Provisioning utente per utenti federati

Questo argomento descrive come utilizzare SCIM per eseguire il provisioning degli utenti federati in Oracle Cloud Infrastructure. Gli utenti federati di cui è stato eseguito il provisioning possono disporre di chiavi API e di altre credenziali specifiche del servizio.

panoramica

SCIM (System for Cross-domain Identity Management) è un protocollo standard IETF che consente il provisioning degli utenti tra i sistemi di identità. Oracle Cloud Infrastructure ospita un endpoint SCIM per il provisioning degli utenti federati in Oracle Cloud Infrastructure. Se IdP è Oracle Identity Cloud Service o Okta, è possibile impostare il provisioning degli utenti SCIM.

Dopo aver configurato l'integrazione SCIM tra IdP e Oracle Cloud Infrastructure, il provisioning degli utenti appartenenti a gruppi mappati ai gruppi Oracle Cloud Infrastructure viene eseguito automaticamente in Oracle Cloud Infrastructure. Agli utenti con provisioning eseguito viene assegnato un OCID univoco e può essere assegnato un codice API key e altre credenziali specifiche del servizio.

Per gli utenti federati con provisioning eseguito sono supportate le funzionalità riportate di seguito.

  • Agli utenti con provisioning eseguito viene assegnato un OCID univoco
  • Gli utenti con provisioning eseguito possono disporre di chiavi API, token di autenticazione e altre credenziali specifiche del servizio
  • È possibile elencare gli utenti nella console
  • Gli utenti con provisioning eseguito possono accedere alla pagina Impostazioni utente per visualizzare e gestire queste credenziali per se stessi
  • Quando aggiungi o rimuovi utenti a gruppi mappati a Oracle Cloud Infrastructure nel tuo IdP, gli aggiornamenti vengono sincronizzati automaticamente con Oracle Cloud Infrastructure

Descrizione dei tipi di utente

La configurazione SCIM introduce il concetto di utente con provisioning eseguito o sincronizzato. Le descrizioni riportate di seguito forniscono dettagli utili per comprendere i tipi di utente che si intende gestire.

  • Utenti federati

    Un utente federato viene creato e gestito in un provider di identità. Gli utenti federati possono collegarsi alla console utilizzando una password gestita nel proprio provider di identità. Agli utenti federati viene concesso l'accesso a Oracle Cloud Infrastructure in base alla loro appartenenza a gruppi mappati ai gruppi Oracle Cloud Infrastructure.

  • Utenti con provisioning (o sincronizzazione)

    Il provisioning di un utente sincronizzato viene eseguito in modo sistematico dal provider di identità in Oracle Cloud Infrastructure. Gli utenti sincronizzati possono disporre delle credenziali di Oracle Cloud Infrastructure, ma non delle password della console. Quando si elencano gli utenti nella console, è possibile identificare gli utenti sincronizzati utilizzando il filtro Tipo di utente.

  • Utenti locali

    Un utente locale è un utente creato e gestito nel servizio IAM di Oracle Cloud Infrastructure. Le tenancy federate in genere avrebbero pochi, se presenti, utenti locali. Quando si elencano gli utenti nella console, è possibile identificare gli utenti locali utilizzando il filtro Tipo di utente.

Il grafico seguente riassume le caratteristiche dei tipi di utente:

Questa immagine riassume le caratteristiche dei tipi di utente.

Chi dovrebbe impostare questa integrazione?

Impostare questa integrazione se IdP è Oracle Identity Cloud Service o Okta e gli utenti federati devono disporre delle credenziali specializzate richieste da alcuni servizi e funzioni. Ad esempio, se è necessario che gli utenti federati accedano a Oracle Cloud Infrastructure tramite l'SDK o l'interfaccia CLI, l'impostazione di questa integrazione consente a questi utenti di ottenere le chiavi API necessarie per questo accesso.

Prerequisito

Eseguire questa impostazione di sincronizzazione dopo aver impostato correttamente una federazione tra IdP e Oracle Cloud Infrastructure. Vedere Provider di identità supportati.

Abilitazione del provisioning utente

Istruzioni per le federazioni di Oracle Identity Cloud Service

Se il provider di identità è Oracle Identity Cloud Service, è necessario eseguire un upgrade una tantum.

Importante

Se la tenancy è stata creata il 21 dicembre 2018 o versione successiva, la tenancy viene configurata automaticamente per eseguire il provisioning degli utenti di Oracle Identity Cloud Service in Oracle Cloud Infrastructure. Non è necessario eseguire i passi in questo argomento. Per informazioni sulla gestione degli utenti federati, vedere Introduzione ai tipi di utente e Gestione delle funzionalità utente per gli utenti federati.
Aggiornamento della federazione Oracle Identity Cloud Service

Se la federazione con il servizio Oracle Identity Cloud è stata impostata prima del 21 dicembre 2018, eseguire questo task di upgrade una tantum.

