Documentazione dell'infrastruttura Oracle Cloud

Federazione con Oracle Identity Cloud Service

Questo argomento indica gli argomenti appropriati per la federazione di Oracle Cloud Infrastructure con Oracle Identity Cloud Service a seconda di quando hai attivato la tenancy.

Tenancy create il 21 dicembre 2018 e dopo

Queste tenancy vengono federate automaticamente con Oracle Identity Cloud Service e configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure.

Per gestire utenti e gruppi federati, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

Per informazioni sulla federazione, vedere Ulteriori informazioni sugli utenti federati di Oracle Identity Cloud Service.

Tenancy create tra il 18 dicembre 2017 e il 20 dicembre 2018

Queste tenancy vengono federate automaticamente con Oracle Identity Cloud Service ma non sono configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure per consentire a questi utenti di disporre di credenziali aggiuntive (chiavi API, token di autenticazione e così via).

Per abilitare questa funzione per gli utenti, è necessario eseguire un aggiornamento occasionale. Vedere: Provisioning degli utenti per gli utenti federati.

Dopo aver eseguito questo upgrade, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure per gestire gli utenti e i gruppi federati.

Federazione manuale con Oracle Identity Cloud Service

La tua organizzazione può avere più account Oracle Identity Cloud Service (ad esempio, uno per ogni divisione dell'organizzazione). Puoi federare più account di Identity Cloud Service con Oracle Cloud Infrastructure, ma ogni trust federativo impostato deve essere per un singolo account di Identity Cloud Service.

Nota

Prima di effettuare le operazioni riportate in questo argomento, vedere Federazione con provider di identità per assicurarsi di aver compreso i concetti generali sulla federazione.

Componenti della Federazione manuale per capire

Credenziali client e applicazione Web

Per ogni trust, è necessario impostare un'applicazione Web in Oracle Identity Cloud Service (chiamata anche applicazione affidabile); le istruzioni sono contenute in Istruzioni per la federazione con Oracle Identity Cloud Service. L'applicazione risultante dispone di un set di credenziali client (ID client e segreto client). Quando federi il tuo account Identity Cloud Service con Oracle Cloud Infrastructure, devi fornire queste credenziali.

Applicazione COMPUTEBAREMETAL

Un'applicazione attendibile in Oracle Identity Cloud Service che contiene il set di credenziali client (ID client e segreto client) che dovrai fornire quando federerai il tuo account Identity Cloud Service con Oracle Cloud Infrastructure.

URL obbligatori

Il modo più semplice per eseguire la federazione con Oracle Identity Cloud Service è tramite la console di Oracle Cloud Infrastructure, anche se puoi farlo a livello di programmazione con l'API. Se si utilizza la console, viene richiesto di fornire un URL di base anziché l'URL dei metadati. L'URL di base è la parte più a sinistra dell'URL nella finestra del browser quando si è connessi alla console di Identity Cloud Service:

  • URL base: <Identity Cloud Service account name>.identity.oraclecloud.com

Se si utilizza l'API per eseguire la federazione, è necessario fornire l'URL dei metadati, ovvero l'URL di base con /fed/v1/metadata aggiunto, come descritto di seguito.

  • URL metadati: <Identity Cloud Service account name>.identity.oraclecloud.com/fed/v1/metadata

L'URL dei metadati è collegato direttamente all'XML fornito da IdP necessario per la federazione. Se si utilizza l'API, è necessario fornire sia l'URL dei metadati che i metadati stessi durante la federazione. Per ulteriori informazioni, vedere Gestione dei provider di identità nell'API.

Applicazione OCI-V2-<tenancy_name>

Quando si federa manualmente un account Oracle Identity Cloud Service con Oracle Cloud Infrastructure, una nuova applicazione SAML denominata OCI-V2-<tenancy_name> viene creata automaticamente nell'account Oracle Identity Cloud Service. Se in seguito è necessario eliminare il provider di identità Oracle Identity Cloud Service dalla tenancy Oracle Cloud Infrastructure, assicurarsi di eliminare anche OCI-V2-<tenancy_name> da Oracle Identity Cloud Service. In caso contrario e in seguito si tenta di federare di nuovo lo stesso account di Oracle Identity Cloud Service, verrà visualizzato un errore 409 che indica che esiste già un'applicazione con lo stesso nome, ovvero OCI-V2-<tenancy_name>.

