Documentazione di Oracle Cloud Infrastructure

Federazione con i provider di identità SAML 2.0

Questo argomento descrive i passi generali per federare Oracle Cloud Infrastructure con qualsiasi provider di identità che supporti il protocollo SAML (Security Assertion Markup Language) 2.0. Se si desidera istruzioni specifiche per Oracle Identity Cloud Service o Microsoft Active Directory, vedere Federazione con Oracle Identity Cloud Service o Federazione con Microsoft Active Directory.

Suggerimento

Per ulteriori informazioni su IdPs, consultare i seguenti white paper:

Istruzioni per la federazione

Di seguito è riportato il processo generale che un amministratore esegue per impostare il provider di identità e di seguito sono riportate le istruzioni per ogni passo. Si presume che l'amministratore sia un utente di Oracle Cloud Infrastructure con le credenziali e l'accesso richiesti.

Nota

Prima di seguire i passi di questo argomento, vedere Federazione con provider di identità per assicurarsi di comprendere i concetti generali di federazione.

  1. Nella console di Oracle Cloud Infrastructure, ottenere i metadati di federazione necessari per stabilire una relazione di affidabilità con il provider di identità (IdP).
  2. Nel file IdP, configura Oracle Cloud Infrastructure come applicazione (a volte definita parte fiduciaria).
  3. Nel file IdP, assegnare utenti e gruppi alla nuova applicazione Oracle Cloud Infrastructure.
  4. Nel file IdP, ottieni le informazioni necessarie per Oracle Cloud Infrastructure.

  5. In Oracle Cloud Infrastructure:

    1. Aggiungere il provider di identità alla tenancy e fornire le informazioni ottenute da IdP.
    2. Mappa i gruppi del provider di identità ai gruppi IAM.
  6. In Oracle Cloud Infrastructure, assicurati di avere i criteri IAM impostati per i gruppi in modo da poter controllare l'accesso degli utenti alle risorse di Oracle Cloud Infrastructure.
  7. Informare gli utenti del nome del tenant di Oracle Cloud Infrastructure e dell'URL per la console: https://cloud.oracle.com.

Passo 1: ottieni informazioni da Oracle Cloud Infrastructure

Riepilogo: scaricare il documento dei metadati di federazione.

Il documento di metadati federazione è un documento SAML 2.0 standard che fornisce informazioni su Oracle Cloud Infrastructure che dovrai fornire al tuo IdP. A seconda dei requisiti di configurazione del provider, potrebbe essere necessario caricare l'intero documento oppure potrebbe essere necessario fornire solo valori di metadati specifici dal documento.

  1. Accedi alla console di Oracle Cloud Infrastructure come amministratore.
  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.
  3. Fare clic con il pulsante destro del mouse sul collegamento Scarica questo documento e salvare il documento.

Passo 2: impostare Oracle Cloud Infrastructure come applicazione affidabile

Per informazioni sull'impostazione di un'applicazione attendibile, consultare la documentazione IdP. Fare riferimento al documento di metadati scaricato per i parametri richiesti.

Passo 3: assegnare utenti e gruppi alla nuova applicazione.

Segui le procedure del tuo IdP per aggiungere utenti e gruppi all'applicazione che hai impostato per Oracle Cloud Infrastructure.

Passo 4: Scaricare il documento di metadati dell'IdP.

Il file IdP deve fornire un documento SAML 2.0 contenente le informazioni necessarie a Oracle Cloud Infrastructure per completare la federazione. Per istruzioni sul download di questo documento, consultare la documentazione di IdP.

Passo 5: federa IdP con Oracle Cloud Infrastructure

Riepilogo: aggiunge il provider di identità alla tenancy. È possibile impostare i mapping dei gruppi contemporaneamente o successivamente.

Dettagli:
  1. Vai alla Console e accedi con il login e la password di Oracle Cloud Infrastructure.
  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.
  3. Selezionare Aggiungi provider di identità.

  4. Immettere quanto riportato di seguito.

    1. Nome: un nome univoco per questo trust di federazione. Questo è il nome visualizzato dagli utenti federati quando scelgono il provider di identità da utilizzare al momento dell'accesso alla console. Considerare pertanto la possibilità di impostare questo nome come semplice e intuitivo per gli utenti. Il nome deve essere univoco in tutti i provider di identità aggiunti alla tenancy. Non è possibile modificare in seguito.
    2. Descrizione: una descrizione descrittiva.
    3. Tipo: selezionare Microsoft Active Directory Federation Service (ADFS) o Provider di identità conforme a SAML 2.0.
    4. XML: caricare il documento metadata.xml scaricato dal file IdP.
    5. Cifra asserzione: la selezione della casella di controllo consente al servizio IAM di prevedere la cifratura dal file IdP. Se si seleziona questa casella di controllo, è necessario impostare la cifratura dell'asserzione anche in IdP. Per ulteriori informazioni, vedere Cifra asserzione in Concetti generali. Vedere anche la documentazione del proprio IdP.
    6. Forza autenticazione: selezionato per impostazione predefinita. Quando l'opzione è selezionata, agli utenti viene richiesto di fornire le credenziali a IdP (riautenticazione) anche quando sono già collegati a un'altra sessione.
    7. Riferimenti classe contesto di autenticazione: questo campo è obbligatorio per i clienti di Government Cloud. Quando vengono specificati uno o più valori, Oracle Cloud Infrastructure (la parte facente affidamento sui dati), prevede che il provider di identità utilizzi uno dei meccanismi di autenticazione specificati durante l'autenticazione dell'utente. La risposta SAML restituita da IdP deve contenere un'istruzione di autenticazione con il riferimento classe contesto di autenticazione specificato. Se il contesto di autenticazione della risposta SAML non corrisponde a quanto specificato qui, il servizio di autenticazione Oracle Cloud Infrastructure rifiuta la risposta SAML con un valore 400. Nel menu sono elencati diversi riferimenti alla classe di contesto di autenticazione comuni. Per utilizzare una classe di contesto diversa, selezionare Personalizzato, quindi immettere manualmente il riferimento alla classe.
    8. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
  5. Selezionare Continua.

  6. Impostare i mapping tra i gruppi IdP e i gruppi IAM in Oracle Cloud Infrastructure. Un determinato gruppo IdP può essere mappato a zero, uno o più gruppi IAM e viceversa. Tuttavia, ogni singolo mapping è compreso tra un singolo gruppo IdP e un singolo gruppo IAM. Le modifiche ai mapping dei gruppi diventano effettive in genere in pochi secondi nell'area di origine, ma la propagazione a tutte le aree potrebbe richiedere alcuni minuti.

    Nota

    Se non si desidera impostare i mapping dei gruppi ora, è sufficiente selezionare Crea e tornare per aggiungere i mapping in un secondo momento.

    Per creare un mapping di gruppi:

    1. In Gruppo provider di identità, immettere il nome del gruppo nel file IdP. Inserire il nome esattamente, compreso il caso corretto.

      Scegliere il gruppo IAM a cui si desidera mappare questo gruppo dalla lista in Gruppo OCI.

      Suggerimento

      Requisiti per il nome del gruppo IAM: nessuno spazio. Caratteri consentiti: lettere, numeri, trattini, punti, caratteri di sottolineatura e segni più (+). Il nome non può essere modificato in seguito.
    2. Ripetere i passi secondari precedenti per ogni mapping che si desidera creare, quindi selezionare Crea.

Il provider di identità viene ora aggiunto alla tenancy e viene visualizzato nella lista nella pagina Federazione. Selezionare il provider di identità per visualizzarne i dettagli e i mapping dei gruppi appena impostati.

Oracle assegna al provider di identità e a ciascun gruppo il mapping di un ID univoco denominato OCID (Oracle Cloud ID). Per ulteriori informazioni, vedere Identificativi risorse.

In futuro, passare alla pagina Federazione se si desidera modificare o aggiungere mapping di gruppi o eliminare il provider di identità dalla tenancy.

Passo 6: impostare i criteri IAM per i gruppi

Se non lo hai già fatto, imposta i criteri IAM per controllare l'accesso degli utenti federati alle risorse Oracle Cloud Infrastructure della tua organizzazione. Per ulteriori informazioni, consulta la Guida introduttiva ai criteri e i criteri comuni.

Passo 7: fornire agli utenti federati il nome del tenant e l'URL per collegarsi

Gli utenti federati devono disporre dell'URL per la console di Oracle Cloud Infrastructure: https://cloud.oracle.com e del nome del tenant. Gli verrà richiesto di fornire il nome del tenant quando si collegano alla console.

Gestione dei provider di identità nella console

Per eliminare un provider di identità

Verranno eliminati anche tutti i mapping dei gruppi per il provider di identità.

  1. Eliminare il provider di identità dalla tenancy:

    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

      Viene visualizzata la lista dei provider di identità nella tenancy.

    2. Selezionare il provider di identità per visualizzarne i dettagli.
    3. Selezionare Elimina.
    4. Confermare quando richiesto.
  2. Segui la documentazione del tuo IdP per eliminare l'applicazione dal tuo IdP.
Per aggiungere mapping di gruppi per un provider di identità

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

    Viene visualizzata la lista dei provider di identità nella tenancy.

  2. Selezionare il provider di identità per visualizzarne i dettagli.

  3. Selezionare Aggiungi mapping.

    1. Immettere il nome del gruppo IdP esattamente nella casella di testo Gruppo provider di identità.

    2. Scegliere il gruppo IAM a cui si desidera mappare questo gruppo dalla lista in Gruppo OCI.

    3. Per aggiungere altri mapping, selezionare +Another Mapping.
    4. Al termine, selezionare Aggiungi mapping.

Le modifiche diventano effettive in genere in pochi secondi nell'area di origine. Attendere alcuni altri minuti affinché le modifiche vengano propagate a tutte le aree

Per aggiornare un mapping di gruppo

Impossibile aggiornare un mapping di gruppo, ma è possibile eliminarlo e aggiungerne uno nuovo.

Per eliminare un mapping di gruppi

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

    Viene visualizzata la lista dei provider di identità nella tenancy.

  2. Selezionare il provider di identità per visualizzarne i dettagli.
  3. Per il mapping da eliminare, selezionarlo e selezionare Elimina.
  4. Confermare quando richiesto.

Le modifiche diventano effettive in genere in pochi secondi nell'area di origine. Attendere alcuni altri minuti affinché le modifiche vengano propagate a tutte le aree.

Gestione dei provider di identità nell'API

Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.

Utilizza le seguenti operazioni API:

Provider di identità: Mapping gruppi: