description de l'image Oracle Access Manager en tant que IdP pour Oracle Identity Cloud Service
Dans ce diagramme architectural, le système de gestion des accès sur site représente le mécanisme d'authentification hérité, et Oracle Identity Cloud Service représente le mécanisme cloud. La source de confiance de l'utilisateur d'entreprise est représentée par un serveur LDAP (Lightweight Directory Access Protocol) d'entreprise. Les utilisateurs du serveur LDAP d'entreprise sont synchronisés avec Oracle Identity Cloud Service par le pont.
Avant de commencer
Vous trouverez ci-dessous des considérations relatives à la fédération d'Oracle Identity Cloud Service avec Oracle Access Management (OAM).
Si vous prévoyez de migrer votre environnement OAM vers Oracle Identity Cloud Service, vous pouvez suivre une feuille de route de migration pour intégrer vos applications on-premise à Oracle Identity Cloud Service afin que ces applications utilisent le même accès avec connexion unique (SSO) que vos applications cloud. Pour en savoir plus sur cette feuille de route, reportez-vous à En savoir plus sur la migration de la gestion des accès sur site vers Oracle Identity Cloud Service.
Pour fédérer Oracle Identity Cloud Service avec Oracle Access Management, vous devez :
- Accédez à Oracle Identity Cloud Service avec l'autorisation de gérer les fournisseurs d'identités.
- Environnement OAM dans lequel les services Federation sont activés.
- Utilisateurs synchronisés entre la banque d'identités OAM et Oracle Identity Cloud Service. Pour ce faire, vous pouvez utiliser le pont Microsoft Active Directory ou un pont de provisionnement.
- Un attribut unique partagé, tel qu'une adresse électronique, doit être présent et renseigné à la fois dans Oracle Identity Cloud Service et dans le répertoire d'OAM.
- Horloges de serveur synchronisées où chaque service s'exécute. L'assertion SAML doit être traitée dans sa fenêtre de temps valide.
- Pour tenir à jour le processus existant de gestion des mots de passe utilisateur dans OAM, source faisant autorité pour les informations d'identification et de connexion.
A propos des services et rôles requis
Cette solution nécessite les services suivants :
- Oracle Identity Cloud Service
- Oracle Access Management
Il s'agit des rôles nécessaires pour chaque service.
| Nom de service : rôle | Requis pour... |
|---|---|
Oracle Identity Cloud Service : Security Administrator |
Gérer les fournisseurs d'identités. |
Oracle Access Management : System Administrator |
Accédez à la console Oracle Access Management et modifiez les paramètres de fédération. |
Reportez-vous à Produits, solutions et services Oracle pour obtenir ce dont vous avez besoin.