Documentazione dell'infrastruttura Oracle Cloud

Federazione con provider di identità SAML 2.0

Questo argomento descrive i passi generali per federare Oracle Cloud Infrastructure con qualsiasi provider di identità che supporta il protocollo SAML (Security Assertion Markup Language) 2.0. Se si desidera istruzioni specifiche per Oracle Identity Cloud Service o Microsoft Active Directory, vedere Federazione con Oracle Identity Cloud Service o Federazione con Microsoft Active Directory.

Suggerimento

Trova i passaggi di configurazione dettagliati per più IdPs nei seguenti white paper:

Istruzioni per la federazione

Di seguito è riportato il processo generale che un amministratore esegue per impostare il provider di identità. Di seguito sono riportate le istruzioni per ogni passo. Si presume che l'amministratore sia un utente di Oracle Cloud Infrastructure con le credenziali e l'accesso necessari.

Nota

Prima di effettuare le operazioni riportate in questo argomento, vedere Federazione con provider di identità per assicurarsi di aver compreso i concetti generali sulla federazione.

  1. Nella console di Oracle Cloud Infrastructure, ottenere i metadati della federazione necessari per stabilire una relazione di fiducia con il provider di identità (IdP).
  2. In IdP, configura Oracle Cloud Infrastructure come applicazione (a volte chiamata parte affidabile).
  3. In IdP, assegna utenti e gruppi alla nuova applicazione Oracle Cloud Infrastructure.
  4. In IdP, ottieni le informazioni richieste necessarie da Oracle Cloud Infrastructure.

  5. In Oracle Cloud Infrastructure:

    1. Aggiungere il provider di identità alla tenancy e fornire le informazioni ottenute da IdP.
    2. Mappare i gruppi dell'IdP ai gruppi IAM.
  6. In Oracle Cloud Infrastructure, assicurati di avere i criteri IAM impostati per i gruppi in modo da poter controllare l'accesso degli utenti alle risorse Oracle Cloud Infrastructure.
  7. Informare gli utenti del nome del tenant di Oracle Cloud Infrastructure e dell'URL per la console: https://cloud.oracle.com.

Passo 1: ottenere informazioni da Oracle Cloud Infrastructure

Riepilogo: scaricare il documento dei metadati della federazione.

Il documento dei metadati della federazione è un documento SAML 2.0 standard che fornisce informazioni su Oracle Cloud Infrastructure che dovrai fornire al tuo IdP. A seconda dei requisiti di configurazione del provider, potrebbe essere necessario caricare l'intero documento oppure è possibile che venga richiesto di fornire solo valori di metadati specifici dal documento.

  1. Connettersi alla console di Oracle Cloud Infrastructure come amministratore.
  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.
  3. Fare clic con il pulsante destro del mouse sul collegamento Scarica questo documento e salvare il documento.

Passo 2: impostare Oracle Cloud Infrastructure come applicazione affidabile

Per informazioni sulla configurazione di un'applicazione affidabile, consultare la documentazione IdP. Fare riferimento al documento di metadati scaricato per i parametri richiesti.

Passo 3: assegnare utenti e gruppi alla nuova applicazione.

Segui le procedure del tuo IdP per aggiungere utenti e gruppi all'applicazione impostata per Oracle Cloud Infrastructure.

Passo 4: Scaricare il documento di metadati dell'IdP.

Il tuo IdP dovrebbe fornire un documento SAML 2.0 contenente le informazioni di cui Oracle Cloud Infrastructure ha bisogno per completare la federazione. Per istruzioni sul download di questo documento, consultare la documentazione IdP.

Passo 5: federare IdP con Oracle Cloud Infrastructure

Riepilogo: aggiungere il provider di identità alla tenancy. È possibile impostare i mapping dei gruppi contemporaneamente oppure impostarli in un secondo momento.

Dettagli:
  1. Vai alla Console e accedi con il login e la password di Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.
  3. Selezionare Aggiungi provider di identità.

