Federazione con Oracle Identity Cloud Service

Questo argomento fa riferimento agli argomenti appropriati per la federazione di Oracle Cloud Infrastructure con Oracle Identity Cloud Service a seconda di quando è stata attivata la tenancy.

Tenancy creata il 21 dicembre 2018 e dopo

Queste tenancy vengono federate automaticamente con Oracle Identity Cloud Service e configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure.

Per gestire utenti e gruppi federati, vedere Gestione di utenti e gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

Per informazioni sulla federazione, vedere Ulteriori informazioni sugli utenti federati di Oracle Identity Cloud Service.

Tenancy create tra il 18 dicembre 2017 e il 20 dicembre 2018

Queste tenancy vengono federate automaticamente con Oracle Identity Cloud Service, ma non sono configurate per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure in modo da consentire a questi utenti di avere credenziali aggiuntive (chiavi API, token di autenticazione e così via).

Per abilitare questa funzione per gli utenti, è necessario eseguire un aggiornamento occasionale. Vedere: Provisioning degli utenti per gli utenti federati.

Dopo aver eseguito questo upgrade, vedere Gestione di utenti e gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure per gestire gli utenti e i gruppi federati.

Tenancy create prima del 18 dicembre 2017

Queste tenancy devono essere federate manualmente con Oracle Identity Cloud Service. Vedere la sezione relativa alla federazione con Oracle Identity Cloud Service descritta di seguito.

Federazione manuale con Oracle Identity Cloud Service

L'organizzazione può disporre di più account Oracle Identity Cloud Service, ad esempio uno per ogni divisione dell'organizzazione. È possibile federare più account Identity Cloud Service con Oracle Cloud Infrastructure, ma ogni federazione sicura impostata deve essere per un singolo account Identity Cloud Service.

Nota

Prima di seguire i passi di questo argomento, vedere Federazione con provider di identità per assicurarsi di comprendere i concetti generali di federazione.

Componenti della Federazione Manuale da Comprendere

Credenziali applicazione Web e client

Per ogni trust, è necessario impostare un'applicazione Web in Oracle Identity Cloud Service (detta anche applicazione attendibile); le istruzioni sono disponibili in Istruzioni per la federazione con Oracle Identity Cloud Service. L'applicazione risultante dispone di un set di credenziali client (un ID e un segreto client). Quando si federa l'account Identity Cloud Service con Oracle Cloud Infrastructure, è necessario fornire queste credenziali.

Applicazione COMPUTEBAREMETAL

Un'applicazione attendibile in Oracle Identity Cloud Service che contiene il set di credenziali client (un ID client e un segreto client) che sarà necessario fornire quando si federa l'account Identity Cloud Service con Oracle Cloud Infrastructure.

URL richiesti

Il modo più semplice per federare con Oracle Identity Cloud Service è attraverso la console di Oracle Cloud Infrastructure, anche se è possibile farlo a livello di programmazione con l'API. Se si utilizza la console, viene richiesto di fornire un URL di base anziché l'URL dei metadati. L'URL di base è la parte più a sinistra dell'URL nella finestra del browser quando si è connessi alla console di Identity Cloud Service:

URL di base: <Identity Cloud Service account name>.identity.oraclecloud.com

Se si utilizza l'API per la federazione, è necessario fornire l'URL dei metadati, ovvero l'URL di base con /fed/v1/metadata aggiunto, in questo modo:

URL metadati: <Identity Cloud Service account name>.identity.oraclecloud.com/fed/v1/metadata

L'URL dei metadati si collega direttamente all'XML fornito da IdP necessario per la federazione. Se si utilizza l'API, è necessario fornire sia l'URL dei metadati che i metadati stessi durante la federazione. Per ulteriori informazioni, vedere Gestione dei provider di identità nell'API.

Applicazione OCI-V2-<tenancy_name>

Quando si federa manualmente un account Oracle Identity Cloud Service con Oracle Cloud Infrastructure, in tale account Oracle Identity Cloud Service viene creata automaticamente una nuova applicazione SAML denominata OCI-V2-<tenancy_name>. Se in seguito sarà necessario eliminare il provider di identità Oracle Identity Cloud Service dalla tenancy Oracle Cloud Infrastructure, assicurarsi anche di eliminare OCI-V2-<tenancy_name> da Oracle Identity Cloud Service. In caso contrario, e in seguito si tenterà di federare di nuovo lo stesso account Oracle Identity Cloud Service, si verificherà un errore 409 che indica che esiste già un'applicazione con lo stesso nome, ovvero OCI-V2-<tenancy_name>.

Utente attivato

Un utente di cui è stato eseguito il provisioning viene eseguito da Oracle Identity Cloud Service in Oracle Cloud Infrastructure ed è sincronizzato con un utente federato gestito in Oracle Identity Cloud Service. L'utente di cui è stato eseguito il provisioning può disporre delle credenziali speciali di Oracle Cloud Infrastructure, ad esempio le chiavi API e i token di autenticazione, per abilitare l'accesso programmatico. Gli utenti con provisioning eseguito non possono avere password console.

Istruzioni per la federazione con Oracle Identity Cloud Service

Di seguito è riportato il processo generale che un amministratore esegue per impostare il provider di identità e di seguito sono riportate le istruzioni per ogni passo. Si presume che l'amministratore sia un utente di Oracle Cloud Infrastructure con le credenziali e l'accesso richiesti.

Accedere a Oracle Identity Cloud Service. Se necessario, eseguire una delle seguenti operazioni:

Opzione A: ottieni le informazioni richieste dall'applicazione COMPUTEBAREMETAL di cui avrai bisogno per eseguire i passi di impostazione in Oracle Cloud Infrastructure.

Opzione B: se Oracle Identity Cloud Service non include l'applicazione COMPUTEBAREMETAL, impostare un'applicazione sicura.
In Oracle Cloud Infrastructure, impostare la federazione:
1. Impostare Oracle Identity Cloud Service come provider di identità.
2. Eseguire il mapping dei gruppi di Oracle Identity Cloud Service ai gruppi IAM.
In Oracle Cloud Infrastructure, impostare i criteri IAM per i gruppi IAM per definire l'accesso che si desidera avere per i membri dei gruppi mappati.
Informare gli utenti del nome del tenant di Oracle Cloud Infrastructure e dell'URL della console, https://cloud.oracle.com.

Passo 1: ottenere le informazioni necessarie da Oracle Identity Cloud Service

Opzione A: ottenere informazioni dall'applicazione COMPUTEBAREMETAL

Andare alla console di Oracle Identity Cloud Service e collegarsi con privilegi di amministratore. Assicurarsi di visualizzare la console di amministrazione.
Nella console di Identity Cloud Service selezionare Applicazioni. Viene visualizzato l'elenco delle applicazioni attendibili.
Selezionare COMPUTEBAREMETAL. Se l'istanza non include l'applicazione COMPUTEBAREMETAL, eseguire l'opzione B del passo 1.
Selezionare Configurazione.
Espandere Informazioni generali. Viene visualizzato l'ID del client. Selezionare Mostra segreto per visualizzare il segreto client.
Registrare l'ID e il segreto client. Sembrano simili a questo:
- ID client: de06b81cb45a45a8acdcde923402a9389d8
- Segreto client: 8a297afd-66df-49ee-c67d-39fcdf3d1c31

Opzione B: impostare un'applicazione sicura e ottenere le informazioni necessarie da Oracle Identity Cloud Service

Eseguire questo passo solo se non è stato possibile completare l'opzione A del passo 1.

Riepilogo: per Oracle Identity Cloud Service, è necessario creare un'applicazione riservata (detta anche applicazione attendibile) con determinate proprietà descritte nelle istruzioni riportate di seguito. Per la documentazione generale su Oracle Identity Cloud Service, vedere Aggiungi un'applicazione riservata.

Istruzioni per Oracle Identity Cloud Service:

Andare alla console di Oracle Identity Cloud Service e collegarsi con i privilegi per creare l'applicazione. Assicurarsi di visualizzare la console di amministrazione.
Aggiungi un'applicazione riservata (o sicura), che consente un'interazione sicura e programmatica tra Oracle Cloud Infrastructure e Oracle Identity Cloud Service. Specificare i seguenti elementi durante l'impostazione dell'applicazione:
1. Sulla prima pagina:
  1. Immettere un nome per un'applicazione, ad esempio Oracle Cloud Infrastructure Federation.
  2. Lasciare vuoti o deselezionati gli altri campi.
2. Nella pagina successiva:
  1. Selezionare Configurare questa applicazione come client ora.
  2. In Tipi di privilegi consentiti, selezionare la casella di controllo Credenziali client.
  3. Lasciare vuoti gli altri campi.
  4. In fondo alla pagina:
    1. Selezionare la casella di controllo per Concedere l'accesso client alle API di amministrazione di Identity Cloud Service.
    2. Selezionare Amministratore del dominio di Identity dalla lista di ruoli.
3. Nella pagina successiva, lasciare vuoti o deselezionati i campi e continuare fino a quando non si seleziona Fine.
4. Copiare e incollare le credenziali client visualizzate in modo da poterle in seguito fornire a Oracle Cloud Infrastructure durante la federazione. È possibile visualizzare le credenziali client dell'applicazione in qualsiasi momento nella console di Oracle Identity Cloud Service. Sembrano simili a questo:
  - ID client: de06b81cb45a45a8acdcde923402a9389d8
  - Segreto client: 8a297afd-66df-49ee-c67d-39fcdf3d1c31
Registrare l'URL di base di Oracle Identity Cloud Service, necessario durante la federazione.
Attivare l'applicazione.

Passo 2: aggiungere Oracle Identity Cloud Service come provider di identità in Oracle Cloud Infrastructure

Vai alla Console e accedi con il login e la password di Oracle Cloud Infrastructure.
Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.
Selezionare Aggiungi provider di identità.
Immettere quanto riportato di seguito.
1. Nome: un nome univoco per questo trust di federazione. Si tratta del nome visualizzato dagli utenti federati quando scelgono il provider di identità da utilizzare quando si accede alla console (ad esempio, ABCCorp_IDCS come mostrato nello screenshot in Esperienza per utenti federati). Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare in seguito.
2. Descrizione: una descrizione descrittiva.
3. URL di base IDCS: vedere URL obbligatori.
4. ID client: da Passo 1 opzione A o opzione B.
5. Segreto client: da Passo 1 opzione A o opzione B.
6. Cifra asserzione: la selezione della casella di controllo consente al servizio IAM di prevedere la cifratura dal file IdP. Se si seleziona questa casella di controllo, è necessario impostare anche la cifratura dell'asserzione in IDCS. Per ulteriori informazioni, vedere Concetti generali. Per informazioni sull'impostazione di questa funzione in IDCS, vedere Gestione delle applicazioni Oracle Identity Cloud Service.
7. Forza autenticazione: selezionato per impostazione predefinita. Quando l'opzione è selezionata, agli utenti viene richiesto di fornire le credenziali a IdP (riautenticazione) anche quando sono già collegati a un'altra sessione.
8. Riferimenti classe contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte facente affidamento sui dati), prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con il riferimento classe contesto di autenticazione specificato. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un valore 400. Nel menu sono elencati diversi riferimenti alla classe di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
9. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
Selezionare Continua.
Impostare i mapping tra i gruppi di Oracle Identity Cloud Service e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo di Oracle Identity Cloud Service può essere mappato a zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping si trova tra un singolo gruppo Oracle Identity Cloud Service e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi hanno effetto in genere in pochi secondi.

Nota

Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare per aggiungere i mapping in un secondo momento.

Per creare un mapping di gruppi:
1. Selezionare il gruppo Oracle Identity Cloud Service dalla lista in Gruppo di provider di identità.
2. Scegliere il gruppo IAM a cui si desidera mappare questo gruppo dalla lista in Gruppo OCI.
  
  Suggerimento
  
  Requisiti per il nome del gruppo IAM: nessuno spazio. Caratteri consentiti: lettere, numeri, trattini, punti, caratteri di sottolineatura e segni più (+). Il nome non può essere modificato in seguito.
3. Ripetere i passi secondari precedenti per ogni mapping che si desidera creare, quindi selezionare Crea.

Dopo l'impostazione della federazione

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, passare alla pagina Federazione se si desidera modificare i mapping dei gruppi o eliminare il provider di identità dalla tenancy.