Per aggiornare la federazione di Oracle Identity Cloud Service, effettuare le operazioni riportate di seguito.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Federazione.

    Viene visualizzata la lista dei provider di identità nella tenancy.

  2. Selezionare la federazione di Identity Cloud Service per visualizzarne i dettagli. Se la tenancy è stata federata automaticamente, viene elencata come OracleIdentityCloudService.
  3. Selezionare Modifica mapping.
  4. Quando richiesto, fornire l'ID client e il segreto client per l'applicazione Oracle Identity Cloud Service, quindi selezionare Continua.

    Dove si trovano l'ID client e il segreto client?

    L'ID client e il segreto client vengono memorizzati in Oracle Identity Cloud Service. Per ottenere queste informazioni:

      1. Eseguire l'accesso alla console di Oracle Identity Cloud Service.
      2. Nella console di Identity Cloud Service fare clic su Applicazioni. Viene visualizzato l'elenco delle applicazioni attendibili.
      3. Fare clic su COMPUTEBAREMETAL.
      4. Fare clic su Configurazione.
      5. Espandere Informazioni generali. Viene visualizzato l'ID del client. Fare clic su Mostra segreto per visualizzare il segreto client.

        Screenshot che mostra la chiave segreta del client nella console di Oracle Identity Cloud Service

Attendere alcuni minuti affinché le modifiche diventino effettive.

Istruzioni per le federazioni Okta

Se non si dispone di una federazione esistente con Okta, seguire le istruzioni riportate nel white paper Configurazione Okta di Oracle Cloud Infrastructure per federazione e provisioning. Questo documento include istruzioni per impostare la federazione e il provisioning con SCIM.

Se si dispone di una federazione esistente con Okta con mapping di gruppi che si desidera gestire, è possibile aggiungere il provisioning SCIM come indicato di seguito.

  1. In Okta, elimina l'applicazione SAML esistente originariamente impostata per la federazione con Oracle Cloud Infrastructure.
  2. Impostare una nuova applicazione SAML in Okta in base alle istruzioni del white paper Configurazione Okta di Oracle Cloud Infrastructure per federazione e provisioning, con le eccezioni riportate di seguito.

    • Saltare i passi per Aggiungi provider di identità a Oracle Cloud Infrastructure (questa risorsa è già disponibile in Oracle Cloud Infrastructure).
    • In alternativa, selezionare Modifica provider di identità e caricare il nuovo documento metadata.xml dalla nuova applicazione Okta creata.
    • Quindi, in Oracle Cloud Infrastructure, assicurati di reimpostare le credenziali. Aggiungere il nuovo ID client e il nuovo segreto alla pagina delle impostazioni di integrazione API in Okta (passo 7 nel white paper).

Cosa aspettarsi dopo l'upgrade

Quando il sistema ha avuto il tempo di eseguire la sincronizzazione, è possibile gestire le funzionalità utente per gli utenti federati nella console. Gli utenti appartenenti a un gruppo mappato a un gruppo in Oracle Cloud Infrastructure sono elencati nella pagina Utenti nella console. Ogni volta che si aggiungono nuovi utenti a gruppi mappati in Oracle Identity Cloud Service, questi saranno disponibili nella console dopo la sincronizzazione del sistema.

Per impostazione predefinita, sono abilitate le funzionalità utente riportate di seguito.

  • Chiavi API
  • token di autenticazione
  • Credenziali SMTP
  • chiavi segrete cliente

Non è possibile abilitare una password locale. La password della console di Oracle Cloud Infrastructure è ancora gestita solo nel tuo IdP.

Per ulteriori informazioni sulle funzionalità utente, vedere Gestione delle funzionalità utente per gli utenti federati.

Reimpostazione delle credenziali

Utilizzare il pulsante Reimposta credenziali per reimpostare le credenziali client SCIM. È possibile eseguire questo task periodicamente come misura di sicurezza per ruotare le credenziali. Dopo aver reimpostato queste credenziali, sarà necessario aggiornare l'applicazione SAML nel provider di identità con le nuove credenziali.

Nota: se IdP è Oracle Identity Cloud Service, Oracle Cloud Infrastructure reimposta automaticamente le credenziali con Oracle Identity Cloud Service. Non è necessario reimpostare manualmente la configurazione.

Azioni ancora eseguite nel provider di identità

Dopo aver impostato l'integrazione, continuare a eseguire le azioni riportate di seguito in IdP.

  • Creare utenti e assegnarli ai gruppi.

  • Eliminazione degli utenti.

    Gli utenti eliminati dal file IdP vengono rimossi da Oracle Cloud Infrastructure al termine del ciclo di sincronizzazione successivo.

  • Query per l'appartenenza al gruppo.
  • Gestire le password di accesso per gli utenti.