Utente attivato

Il provisioning di un utente viene eseguito da Oracle Identity Cloud Service in Oracle Cloud Infrastructure e viene sincronizzato con un utente federato gestito in Oracle Identity Cloud Service. L'utente di cui è stato eseguito il provisioning può disporre delle credenziali speciali di Oracle Cloud Infrastructure, come le chiavi API e i token di autenticazione, per abilitare l'accesso programmatico. Gli utenti con provisioning eseguito non possono avere password della console.

Istruzioni per la federazione con Oracle Identity Cloud Service

Di seguito è riportato il processo generale che un amministratore esegue per impostare il provider di identità. Di seguito sono riportate le istruzioni per ogni passo. Si presume che l'amministratore sia un utente di Oracle Cloud Infrastructure con le credenziali e l'accesso necessari.

  1. Connettersi a Oracle Identity Cloud Service. Eseguire una delle operazioni indicate di seguito, a seconda dei casi.

    Opzione A: ottieni le informazioni richieste dall'applicazione COMPUTEBAREMETAL di cui avrai bisogno per eseguire i passi di impostazione in Oracle Cloud Infrastructure.

    Opzione B: se Oracle Identity Cloud Service non include l'applicazione COMPUTEBAREMETAL, impostare un'applicazione sicura.

  2. In Oracle Cloud Infrastructure, impostare la federazione:

    1. Impostare Oracle Identity Cloud Service come provider di identità.
    2. Eseguire il mapping dei gruppi Oracle Identity Cloud Service ai gruppi IAM.
  3. In Oracle Cloud Infrastructure, impostare i criteri IAM per i gruppi IAM per definire l'accesso che si desidera che i membri dei gruppi mappati abbiano.
  4. Informa gli utenti del nome del tenant di Oracle Cloud Infrastructure e dell'URL per la console, https://cloud.oracle.com.
Passo 1: ottenere le informazioni necessarie da Oracle Identity Cloud Service
Opzione A: Ottenere informazioni dall'applicazione COMPUTEBAREMETAL
  1. Andare alla console di Oracle Identity Cloud Service e connettersi con privilegi di amministratore. Assicurarsi di visualizzare la console di amministrazione.

  2. Nella console di Identity Cloud Service selezionare Applicazioni. Viene visualizzato l'elenco delle applicazioni sicure.

  3. Selezionare COMPUTEBAREMETAL. Se l'istanza non include l'applicazione COMPUTEBAREMETAL, eseguire invece il passo 1, opzione B.
  4. Selezionare Configurazione.

  5. Espandere Informazioni generali. Viene visualizzato l'ID del client. Selezionare Mostra segreto per visualizzare il segreto client.

    Screenshot che mostra la chiave segreta del client nella console di Oracle Identity Cloud Service

  6. Registrare ID client e Segreto client. Sembrano simili a questo:

    • ID client: de06b81cb45a45a8acdcde923402a9389d8
    • Segreto del client: 8a297afd-66df-49ee-c67d-39fcdf3d1c31
Opzione B: impostare un'applicazione sicura e ottenere le informazioni necessarie da Oracle Identity Cloud Service

Eseguire questo passo solo se non è stato possibile completare il passo 1 Opzione A.

Riepilogo: per Oracle Identity Cloud Service è necessario creare un'applicazione riservata (nota anche come applicazione attendibile) con proprietà specifiche descritte nelle istruzioni riportate di seguito. Per la documentazione generale di Oracle Identity Cloud Service, vedere Aggiungere un'applicazione riservata.

Istruzioni per Oracle Identity Cloud Service:

  1. Andare alla console di Oracle Identity Cloud Service e connettersi con privilegi per creare l'applicazione. Assicurarsi di visualizzare la console di amministrazione.

  2. Aggiungi un'applicazione riservata (o affidabile), che consente un'interazione sicura e programmatica tra Oracle Cloud Infrastructure e Oracle Identity Cloud Service. Specificare questi elementi durante l'impostazione dell'applicazione:

    1. Sulla prima pagina:

      1. Immettere un nome per un'applicazione (ad esempio, Oracle Cloud Infrastructure Federation).
      2. Lasciare vuoti o deselezionati gli altri campi.

    2. Nella pagina successiva, procedere come segue.

      1. Selezionare Configurare questa applicazione come client ora.
      2. Per Tipi di privilegio consentiti, selezionare la casella di controllo per Credenziali client.
      3. Lasciare vuoti gli altri campi.

      4. In fondo alla pagina, effettuare le operazioni riportate di seguito.

        1. Selezionare la casella di controllo per Concedere l'accesso client alle API d'amministrazione di Identity Cloud Service.
        2. Selezionare Amministratore dominio di Identity dall'elenco dei ruoli.
    3. Nella pagina successiva, lasciare vuoti o deselezionati i campi e continuare finché non si seleziona Fine.

    4. Copiare e incollare le credenziali client visualizzate in modo da poterle concedere in seguito a Oracle Cloud Infrastructure durante la federazione. È possibile visualizzare le credenziali client dell'applicazione in qualsiasi momento nella console di Oracle Identity Cloud Service. Sembrano simili a questo:

      • ID client: de06b81cb45a45a8acdcde923402a9389d8
      • Segreto del client: 8a297afd-66df-49ee-c67d-39fcdf3d1c31
  3. Registrare l'URL di base di Oracle Identity Cloud Service, necessario durante la federazione.
  4. Attivare l'applicazione.
Passo 2: aggiungere Oracle Identity Cloud Service come provider di identità in Oracle Cloud Infrastructure
  1. Vai alla Console e accedi con il login e la password di Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.
  3. Selezionare Aggiungi provider di identità.

  4. Inserire quanto segue:

    1. Nome: nome univoco per questo trust federativo. Si tratta del nome visualizzato dagli utenti federati quando si sceglie il provider di identità da utilizzare per l'accesso alla console (ad esempio, ABCCorp_IDCS come mostrato nello screenshot in Esperienza per gli utenti federati). Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare questa impostazione in seguito.
    2. Descrizione: una descrizione descrittiva.
    3. URL di base IDCS: vedere URL obbligatori.
    4. ID client: dal Passo 1 Opzione A o Opzione B.
    5. Segreto client: dal Passo 1 Opzione A o Opzione B.
    6. Asserzione cifratura: la selezione della casella di controllo consente al servizio IAM di sapere che la cifratura deve essere prevista da IdP. Se si seleziona questa casella di controllo, è necessario impostare anche la cifratura dell'asserzione in IDCS. Per ulteriori informazioni, vedere Concetti generali. Per informazioni sull'impostazione di questa funzione nel servizio IDCS, vedere Gestione delle applicazioni Oracle Identity Cloud Service.
    7. Forza autenticazione: selezionata per impostazione predefinita. Quando questa opzione è selezionata, agli utenti viene richiesto di fornire le proprie credenziali a IdP (reautenticare) anche quando sono già connessi a un'altra sessione.
    8. Riferimenti alle classi di contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte fiduciaria) prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con tale riferimento alla classe del contesto di autenticazione. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un 400. Nel menu sono elencati diversi riferimenti alle classi di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
    9. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
  5. Selezionare Continua.

  6. Impostare i mapping tra i gruppi Oracle Identity Cloud Service e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo Oracle Identity Cloud Service può essere mappato su zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping si trova tra un singolo gruppo Oracle Identity Cloud Service e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi hanno effetto in genere entro pochi secondi.

    Nota

    Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare ad aggiungere i mapping in un secondo momento.

    Per creare un mapping di gruppi, effettuare le operazioni riportate di seguito

    1. Selezionare il gruppo Oracle Identity Cloud Service dalla lista in Gruppo di provider di identità.

    2. Scegliere il gruppo IAM a cui mappare questo gruppo dall'elenco in Gruppo OCI.

      Suggerimento

      Requisiti per il nome del gruppo IAM: nessuno spazio. Caratteri consentiti: lettere, numeri, trattini, punti, caratteri di sottolineatura e segni più (+). Impossibile modificare il nome in un secondo momento.
    3. Ripetere i passi secondari sopra riportati per ogni mapping che si desidera creare, quindi selezionare Crea.

