Federazione con Microsoft Azure Active Directory

Riepilogo: la pagina Oracle Cloud Infrastructure Console Federation visualizza un collegamento al documento di metadati federazione di Oracle Cloud Infrastructure. Prima di configurare l'applicazione in Azure AD, è necessario scaricare il documento.

1. Andare alla pagina Federazione: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

2. Nella pagina Federazione, selezionare Scarica questo documento.

   

   Dopo aver selezionato il collegamento, il documento metadata.xml viene aperto nella finestra del browser. Utilizzare il comando Salva pagina con nome del browser per salvare localmente il documento xml al quale è possibile accedervi in un secondo momento.

1. Nel portale di Azure, nel pannello di navigazione a sinistra, selezionare Azure Active Directory.

2. Nel riquadro Azure Active Directory selezionare Applicazioni enterprise. Viene visualizzato un esempio delle applicazioni nel tenant di Azure AD.

3. Nella parte superiore del riquadro Tutte le applicazioni, selezionare Nuova applicazione.
4. Nell'area Aggiungi da galleria, immettere Oracle Cloud Infrastructure Console nella casella di ricerca.

5. Selezionare l'applicazione della console di Oracle Cloud Infrastructure dai risultati.

6. Nel modulo specifico dell'applicazione è possibile modificare le informazioni sull'applicazione. Ad esempio, è possibile modificare il nome dell'applicazione.

7. Al termine della modifica delle proprietà, selezionare Crea.

   Viene visualizzata la pagina di introduzione con le opzioni per la configurazione dell'applicazione per l'organizzazione.

1. Nella sezione Gestisci selezionare Single Sign-On.

   

2. Selezionare SAML per configurare il Single Sign-On. Viene visualizzata la pagina Imposta Single Sign-On con SAML.

3. Nella parte superiore della pagina, selezionare Carica file di metadati.

   

4. Individuare il file di metadati di federazione (metadata.xml) scaricato da Oracle Cloud Infrastructure nel passo 1 e caricarlo qui. Dopo aver caricato il file, i campi Configurazione SAML di base vengono popolati automaticamente:

   • Identificativo (ID entità)
   • URL risposta (URL servizio consumer asserzioni)

5. Nella sezione Configurazione SAML di base, selezionare Modifica. Nel riquadro Configurazione SAML di base, immettere il campo obbligatorio seguente:

   • URL di accesso: immettere l'URL nel seguente formato:

     https://cloud.oracle.com

     

6. Selezionare Salva.

Il modello di applicazione aziendale della console di Oracle Cloud Infrastructure viene popolato con gli attributi richiesti, pertanto non è necessario aggiungerne alcuno. Tuttavia, è necessario apportare le seguenti personalizzazioni:

1. Nella sezione Attributi utente e richieste, selezionare Modifica nell'angolo superiore destro. Viene visualizzato il pannello Gestisci sinistro.

2. Accanto al campo Valore identificativo nome, selezionare Modifica.

   • In Richiesta obbligatoria, selezionare Identificativo utente univoco (ID nome).
   • Selezionare Indirizzo e-mail e modificarlo in Persistente.
   • In Origine, selezionare Attributo.

   • Per Attributo di origine, selezionare user.userprincipalname.

     

   • Selezionare Salva.

3. Selezionare Aggiungi richiesta di rimborso gruppo.

4. Nel pannello Richieste di risarcimento di gruppo, configurare quanto segue:

   • Selezionare Gruppi di sicurezza.
   • Attributo di origine: selezionare ID gruppo.
   • In Opzioni avanzate selezionare Personalizzare il nome della richiesta di rimborso gruppo.

   • Nel campo Nome, immettere: groupName.

     Assicurarsi di immettere groupName con ortografia e maiuscole e minuscole esattamente come indicato.

   • Nel campo Spazio di nomi, immettere: https://auth.oraclecloud.com/saml/claims

     
   • Selezionare Salva.

1. Nella sezione Certificato di firma SAML selezionare il collegamento di download accanto a XML metadati federazione.

2. Scarica questo documento e prendi nota della posizione in cui lo salvi. Questo documento verrà caricato nella console nel passo successivo.

Per consentire agli utenti di Azure AD di collegarsi a Oracle Cloud Infrastructure, è necessario assegnare i gruppi di utenti appropriati alla nuova applicazione aziendale.

1. Nel riquadro di navigazione sinistro, in Gestisci, selezionare Utenti e gruppi.
2. Selezionare Aggiungi nella parte superiore della lista Utenti e gruppi per aprire il riquadro Aggiungi assegnazione.

3. Selezionare il selettore Utenti e gruppi.

4. Immettere il nome del gruppo da assegnare all'applicazione nella casella di ricerca Cerca per nome o indirizzo di posta elettronica.

5. Passare il puntatore del mouse sul gruppo nell'elenco dei risultati per visualizzare una casella di controllo. Selezionare la casella di controllo per aggiungere il gruppo alla lista Selezionati.

6. Al termine della selezione dei gruppi, selezionare Seleziona per aggiungerli alla lista di utenti e gruppi da assegnare all'applicazione.

7. Selezionare Assegna per assegnare l'applicazione ai gruppi selezionati.

Riepilogo: aggiunge il provider di identità alla tenancy. È possibile impostare i mapping dei gruppi contemporaneamente o successivamente.

1. Andare alla console e connettersi con il nome utente e la password di Oracle Cloud Infrastructure.
2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.
3. Selezionare Aggiungi provider di identità.

4. Immettere quanto riportato di seguito.

   1. Nome visualizzato: un nome univoco per questo trust di federazione. Si tratta del nome visualizzato dagli utenti federati quando scelgono il provider di identità da utilizzare quando si accede alla console. Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare in seguito.
   2. Descrizione: una descrizione descrittiva.
   3. Tipo: selezionare Provider di identità conforme a SAML 2.0.
   4. XML: caricare il file FederationMetadata.xml scaricato da Azure AD.
   5. Selezionare Mostra opzioni avanzate.

   6. Cifra asserzione: la selezione della casella di controllo consente al servizio IAM di prevedere la cifratura da IdP. Non selezionare questa casella di controllo a meno che non sia stata abilitata la cifratura delle asserzioni in Azure AD.

      Per abilitare la cifratura delle asserzioni per questa applicazione Single Sign-On in Azure AD, impostare il certificato di firma SAML in Azure AD per firmare la risposta e l'asserzione SAML. Per ulteriori informazioni, vedere la documentazione di Azure AD.

   7. Forza autenticazione: selezionato per impostazione predefinita. Quando l'opzione è selezionata, agli utenti viene richiesto di fornire le credenziali a IdP (riautenticazione) anche quando sono già collegati a un'altra sessione.
   8. Riferimenti classe contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte facente affidamento sui dati), prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con il riferimento classe contesto di autenticazione specificato. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un valore 400. Nel menu sono elencati diversi riferimenti alla classe di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
   9. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

5. Selezionare Continua.

   Nota
   
   

   Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare per aggiungere i mapping in un secondo momento.

Riepilogo: impostare i mapping tra i gruppi Azure AD e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo Azure AD può essere mappato a zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping è compreso tra un singolo gruppo Azure AD e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi diventano effettive in genere in pochi secondi nell'area di origine, ma la propagazione a tutte le aree potrebbe richiedere alcuni minuti. I gruppi di Azure AD che si sceglie di mappare devono essere assegnati anche all'applicazione enterprise in Azure AD. Vedere Passo 6: assegnazione di gruppi di utenti all'applicazione.

Prima di iniziare: aprire la pagina Gruppi di Azure AD. Nel dashboard di Azure, in Gestisci, selezionare Gruppi. Dalla lista dei gruppi, selezionare il gruppo che si desidera mappare a un gruppo Oracle Cloud Infrastructure. Nella pagina dei dettagli del gruppo, selezionare l'icona Copia accanto all'ID oggetto del gruppo.

Per creare un mapping di gruppi:

1. Per Gruppo provider di identità, immettere (o incollare) l'ID oggetto del gruppo Azure AD. Inserire esattamente l'ID oggetto, incluso il caso corretto. Un ID oggetto di esempio è simile al seguente: aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Scegliere il gruppo IAM a cui si desidera mappare questo gruppo dalla lista in Gruppo OCI.

3. Ripetere i passi precedenti per ogni mapping da creare, quindi selezionare Crea.

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, passare alla pagina Federazione se si desidera modificare i mapping dei gruppi o eliminare il provider di identità dalla tenancy.

Se non lo hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta la Guida introduttiva ai criteri e i criteri comuni.

Gli utenti federati devono disporre dell'URL per la console di Oracle Cloud Infrastructure (ad esempio, la console) e del nome del tenant. Gli verrà richiesto di fornire il nome del tenant quando si collegano alla console.