Federazione con i provider di identità

Le aziende di livello Enterprise in genere utilizzano un provider di identità (IdP) per gestire login/password degli utenti e per autenticare gli utenti per l'accesso a siti Web, servizi e risorse sicuri.

Quando qualcuno nella tua azienda desidera utilizzare le risorse Oracle Cloud Infrastructure nella console, deve collegarsi con un login utente e una password. Gli amministratori possono eseguire la federazione con un file IdP supportato in modo che ogni dipendente possa utilizzare un login e una password esistenti e non debba creare un nuovo set per utilizzare le risorse di Oracle Cloud Infrastructure.

Per la federazione, un amministratore esegue un breve processo per impostare una relazione tra IdP e Oracle Cloud Infrastructure (comunemente definita federation trust). Dopo che un amministratore ha impostato tale relazione, a qualsiasi persona dell'azienda che accede alla console di Oracle Cloud Infrastructure viene richiesta un'esperienza di "single sign-on" fornita da IdP. L'utente accede con il login/password che ha già impostato con IdP. IdP autentica l'utente e quindi l'utente può accedere a Oracle Cloud Infrastructure.

Quando si utilizza IdP, l'amministratore definisce i gruppi e assegna ogni utente a uno o più gruppi in base al tipo di accesso richiesto dall'utente. Oracle Cloud Infrastructure utilizza anche il concetto di gruppi (in combinazione con i criteri IAM) per definire il tipo di accesso di un utente. Nell'ambito dell'impostazione della relazione con IdP, l'amministratore può mappare ogni gruppo IdP a un gruppo IAM definito in modo simile, in modo che l'azienda possa riutilizzare le definizioni dei gruppi IdP durante l'autorizzazione dell'accesso utente alle risorse di Oracle Cloud Infrastructure. Di seguito è riportato uno screenshot del processo di mapping.

Per informazioni sul numero di federazioni e mapping di gruppi che è possibile avere, vedere Limiti servizio. Non è previsto alcun limite al numero di utenti federati.

Ecco un elenco dei concetti di base che devi conoscere.

IDP

IdP è l'abbreviazione di provider di identità, ovvero un servizio che fornisce credenziali di identificazione e autenticazione per gli utenti.

Le tenancy create dopo il 18 dicembre 2017 vengono federate automaticamente con Oracle Identity Cloud Service come IdP. Oracle Cloud Infrastructure può essere federato con qualsiasi IdP che supporta il protocollo SAML (Security Assertion Markup Language) 2.0.

PROVIDER DI SERVIZI (SP)

Servizio (ad esempio un'applicazione, un sito Web e così via) che richiede a un IdP di autenticare gli utenti. In questo caso, Oracle Cloud Infrastructure è il provider di servizi.

FIDUCIA FEDERAZIONE

Relazione configurata da un amministratore tra un IdP e un SP. Puoi utilizzare la console o l'API di Oracle Cloud Infrastructure per impostare tale relazione. Quindi, lo specifico IdP è "federato" a tale SP. Nella console e nell'API, il processo di federazione viene considerato come aggiunta di un provider di identità alla tenancy.

DOCUMENTO METADATI SAML

Documento basato su XML fornito da IdP che fornisce le informazioni richieste a un SP per la federazione con tale IdP. Oracle Cloud Infrastructure supporta il protocollo SAML 2.0, uno standard basato su XML per la condivisione delle informazioni richieste tra IdP e SP. A seconda dell'idP con cui si esegue la federazione, è necessario fornire l'URL dei metadati (vedere di seguito) a questo documento o caricare il documento in Oracle Cloud Infrastructure.

URL METADATI

Un URL fornito da IdP che consente a un SP di ottenere le informazioni necessarie per la federazione con tale IdP. Oracle Cloud Infrastructure supporta il protocollo SAML 2.0, uno standard basato su XML per la condivisione delle informazioni richieste tra IdP e SP. L'URL dei metadati punta al documento di metadati SAML di cui l'SP ha bisogno.

UTENTE FEDERATO

Qualcuno che si collega per utilizzare la console di Oracle Cloud Infrastructure tramite un IdP federato.

UTENTE LOCALE

Utente non federato. In altre parole, qualcuno che si collega per utilizzare la console di Oracle Cloud Infrastructure con un login e una password creati in Oracle Cloud Infrastructure.

MAPPING GRUPPI

Mapping tra un gruppo IdP e un gruppo Oracle Cloud Infrastructure, utilizzato ai fini dell'autorizzazione utente.

SCIM

SCIM (System for Cross-domain Identity Management) è un protocollo standard IETF che consente il provisioning degli utenti tra i sistemi di identità. Oracle Cloud Infrastructure ospita un endpoint SCIM per il provisioning degli utenti federati in Oracle Cloud Infrastructure. L'uso di un client SCIM per eseguire il provisioning degli utenti in Oracle Cloud Infrastructure consente di assegnare credenziali agli utenti in Oracle Cloud Infrastructure.

UTENTE CON PROVISIONING ESEGUITO (O SINCRONIZZATO)

Utente di cui è stato eseguito il provisioning dal client SCIM del provider di identità in Oracle Cloud Infrastructure. Questi utenti possono essere elencati nella console di Oracle Cloud Infrastructure e possono avere tutte le credenziali utente di Oracle Cloud Infrastructure ad eccezione di una password della console.

Codifica asserzione

Alcuni IdPs supportano la cifratura dell'asserzione SAML. Quando l'opzione è abilitata, il provider di servizi prevede che l'asserzione SAML venga cifrata dal provider di identità utilizzando la chiave di cifratura del provider di servizi. In questo caso, il provider di servizi è il servizio di autenticazione Oracle Cloud Infrastructure. Se si sceglie di abilitare questa funzione di IdP, è necessario abilitare la funzione anche quando si imposta il provider Federation nel servizio IAM. Si noti che Microsoft AD FS abilita la cifratura dell'asserzione SAML per impostazione predefinita. Se IdP è Microsoft AD FS, è necessario abilitare questa funzione in IAM o disabilitarla per Microsoft AD FS.

Gli utenti federati possono utilizzare la console per accedere a Oracle Cloud Infrastructure (in base ai criteri IAM per i gruppi in cui si trovano gli utenti).

Verrà richiesto di immettere il tenant Oracle Cloud Infrastructure (ad esempio, ABCCorp).

Viene quindi visualizzata una pagina con due set di istruzioni di accesso: una per gli utenti federati e una per gli utenti non federati (Oracle Cloud Infrastructure). Vedere la seguente schermata.

Il nome del tenant viene visualizzato a sinistra. Di seguito è riportata l'area di accesso per gli utenti federati. Sulla destra si trova l'area di accesso per gli utenti non federati.

Gli utenti federati scelgono quale provider di identità utilizzare per il collegamento e quindi vengono reindirizzati all'esperienza di accesso del provider di identità per l'autenticazione. Dopo aver immesso il login e la password, questi vengono autenticati dal sito IdP e reindirizzati alla console di Oracle Cloud Infrastructure.

Gli utenti federati (senza configurazione SCIM) non possono accedere alla pagina "Impostazioni utente" nella console. In questa pagina è possibile modificare o reimpostare la password della console e gestire altre credenziali di Oracle Cloud Infrastructure, ad esempio chiavi di firma API e token di autenticazione.

Per aggiungere e gestire i provider di identità nella tenancy, è necessario essere autorizzati da un criterio IAM. Se si fa parte del gruppo Amministratori, si dispone dell'accesso necessario.

Di seguito è riportato un criterio più limitato che limita l'accesso solo alle risorse correlate ai provider di identità e ai mapping dei gruppi.

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Se si desidera approfondire la scrittura dei criteri per i gruppi o altri componenti IAM, vedere Dettagli per IAM senza domini di Identity.

Per istruzioni sulla federazione con altri provider di identità, vedere:

Federazione con Microsoft Active Directory

Federazione con Microsoft Azure Active Directory

Configurazione di Oracle Cloud Infrastructure Okta per Federation and Provisioning (white paper)

Federazione con i provider di identità SAML 2.0