Configuration de l'authentification unique entre Oracle Integration et Fusion Applications

Il existe trois approches principales pour configurer SSO entre Fusion Applications et Oracle Integration. Sélectionnez l'option qui correspond le mieux à vos besoins en matière d'architecture d'entreprise et de gestion des identités.

Configuration de SSO avec le domaine d'identité Oracle Fusion Cloud Applications

Les domaines d'identité Oracle Fusion Cloud Applications peuvent être utilisés pour déployer des extensions et des intégrations, ce qui inclut le provisionnement d'Oracle Integration dans le même domaine.

Le domaine d'identité Oracle Fusion Cloud Applications étant un type d'application Oracle, il prend en charge les cas d'utilisation d'extension sans frais supplémentaires et simplifie les opérations et la gouvernance. Cette approche élimine le besoin de domaines d'identité OCI IAM supplémentaires, ce qui réduit les coûts de licence et les frais administratifs. Le domaine d'identité Fusion Applications est désigné en tant que fournisseur d'identités (IdP).

Une fois provisionnés, tous les utilisateurs Fusion Applications sont automatiquement disponibles pour affectation à l'instance Oracle Integration. SSO est activé entre Oracle Fusion Cloud Applications et Oracle Integration, et Oracle Integration peut être configuré pour appeler en toute sécurité les API Fusion Applications à l'aide de OAuth.

Pour créer une instance Oracle Integration, connectez-vous à la console OCI à l'aide de ce domaine d'identité. Lorsque les utilisateurs accèdent à l'URL Oracle Integration, ils sont redirigés vers le domaine d'identité Fusion Applications pour authentification.

Le schéma suivant illustre le flux d'authentification :

Description de l'illustration sso-fusion-apps-idm.png

Pour obtenir des instructions sur le provisionnement d'Oracle Integration dans le domaine d'identité Fusion Applications, reportez-vous à Provisionnement d'un service d'intégration Oracle Cloud dans le domaine d'identité Fusion Applications dans la section En savoir plus.

Configuration de SSO avec le domaine d'identité Oracle Fusion Cloud Applications et un fournisseur d'identités externe

Si vous utilisez déjà un fournisseur d'identités externe, tel que Microsoft Entra ID ou Okta, vous pouvez l'étendre en tant que IdP pour Oracle Fusion Cloud Applications et Oracle Integration. Cela permet de centraliser la gestion des utilisateurs et des accès, ce qui réduit les tâches de duplication et d'administration.

D'autres fournisseurs d'identités externes peuvent également être configurés en tant que IdP pour le domaine d'identité Fusion Applications (en tant que fournisseur de services ou "SP") à l'aide de l'intégration SAML standard.

Le schéma suivant illustre le flux d'authentification :

description de l'illustration sso-fusion-apps-idm-external-idp.png,

Configurer Oracle Fusion Cloud Applications en tant que fournisseur de services et Microsoft Entra ID en tant que fournisseur d'identités externe

Configurez SSO en désignant le domaine d'identité Oracle Fusion Cloud Applications en tant que fournisseur de services et en utilisant un fournisseur d'identités externe, tel que Microsoft Entra ID. Oracle Integration est provisionné dans le domaine d'identité Fusion Cloud Applications. Pour plus d'informations, reportez-vous à SSO entre OCI et Microsoft Entra ID dans la section En savoir plus.

Les étapes suivantes vous montrent comment configurer le domaine d'identité Fusion Cloud Applications en tant que fournisseur de services et l'ID Microsoft Entra en tant que fournisseur d'identités externe.

1. Téléchargez les métadonnées du domaine d'identité Oracle Fusion Cloud Applications configuré en tant que fournisseur de services. Vous avez besoin de métadonnées pour configurer l'application SAML dans Entra ID.
2. Créez une application d'entreprise dans Microsoft Entra ID spécifiquement pour l'accès à la console OCI. Une nouvelle application d'entreprise sera enregistrée dans Entra ID.
3. Configurez SSO pour l'application d'entreprise Microsoft Entra ID à l'aide des métadonnées du domaine d'identité Oracle Fusion Cloud Applications et mettez à jour les attributs et les déclarations de l'application afin d'utiliser l'adresse électronique de l'utilisateur comme identificateur. Enfin, téléchargez le fichier XML des métadonnées de fédération à partir de Microsoft Entra ID.
4. Inscrivez Entra ID en tant que IdP dans le domaine d'identité Fusion Applications en important le XML des métadonnées de fédération à partir d'Entra ID dans la configuration du fournisseur d'identités. Ensuite, mettez à jour les règles de stratégie de fournisseur d'identités pour inclure Entra ID.
   1. Dans la fenêtre Console OCI, cliquez sur Identité et sécurité, puis sur Domaines.
   2. Sélectionnez votre domaine d'identité Oracle Fusion Cloud Applications.
   3. Accédez à Fédération, puis cliquez sur le menu Actions.
   4. Cliquez sur Ajouter un fournisseur d'identités SAML.
   5. Entrez un nom, une description et téléchargez une icône de fournisseur d'identités.
   6. Téléchargez le fichier XML de métadonnées Microsoft Entra ID (téléchargé précédemment).
   7. Définissez les mappings d'attributs utilisateur, tels que le mapping de NameID avec UserName ou Courriel.
   8. Sur la page Vérifier et créer, vérifiez les détails de configuration.
   9. Cliquez sur Activer pour activer le nouveau fournisseur d'identités.
   10. Créez une règle de stratégie de fournisseur d'identités ou modifiez une règle existante pour affecter le fournisseur d'identités SAML nouvellement créé à la règle appropriée afin d'activer l'authentification fédérée.
5. Testez la configuration SSO pour vérifier la réussite de l'authentification fédérée entre l'ID Microsoft Entra et le domaine d'identité Oracle Fusion Cloud Applications.

Configurer SSO avec le domaine d'identité Fusion Applications, le domaine d'identité OCI IAM et un fournisseur d'identités externe

SSO est configuré avec le domaine d'identité Oracle Fusion Cloud Applications en tant que fournisseur de services et Microsoft Entra ID en tant que fournisseur d'identités. Oracle Integration est provisionné dans le domaine d'identité Fusion Applications, ce qui permet à l'authentification utilisateur de passer du domaine d'identité à l'ID Microsoft Entra.

Pour rationaliser davantage l'authentification, une fédération distincte est établie entre le domaine d'identité OCI (fournisseur de services) et l'ID Microsoft Entra (fournisseur d'identités). Les utilisateurs peuvent ainsi accéder aux services OCI avec authentification acheminée via OCI IAM vers Microsoft Entra ID, offrant ainsi une expérience SSO unifiée sur les plates-formes Oracle et non Oracle.

Les domaines d'identité OCI IAM offrent une gestion complète des identités et des accès, y compris l'authentification, SSO et la gestion du cycle de vie des identités pour les applications SaaS, hébergées dans le cloud et sur site, Oracle et non Oracle. Dans les environnements utilisant les services OCI, PaaS (comme Oracle Integration) et Oracle Fusion Cloud Applications, les groupes d'utilisateurs peuvent varier.

Le domaine d'identité Fusion Applications gère les utilisateurs et les groupes pour Fusion Applications et Oracle Integration, tandis qu'un domaine d'identité OCI IAM distinct gère de manière centralisée les utilisateurs qui ont besoin d'accéder aux services OCI tels qu'OCI Object Storage, OCI Logging et OCI Functions.

Le schéma suivant illustre ce flux d'authentification :

description de l'illustration sso-fusion-apps-idm-oci.png,

Configurer le domaine d'identité OCI IAM en tant que fournisseur de services et l'ID Microsoft Entra en tant que fournisseur d'identités

Les étapes suivantes montrent comment configurer un domaine d'identité OCI IAM en tant que fournisseur de services et Microsoft Entra ID en tant que fournisseur d'identités.

1. Téléchargez les métadonnées à partir du domaine d'identité OCI IAM configuré en tant que fournisseur de services. Ces métadonnées sont requises pour la configuration de l'application SAML dans Entra ID.
2. Créez une application d'entreprise dans Microsoft Entra ID spécifiquement pour l'accès à la console OCI. Une nouvelle application d'entreprise sera enregistrée dans Entra ID.
3. Configurez SSO pour l'application d'entreprise Microsoft Entra ID à l'aide des métadonnées du domaine d'identité OCI IAM et mettez à jour les attributs et les déclarations de l'application afin qu'ils utilisent l'adresse électronique de l'utilisateur comme identificateur. Enfin, téléchargez le fichier XML des métadonnées de fédération à partir de Microsoft Entra ID.
4. Inscrivez Entra ID en tant qu'ID IdP dans le domaine d'identité OCI IAM en important le XML de métadonnées de fédération à partir d'Entra ID dans la configuration du fournisseur d'identités. Ensuite, mettez à jour les règles de stratégie de fournisseur d'identités pour inclure Entra ID.
   1. Dans la fenêtre Console OCI, cliquez sur Identité et sécurité, puis sur Domaines.
   2. Sélectionnez votre domaine d'identité OCI IAM.
   3. Accédez à Fédération, puis cliquez sur le menu Actions.
   4. Cliquez sur Ajouter un fournisseur d'identités SAML.
   5. Entrez un nom, une description et téléchargez une icône de fournisseur d'identités.
   6. Téléchargez le fichier XML de métadonnées Microsoft Entra ID (téléchargé précédemment).
   7. Définissez les mappings d'attributs utilisateur, tels que le mapping de NameID avec UserName ou Courriel.
   8. Sur la page Vérifier et créer, vérifiez les détails de configuration.
   9. Cliquez sur Activer pour activer le nouveau fournisseur d'identités.
   10. Créez une règle de stratégie de fournisseur d'identités ou modifiez une règle existante pour affecter le fournisseur d'identités SAML nouvellement créé à la règle appropriée afin d'activer l'authentification fédérée.
5. Testez la configuration SSO pour vérifier l'authentification fédérée réussie entre l'ID Microsoft Entra et le domaine d'identité OCI IAM.