Federazione con Microsoft Active Directory

Passo 1: ottenere le informazioni richieste da Active Directory Federation Services

Riepilogo: recupera il documento di metadati SAML e i nomi dei gruppi Active Directory che si desidera mappare ai gruppi Oracle Cloud Infrastructure Identity and Access Management.

1. Individuare il documento di metadati SAML per il server di federazione FS AD. Per impostazione predefinita, si trova in questo URL:

   https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

   Scaricare questo documento e prendere nota di dove lo si salva. Questo documento verrà caricato nella console nel passo successivo.

2. Tenere presente tutti i gruppi Active Directory che si desidera mappare ai gruppi IAM di Oracle Cloud Infrastructure. Dovrai inserirli nella console nel passo successivo.

Passo 2: aggiungere Active Directory come provider di identità in Oracle Cloud Infrastructure

Riepilogo: aggiungere il provider di identità alla tenancy. È possibile impostare i mapping dei gruppi contemporaneamente oppure impostarli in un secondo momento.

1. Andare alla console e connettersi con il login e la password di Oracle Cloud Infrastructure.
2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.
3. Selezionare Aggiungi provider di identità.

4. Inserire quanto segue:

   1. Nome visualizzato: nome univoco per questo trust federativo. Questo è il nome che gli utenti federati possono visualizzare quando scelgono il provider di identità da utilizzare per eseguire l'accesso alla console. Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare questa impostazione in seguito.
   2. Descrizione: una descrizione descrittiva.
   3. Tipo: selezionare Microsoft Active Directory Federation Services (ADFS) o Provider di identità conforme a SAML 2.0.
   4. XML: caricare il file FederationMetadata.xml scaricato da Azure AD.
   5. Selezionare Mostra opzioni avanzate

   6. Asserzione cifratura: la selezione della casella di controllo consente al servizio IAM di sapere che la cifratura deve essere prevista da IdP. Non selezionare questa casella di controllo se non è stata abilitata la cifratura delle asserzioni in Azure AD.

      Per abilitare la cifratura delle asserzioni per questa applicazione Single Sign-On in Azure AD, impostare il certificato di firma SAML in Azure AD per firmare la risposta e l'asserzione SAML. Per ulteriori informazioni, consultare la documentazione di Azure AD.

   7. Forza autenticazione: selezionata per impostazione predefinita. Quando questa opzione è selezionata, agli utenti viene richiesto di fornire le proprie credenziali a IdP (reautenticare) anche quando sono già connessi a un'altra sessione.
   8. Riferimenti alle classi di contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte fiduciaria) prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con tale riferimento alla classe del contesto di autenticazione. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un 400. Nel menu sono elencati diversi riferimenti alle classi di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
   9. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
5. Selezionare Continua.

6. Impostare i mapping tra i gruppi Active Directory e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo Active Directory può essere mappato a zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping si trova tra un solo gruppo Active Directory e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi hanno effetto in genere entro pochi secondi nell'area di origine, ma la propagazione a tutte le aree potrebbe richiedere alcuni minuti.

   Nota
   
   

   Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare ad aggiungere i mapping in un secondo momento.

   Per creare un mapping di gruppi, procedere nel seguente modo.

   1. In Gruppo di provider di identità, immettere il nome del gruppo Active Directory. Inserire il nome esattamente, includendo le maiuscole e le minuscole corrette.

      Scegliere il gruppo IAM a cui mappare questo gruppo dall'elenco in Gruppo OCI.

      Suggerimento
      
      Requisiti per il nome del gruppo IAM: nessuno spazio. Caratteri consentiti: lettere, numeri, trattini, punti, caratteri di sottolineatura e segni più (+). Impossibile modificare il nome in un secondo momento.
   2. Ripetere i passi secondari sopra riportati per ogni mapping che si desidera creare, quindi selezionare Crea.

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, accedere alla pagina Federazione se si desidera modificare i mapping dei gruppi o eliminare il provider di identità dalla tenancy in uso.

Passo 3: copiare l'URL per il documento Metadati federazione Oracle Cloud Infrastructure

Riepilogo: nella pagina Federazione viene visualizzato un collegamento al documento Metadati federazione Oracle Cloud Infrastructure. Prima di passare alla configurazione di Active Directory Federation Services, è necessario copiare l'URL.

1. Nella pagina Federazione selezionare Scarica questo documento.

2. Copiare l'URL. L'URL è simile a:

   https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Passo 4: in Active Directory Federation Services, aggiungere Oracle Cloud Infrastructure come parte affidabile

1. Andare a AD FS Management Console e connettersi all'account che si desidera federare.

2. Aggiungi Oracle Cloud Infrastructure come parte affidabile:

   1. Nella console di gestione di AD FS, fare clic con il pulsante destro del mouse su AD FS e selezionare Aggiungi trust parte ricevente.

   2. Nella Procedura guidata Aggiungi attendibilità parte ricevente selezionare Avvia.

   3. Selezionare Importa dati relativi alla parte coinvolta pubblicati online o in una rete locale.

      Incollare l'URL dei metadati di federazione di Oracle Cloud Infrastructure copiato nel passo 3. Selezionare Next.

      AD FS si connetterà all'URL. Se si riceve un errore durante il tentativo di leggere i metadati della federazione, in alternativa è possibile caricare il documento XML Oracle Cloud Infrastructure Federation Metadata.

      Per caricare il documento dei metadati della federazione

      1. In un browser Web incollare l'URL dei metadati di federazione di Oracle Cloud Infrastructure nella barra degli indirizzi.
      2. Salvare il documento XML in una posizione accessibile da AD FS Management Console.
      3. Nel passo Seleziona origine dati della Procedura guidata Aggiungi attendibilità parte ricevente selezionare Importa dati sulla parte ricevente da un file.
      4. Selezionare Sfoglia e selezionare il file metadata.xml salvato.
      5. Selezionare Next.

   4. Impostare il nome visualizzato per la parte richiedente, ad esempio Oracle Cloud Infrastructure, quindi selezionare Successivo.

   5. Selezionare Non si desidera configurare le impostazioni di autenticazione a più fattori per questo trust parte affidamento in questo momento.

   6. Scegliere le regole di autorizzazione emissione appropriate per consentire o negare a tutti gli utenti l'accesso alla parte richiedente. Tenere presente che se si sceglie "Nega", sarà necessario aggiungere in seguito le regole di autorizzazione per abilitare l'accesso per gli utenti appropriati.

      Selezionare Next.

   7. Rivedere le impostazioni e selezionare Successivo.
   8. Selezionare Aprire la finestra di dialogo Modifica regole risarcimento per questo trust parte dipendente alla chiusura della procedura guidata, quindi selezionare Chiudi.

Passo 5: aggiungi le regole di reclamo per la parte facente affidamento su Oracle Cloud Infrastructure

Riepilogo: aggiungere le regole di richiesta in modo che gli elementi richiesti da Oracle Cloud Infrastructure (ID nome e gruppi) vengano aggiunti alla risposta di autenticazione SAML.

Aggiungere la regola ID nome:

1. Nella Procedura guidata Aggiungi regola risarcimento trasformazione, selezionare Trasforma un risarcimento in entrata e selezionare Avanti.

2. Inserire quanto segue:

   • Nome regola richiesta: immettere un nome per questa regola, ad esempio l'ID del nome.
   • Tipo di risarcimento in entrata: selezionare il nome dell'account Windows.
   • Tipo di richiesta in uscita: selezionare ID nome.
   • Formato ID nome in uscita: selezionare Identificativo persistente.
   • Selezionare Passa a tutti i valori del risarcimento.
   • Selezionare Fine.
3. La regola è visualizzata nell'elenco Regole. Selezionare Aggiungi regola.

Aggiungere la regola dei gruppi:

Passo 6: impostare i criteri IAM per i gruppi

Se non l'hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta guida introduttiva ai criteri e criteri comuni.

Passo 7: fornire agli utenti federati il nome del tenant e dell'URL per connettersi

Fornire agli utenti federati l'URL per la console di Oracle Cloud Infrastructure, https://cloud.oracle.com, e il nome del tenant. Verrà richiesto di fornire il nome del tenant quando si connette alla console.