Federazione con Microsoft Active Directory

Passo 1: ottenere le informazioni richieste da Active Directory Federation Services

Riepilogo: recuperare il documento di metadati SAML e i nomi dei gruppi Active Directory che si desidera mappare ai gruppi Oracle Cloud Infrastructure Identity and Access Management.

1. Individuare il documento di metadati SAML per il server di federazione FS AD. Per impostazione predefinita, si trova a questo URL:

   https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

   Scarica questo documento e prendi nota della posizione in cui lo salvi. Questo documento verrà caricato nella console nel passo successivo.

2. Prendere nota di tutti i gruppi Active Directory che si desidera mappare ai gruppi IAM di Oracle Cloud Infrastructure. Sarà necessario immetterli nella console nel passo successivo.

Passo 2: aggiungere Active Directory come provider di identità in Oracle Cloud Infrastructure

Riepilogo: aggiunge il provider di identità alla tenancy. È possibile impostare i mapping dei gruppi contemporaneamente o successivamente.

1. Vai alla console e accedi con il login e la password di Oracle Cloud Infrastructure.
2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.
3. Selezionare Aggiungi provider di identità.

4. Inserire:

   1. Nome visualizzato: un nome univoco per questo trust di federazione. Si tratta del nome visualizzato dagli utenti federati quando scelgono il provider di identità da utilizzare quando si accede alla console. Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare in seguito.
   2. Descrizione: una descrizione descrittiva.
   3. Tipo: selezionare Microsoft Active Directory Federation Services (ADFS) o il provider di identità conforme a SAML 2.0.
   4. XML: caricare il file FederationMetadata.xml scaricato da Azure AD.
   5. Selezionare Mostra opzioni avanzate.

   6. Cifra asserzione: la selezione della casella di controllo consente al servizio IAM di prevedere la cifratura da IdP. Non selezionare questa casella di controllo a meno che non sia stata abilitata la cifratura delle asserzioni in Azure AD.

      Per abilitare la cifratura delle asserzioni per questa applicazione Single Sign-On in Azure AD, impostare il certificato di firma SAML in Azure AD per firmare la risposta e l'asserzione SAML. Per ulteriori informazioni, vedere la documentazione di Azure AD.

   7. Forza autenticazione: selezionato per impostazione predefinita. Quando l'opzione è selezionata, agli utenti viene richiesto di fornire le credenziali a IdP (riautenticazione) anche quando sono già collegati a un'altra sessione.
   8. Riferimenti classe contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte facente affidamento sui dati), prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con il riferimento classe contesto di autenticazione specificato. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un valore 400. Nel menu sono elencati diversi riferimenti alla classe di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
   9. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
5. Selezionare Continua.

6. Impostare i mapping tra i gruppi Active Directory e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo di Active Directory può essere mappato a zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping si trova tra un solo gruppo Active Directory e un solo gruppo IAM. Le modifiche ai mapping dei gruppi diventano effettive in genere in pochi secondi nell'area di origine, ma la propagazione a tutte le aree potrebbe richiedere alcuni minuti.

   Nota
   
   

   Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare per aggiungere i mapping in un secondo momento.

   Per creare un mapping di gruppi:

   1. In Gruppo provider di identità, immettere il nome del gruppo Active Directory. Inserire il nome esattamente, compreso il caso corretto.

      Scegliere il gruppo IAM a cui si desidera mappare questo gruppo dalla lista in Gruppo OCI.

      Suggerimento
      
      Requisiti per il nome del gruppo IAM: nessuno spazio. Caratteri consentiti: lettere, numeri, trattini, punti, caratteri di sottolineatura e segni più (+). Il nome non può essere modificato in seguito.
   2. Ripetere i passi secondari precedenti per ogni mapping che si desidera creare, quindi selezionare Crea.

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, passare alla pagina Federazione se si desidera modificare i mapping dei gruppi o eliminare il provider di identità dalla tenancy.

Passo 3: copiare l'URL per il documento dei metadati federazione di Oracle Cloud Infrastructure

Riepilogo: nella pagina Federazione viene visualizzato un collegamento al documento Metadati federazione di Oracle Cloud Infrastructure. Prima di passare alla configurazione di Active Directory Federation Services, è necessario copiare l'URL.

1. Nella pagina Federazione, selezionare Scarica questo documento.

2. Copiare l'URL. L'URL è simile al seguente:

   https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Passo 4: in Active Directory Federation Services, aggiungere Oracle Cloud Infrastructure come parte fidata

1. Andare a AD FS Management Console e collegarsi all'account che si desidera federare.

2. Aggiungi Oracle Cloud Infrastructure come parte fidata:

   1. Nella console di gestione FS AD, fare clic con il pulsante destro del mouse su FS AD e selezionare Aggiungi trust parte ricevente.

   2. In Aggiunta guidata fiducia parte ricevente, selezionare Avvia.

   3. Selezionare Importa dati sulla parte ricevente pubblicata in linea o su una rete locale.

      Incollare l'URL dei metadati federazione di Oracle Cloud Infrastructure copiato nel passo 3. Selezionare Successivo.

      AD FS si connetterà all'URL. Se si verifica un errore durante il tentativo di lettura dei metadati di federazione, in alternativa è possibile caricare il documento XML dei metadati di federazione di Oracle Cloud Infrastructure.

      Per caricare il documento dei metadati di federazione

      1. In un browser Web incollare l'URL dei metadati della federazione di Oracle Cloud Infrastructure nella barra degli indirizzi.
      2. Salvare il documento XML in una posizione accessibile da AD FS Management Console.
      3. Nel passo Seleziona origine dati della Procedura guidata Aggiungi attendibilità parte ricevente, selezionare Importa dati sulla parte ricevente da un file.
      4. Selezionare Sfoglia e selezionare il file metadata.xml salvato.
      5. Selezionare Successivo.

   4. Impostare il nome visualizzato per la parte ricevente (ad esempio, Oracle Cloud Infrastructure), quindi selezionare Successivo.

   5. Selezionare Non si desidera configurare le impostazioni di autenticazione a più fattori per questa parte fiduciaria in questo momento.

   6. Scegliere le regole di autorizzazione emissione appropriate per consentire o negare l'accesso di tutti gli utenti alla parte ricevente. Tenere presente che se si sceglie "Nega", sarà necessario aggiungere in seguito le regole di autorizzazione per abilitare l'accesso per gli utenti appropriati.

      Selezionare Successivo.

   7. Rivedere le impostazioni e selezionare Successivo.
   8. Selezionare Aprire la finestra di dialogo Modifica regole risarcimento per questo trust parte ricevente quando la procedura guidata viene chiusa, quindi selezionare Chiudi.

Passo 5: aggiungere le regole di richiesta di rimborso per la parte facente affidamento su Oracle Cloud Infrastructure

Riepilogo: aggiungere le regole di richiesta in modo che gli elementi richiesti da Oracle Cloud Infrastructure (ID nome e gruppi) vengano aggiunti alla risposta di autenticazione SAML.

Aggiungere la regola ID nome:

1. Nella Procedura guidata Aggiungi regola risarcimento trasformazione selezionare Trasforma un risarcimento in entrata e selezionare Successivo.

2. Immettere quanto riportato di seguito.

   • Nome regola di richiesta: inserire un nome per questa regola, ad esempio nameid.
   • Tipo di richiesta in entrata: selezionare il nome dell'account Windows.
   • Tipo di rimborso in uscita: selezionare l'ID nome.
   • Formato ID nome in uscita: selezionare l'identificativo persistente.
   • Selezionare Passa tutto il valore del risarcimento.
   • Selezionare Fine.
3. La regola è visualizzata nell'elenco di regole. Selezionare Aggiungi regola.

Aggiungere la regola gruppi:

Passo 6: impostare i criteri IAM per i gruppi

Se non lo hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta la Guida introduttiva ai criteri e i criteri comuni.

Passo 7: fornire agli utenti federati il nome del tenant e l'URL per collegarsi

Fornire agli utenti federati l'URL per la console di Oracle Cloud Infrastructure, https://cloud.oracle.com, e il nome del tenant. Gli verrà richiesto di fornire il nome del tenant quando si collegano alla console.