  4. Inserire quanto segue:

    1. Nome: nome univoco per questo trust federativo. Questo è il nome che gli utenti federati vedono quando scelgono quale provider di identità utilizzare quando si collegano alla console, quindi considera di rendere questo un nome intuitivo e intuitivo che i tuoi utenti capiranno. Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare questa impostazione in seguito.
    2. Descrizione: una descrizione descrittiva.
    3. Tipo: selezionare Microsoft Active Directory Federation Service (ADFS) o SAML 2.0 Compliant Identity Provider.
    4. XML: caricare il documento metadata.xml scaricato dal file IdP.
    5. Asserzione cifratura: la selezione della casella di controllo consente al servizio IAM di sapere che la cifratura deve essere prevista da IdP. Se si seleziona questa casella di controllo, è inoltre necessario impostare la cifratura dell'asserzione in IdP. Per ulteriori informazioni, vedere Critta asserzione in Concetti generali. Vedere anche la documentazione del proprio IdP.
    6. Forza autenticazione: selezionata per impostazione predefinita. Quando questa opzione è selezionata, agli utenti viene richiesto di fornire le proprie credenziali a IdP (reautenticare) anche quando sono già connessi a un'altra sessione.
    7. Riferimenti alle classi di contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte fiduciaria) prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con tale riferimento alla classe del contesto di autenticazione. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un 400. Nel menu sono elencati diversi riferimenti alle classi di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
    8. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
  5. Selezionare Continua.

  6. Impostare i mapping tra i gruppi IdP e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo IdP può essere mappato a zero, a uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping si trova tra un singolo gruppo IdP e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi hanno effetto in genere entro pochi secondi nell'area di origine, ma la propagazione a tutte le aree potrebbe richiedere alcuni minuti.

    Nota

    Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare ad aggiungere i mapping in un secondo momento.

    Per creare un mapping di gruppi, attenersi alla seguente procedura.

    1. In Gruppo di provider di identità, immettere il nome del gruppo in IdP. Inserire il nome esattamente, includendo le maiuscole e le minuscole corrette.

      Scegliere il gruppo IAM a cui mappare questo gruppo dall'elenco in Gruppo OCI.

      Suggerimento

      Requisiti per il nome del gruppo IAM: nessuno spazio. Caratteri consentiti: lettere, numeri, trattini, punti, caratteri di sottolineatura e segni più (+). Impossibile modificare il nome in un secondo momento.
    2. Ripetere i passi secondari sopra riportati per ogni mapping che si desidera creare, quindi selezionare Crea.

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, andare alla pagina Federazione se si desidera modificare o aggiungere mapping di gruppi o eliminare il provider di identità dalla tenancy in uso.

Passo 6: impostare i criteri IAM per i gruppi

Se non l'hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta guida introduttiva ai criteri e criteri comuni.

Passo 7: fornire agli utenti federati il nome del tenant e dell'URL per connettersi

Gli utenti federati hanno bisogno dell'URL per la console di Oracle Cloud Infrastructure: https://cloud.oracle.com e del nome del tenant. Verrà richiesto di fornire il nome del tenant quando si connette alla console.

Gestione dei provider di identità nella console

Per eliminare un provider di identità

Verranno eliminati anche tutti i mapping dei gruppi per il provider di identità.

  1. Eliminare il provider di identità dalla tenancy:

    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

      Viene visualizzata una lista dei provider di identità nella tenancy.

    2. Selezionare il provider di identità per visualizzarne i dettagli.
    3. Selezionare Elimina.
    4. Confermare quando richiesto.
  2. Seguire la documentazione del provider di identità per eliminare l'applicazione dal proprio IdP.
Per aggiungere mapping di gruppi per un provider di identità

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

    Viene visualizzata una lista dei provider di identità nella tenancy.

  2. Selezionare il provider di identità per visualizzarne i dettagli.

  3. Selezionare Aggiungi mapping.

    1. Immettere il nome del gruppo IdP esattamente nella casella di testo Gruppo di provider di identità.

    2. Scegliere il gruppo IAM a cui mappare questo gruppo dall'elenco in Gruppo OCI.

    3. Per aggiungere altri mapping, selezionare +Another Mapping.
    4. Al termine, selezionare Aggiungi mapping.

Le modifiche diventano effettive in genere entro pochi secondi nell'area di origine. Attendere altri minuti per la propagazione delle modifiche a tutte le aree

Per aggiornare un mapping di gruppi

Impossibile aggiornare un mapping di gruppi, ma è possibile eliminare il mapping e aggiungerne uno nuovo.

Per eliminare un mapping di gruppi, procedere come segue.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Federazione.

    Viene visualizzata una lista dei provider di identità nella tenancy.

  2. Selezionare il provider di identità per visualizzarne i dettagli.
  3. Per il mapping che si desidera eliminare, selezionarlo, quindi selezionare Elimina.
  4. Confermare quando richiesto.

Le modifiche diventano effettive in genere entro pochi secondi nell'area di origine. Attendere altri minuti per la propagazione delle modifiche a tutte le aree.

Gestione dei provider di identità nell'API

Per informazioni sull'uso dell'API e sulle richieste di firma, consultare la documentazione relativa all'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e CLI.

Utilizzare le seguenti operazioni API:

Provider di identità: Mapping gruppi: