Federazione con Microsoft Azure Active Directory

Riepilogo: la pagina Oracle Cloud Infrastructure Console Federation visualizza un collegamento al documento di metadati della federazione Oracle Cloud Infrastructure. Prima di impostare l'applicazione in Azure AD, è necessario scaricare il documento.

1. Andare alla pagina Federazione: aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

2. Nella pagina Federazione selezionare Scarica questo documento.

   

   Dopo aver selezionato il collegamento, il documento metadata.xml viene aperto nella finestra del browser. Utilizzare il comando Salva pagina come del browser per salvare localmente il documento xml al quale è possibile accedervi in un secondo momento.

1. Nel portale di Azure, nel pannello di navigazione a sinistra, selezionare Azure Active Directory.

2. Nel riquadro Azure Active Directory, selezionare Applicazioni aziendali. Viene visualizzato un esempio delle applicazioni nel tenant di Azure AD.

3. Nella parte superiore del riquadro Tutte le applicazioni, selezionare Nuova applicazione.
4. Nell'area Aggiungi da galleria, immettere Oracle Cloud Infrastructure Console nella casella di ricerca.

5. Selezionare l'applicazione Oracle Cloud Infrastructure Console dai risultati.

6. Nel modulo specifico dell'applicazione è possibile modificare le informazioni sull'applicazione. Ad esempio, è possibile modificare il nome dell'applicazione.

7. Al termine della modifica delle proprietà, selezionare Crea.

   Viene visualizzata la pagina iniziale con le opzioni per la configurazione dell'applicazione per l'organizzazione.

1. Nella sezione Gestisci, selezionare Single Sign-On.

   

2. Selezionare SAML per configurare Single Sign-On. Viene visualizzata la pagina Imposta Single Sign-On con SAML.

3. Nella parte superiore della pagina selezionare Carica file di metadati.

   

4. Individuare il file di metadati della federazione (metadata.xml) scaricato da Oracle Cloud Infrastructure nel passo 1 e caricarlo qui. Dopo aver caricato il file, i campi Configurazione SAML di base vengono popolati in modo automatico:

   • Identificativo (ID entità)
   • URL risposta (URL servizio consumer asserzioni)

5. Nella sezione Configurazione SAML di base selezionare Modifica. Nel riquadro Configurazione SAML di base immettere il seguente campo obbligatorio:

   • URL di accesso: immettere l'URL nel seguente formato:

     https://cloud.oracle.com

     

6. Selezionare Salva.

Il modello di applicazione enterprise di Oracle Cloud Infrastructure Console è popolato con gli attributi richiesti, quindi non è necessario aggiungerne alcuno. Tuttavia, è necessario eseguire le personalizzazioni riportate di seguito.

1. Nella sezione Attributi utente e richieste di risarcimento, selezionare Modifica nell'angolo superiore destro. Viene visualizzato il pannello Gestisci sinistro.

2. Accanto al campo Valore identificativo nome, selezionare Modifica.

   • In Richiesta obbligatoria selezionare Identificativo utente univoco (ID nome).
   • Selezionare Indirizzo di posta elettronica e impostarlo su Persistente.
   • Per Origine, selezionare Attributo.

   • Per Attributo origine, selezionare user.userprincipalname.

     

   • Selezionare Salva.

3. Selezionare Aggiungi una richiesta di rimborso gruppo.

4. Nel pannello Richieste di gruppo, configurare quanto segue:

   • Selezionare Gruppi di sicurezza.
   • Attributo di origine: selezionare ID gruppo.
   • In Opzioni avanzate, selezionare Personalizza il nome della richiesta di gruppo.

   • Nel campo Nome, immettere groupName.

     Assicurarsi di immettere groupName con ortografia e maiuscole esattamente come indicato.

   • Nel campo Spazio di nomi immettere: https://auth.oraclecloud.com/saml/claims

     
   • Selezionare Salva.

1. Nella sezione Certificato firma SAML selezionare il collegamento di download accanto a XML metadati federazione.

2. Scaricare questo documento e prendere nota di dove lo si salva. Questo documento verrà caricato nella console nel passo successivo.

Per consentire agli utenti di Azure AD di connettersi a Oracle Cloud Infrastructure, è necessario assegnare i gruppi di utenti appropriati alla nuova applicazione enterprise.

1. Nel riquadro di navigazione a sinistra, in Gestisci, selezionare Utenti e gruppi.
2. Selezionare Aggiungi nella parte superiore della lista Utenti e gruppi per aprire il riquadro Aggiungi assegnazione.

3. Selezionare il selettore Utenti e gruppi.

4. Immettere il nome del gruppo che si desidera assegnare all'applicazione nella casella di ricerca Cerca per nome o indirizzo e-mail.

5. Passare il puntatore del mouse sul gruppo nell'elenco dei risultati per visualizzare una casella di controllo. Selezionare la casella di controllo per aggiungere il gruppo alla lista Selezionato.

6. Al termine della selezione dei gruppi, selezionare Seleziona per aggiungerli alla lista di utenti e gruppi da assegnare all'applicazione.

7. Selezionare Assegna per assegnare l'applicazione ai gruppi selezionati.

Riepilogo: aggiungere il provider di identità alla tenancy. È possibile impostare i mapping dei gruppi contemporaneamente oppure impostarli in un secondo momento.

1. Andare alla console e connettersi con il nome utente e la password di Oracle Cloud Infrastructure.
2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.
3. Selezionare Aggiungi provider di identità.

4. Inserire quanto segue:

   1. Nome visualizzato: nome univoco per questo trust federativo. Questo è il nome che gli utenti federati possono visualizzare quando scelgono il provider di identità da utilizzare per eseguire l'accesso alla console. Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare questa impostazione in seguito.
   2. Descrizione: una descrizione descrittiva.
   3. Tipo: selezionare Provider di identità conforme a SAML 2.0.
   4. XML: caricare il file FederationMetadata.xml scaricato da Azure AD.
   5. Selezionare Mostra opzioni avanzate

   6. Asserzione cifratura: la selezione della casella di controllo consente al servizio IAM di sapere che la cifratura deve essere prevista da IdP. Non selezionare questa casella di controllo se non è stata abilitata la cifratura delle asserzioni in Azure AD.

      Per abilitare la cifratura delle asserzioni per questa applicazione Single Sign-On in Azure AD, impostare il certificato di firma SAML in Azure AD per firmare la risposta e l'asserzione SAML. Per ulteriori informazioni, consultare la documentazione di Azure AD.

   7. Forza autenticazione: selezionata per impostazione predefinita. Quando questa opzione è selezionata, agli utenti viene richiesto di fornire le proprie credenziali a IdP (reautenticare) anche quando sono già connessi a un'altra sessione.
   8. Riferimenti alle classi di contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte fiduciaria) prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con tale riferimento alla classe del contesto di autenticazione. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un 400. Nel menu sono elencati diversi riferimenti alle classi di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
   9. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.

5. Selezionare Continua.

   Nota
   
   

   Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare ad aggiungere i mapping in un secondo momento.

Riepilogo: impostare i mapping tra i gruppi Azure AD e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo Azure AD può essere mappato a zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping è compreso tra un singolo gruppo Azure AD e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi hanno effetto in genere entro pochi secondi nell'area di origine, ma la propagazione a tutte le aree potrebbe richiedere alcuni minuti. Si noti che anche i gruppi di Azure AD che si sceglie di mappare devono essere assegnati all'applicazione enterprise in Azure AD. Vedere Passo 6: Assegnazione di gruppi di utenti all'applicazione.

Prima di iniziare: aprire la pagina Gruppi di Azure AD. Nel dashboard di Azure, in Gestisci, selezionare Gruppi. Dall'elenco dei gruppi, selezionare il gruppo che si desidera mappare a un gruppo Oracle Cloud Infrastructure. Nella pagina dei dettagli del gruppo, selezionare l'icona Copia accanto all'ID oggetto per il gruppo.

Per creare un mapping di gruppi, attenersi alla seguente procedura.

1. Per Gruppo provider di identità, immettere (o incollare) l'ID oggetto del gruppo Azure AD. È necessario immettere esattamente l'ID oggetto, incluso il caso corretto. L'ID oggetto di esempio è: aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Scegliere il gruppo IAM a cui mappare questo gruppo dall'elenco in Gruppo OCI.

3. Ripetere i passi precedenti per ogni mapping che si desidera creare, quindi selezionare Crea.

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, accedere alla pagina Federazione se si desidera modificare i mapping dei gruppi o eliminare il provider di identità dalla tenancy in uso.

Se non l'hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta guida introduttiva ai criteri e criteri comuni.

Gli utenti federati hanno bisogno dell'URL per la console di Oracle Cloud Infrastructure (ad esempio, la console) e del nome del tenant. Verrà richiesto di fornire il nome del tenant quando si connette alla console.