Gli utenti membri dei gruppi Oracle Identity Cloud Service mappati ai gruppi Oracle Cloud Infrastructure sono ora elencati nella console della pagina Utenti. Per ulteriori informazioni sull'assegnazione di credenziali aggiuntive a questi utenti, vedere Gestione delle funzionalità utente per gli utenti federati.

Passo 3: impostare i criteri IAM per i gruppi

Se non lo hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta la Guida introduttiva ai criteri e i criteri comuni.

Passo 4: fornire agli utenti federati il nome del tenant e l'URL per collegarsi

Fornire agli utenti federati l'URL necessario per la console di Oracle Cloud Infrastructure, https://cloud.oracle.com, e il nome del tenant. Gli verrà richiesto di fornire il nome del tenant quando si collegano alla console.

Gestione dei provider di identità nella console

Per aggiungere un Oracle Identity Cloud Service come provider di identità

Vedere Istruzioni per la federazione con Oracle Identity Cloud Service.

Per eliminare il provider di identità

Verranno eliminati anche tutti i mapping dei gruppi.

Eliminare il provider di identità dalla tenancy:
1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.
  Viene visualizzata la lista dei provider di identità nella tenancy.
2. Selezionare il provider di identità per visualizzarne i dettagli.
3. Selezionare Elimina.
4. Confermare quando richiesto.
Eliminare OCI-V2-<tenancy_name> dall'account Oracle Identity Cloud Service:
1. Andare a Oracle Identity Cloud Service e collegarsi all'account federato.
2. Selezionare Applicazioni. Viene visualizzato l'elenco di applicazioni.
3. Individuare OCI-V2-<tenancy_name> e selezionarne il nome per visualizzare la relativa pagina dei dettagli.
4. Nell'angolo superiore destro della pagina, selezionare Disattiva. Confermare quando richiesto.
5. Selezionare Rimuovi. Confermare quando richiesto.

Per aggiungere i mapping dei gruppi per Oracle Identity Cloud Service

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

Viene visualizzata la lista dei provider di identità nella tenancy.
Selezionare il nome scelto per la federazione Oracle Identity Cloud Service per visualizzarne i dettagli.
Selezionare Aggiungi mapping.
1. Selezionare il gruppo Oracle Identity Cloud Service dalla lista in Gruppo di provider di identità.
2. Scegliere il gruppo IAM a cui si desidera mappare questo gruppo dalla lista in Gruppo OCI.
3. Per aggiungere altri mapping, selezionare +Another Mapping.
4. Al termine, selezionare Aggiungi mapping.

Le modifiche diventano effettive in genere in pochi secondi nell'area di origine. Attendere alcuni altri minuti affinché le modifiche vengano propagate a tutte le aree.

Per aggiornare o eliminare un mapping di gruppo

Impossibile aggiornare un mapping di gruppo, ma è possibile eliminarlo e aggiungerne uno nuovo.

Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

Viene visualizzata la lista dei provider di identità nella tenancy.
Selezionare il provider di identità per visualizzarne i dettagli.
Per il mapping da eliminare, selezionarlo e selezionare Elimina.
Confermare quando richiesto.
Aggiungere un nuovo mapping, se necessario.

Le modifiche diventano effettive in genere in pochi secondi nell'area di origine. Attendere alcuni altri minuti affinché le modifiche vengano propagate a tutte le aree.

Se questa azione determina la cessazione dell'appartenenza degli utenti federati a qualsiasi gruppo mappato a Oracle Cloud Infrastructure, anche gli utenti con provisioning eseguito degli utenti federati verranno rimossi da Oracle Cloud Infrastructure. In genere, questo processo richiede alcuni minuti.

Gestione dei provider di identità nell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizza le seguenti operazioni API:

Provider di identità:

CreateIdentityProvider
ListIdentityProviders
GetIdentityProvider
UpdateIdentityProvider
DeleteIdentityProvider: prima di poter utilizzare questa operazione, è necessario utilizzare DeleteIdpGroupMapping per rimuovere tutti i mapping dei gruppi per il provider di identità.

Mapping gruppi:

CreateIdpGroupMapping: ogni mapping di gruppo è un'entità separata con il proprio OCID.
ListIdpGroupMappings
GetIdpGroupMapping
UpdateIdpGroupMapping
DeleteIdpGroupMapping

Documentazione di Oracle Cloud Infrastructure