Dopo l'impostazione della federazione

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, accedere alla pagina Federazione se si desidera modificare i mapping dei gruppi o eliminare il provider di identità dalla tenancy in uso.

Gli utenti che sono membri dei gruppi di Oracle Identity Cloud Service mappati ai gruppi di Oracle Cloud Infrastructure ora sono elencati nella console nella pagina Utenti. Per ulteriori informazioni sull'assegnazione di credenziali aggiuntive a questi utenti, vedere Gestione delle funzionalità utente per gli utenti federati.

Passo 3: impostare i criteri IAM per i gruppi

Se non l'hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta guida introduttiva ai criteri e criteri comuni.

Passo 4: fornire agli utenti federati il nome del tenant e dell'URL per connettersi

Fornisci agli utenti federati l'URL per la console di Oracle Cloud Infrastructure, https://cloud.oracle.com), e il nome del tenant. Verrà richiesto di fornire il nome del tenant quando si connette alla console.

Gestione dei provider di identità nella console

Per eliminare il provider di identità

Verranno eliminati anche tutti i mapping dei gruppi.

  1. Eliminare il provider di identità dalla tenancy:

    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

      Viene visualizzata una lista dei provider di identità nella tenancy.

    2. Selezionare il provider di identità per visualizzarne i dettagli.
    3. Selezionare Elimina.
    4. Confermare quando richiesto.
  2. Eliminare OCI-V2-<tenancy_name> dall'account Oracle Identity Cloud Service:
    1. Andare a Oracle Identity Cloud Service e connettersi all'account federato.
    2. Selezionare Applications. Viene visualizzata la lista delle applicazioni.

    3. Individuare il file OCI-V2-<tenancy_name> e selezionarne il nome per visualizzarne la pagina dei dettagli.

    4. Nella parte superiore destra della pagina, selezionare Disattiva. Confermare quando richiesto.
    5. Selezionare Rimuovi. Confermare quando richiesto.
Per aggiungere mapping di gruppi per Oracle Identity Cloud Service

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

    Viene visualizzata una lista dei provider di identità nella tenancy.

  2. Selezionare il nome scelto per la federazione Oracle Identity Cloud Service per visualizzarne i dettagli.

  3. Selezionare Aggiungi mapping.

    1. Selezionare il gruppo Oracle Identity Cloud Service dalla lista in Gruppo di provider di identità.

    2. Scegliere il gruppo IAM a cui mappare questo gruppo dall'elenco in Gruppo OCI.

    3. Per aggiungere altri mapping, selezionare +Another Mapping.
    4. Al termine, selezionare Aggiungi mapping.

Le modifiche diventano effettive in genere entro pochi secondi nell'area di origine. Attendere altri minuti per la propagazione delle modifiche a tutte le aree.

Gli utenti che sono membri dei gruppi di Oracle Identity Cloud Service mappati ai gruppi di Oracle Cloud Infrastructure ora sono elencati nella console nella pagina Utenti. Per ulteriori informazioni sull'assegnazione di credenziali aggiuntive a questi utenti, vedere Gestione delle funzionalità utente per gli utenti federati.

Per aggiornare o eliminare un mapping di gruppi

Impossibile aggiornare un mapping di gruppi, ma è possibile eliminare il mapping e aggiungerne uno nuovo.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

    Viene visualizzata una lista dei provider di identità nella tenancy.

  2. Selezionare il provider di identità per visualizzarne i dettagli.
  3. Per il mapping che si desidera eliminare, selezionarlo, quindi selezionare Elimina.
  4. Confermare quando richiesto.
  5. Aggiungere un nuovo mapping, se necessario.

Le modifiche diventano effettive in genere entro pochi secondi nell'area di origine. Attendere altri minuti per la propagazione delle modifiche a tutte le aree.

Se questa azione comporta che gli utenti federati non abbiano più l'appartenenza a nessun gruppo mappato a Oracle Cloud Infrastructure, anche gli utenti federati di cui è stato eseguito il provisioning verranno rimossi da Oracle Cloud Infrastructure. In genere, questo processo richiede diversi minuti.

Gestione dei provider di identità nell'API

Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

Utilizzare le seguenti operazioni API:

Provider di identità: Mapping gruppi: