Documentazione dell'infrastruttura Oracle Cloud

Gestione di un provider di Identity SAML

Utilizzare la console per aggiungere un provider di identità SAML 2.0 (IdP) a un dominio di Identity in modo che gli utenti autenticati da IdP possano accedere a Oracle Cloud Infrastructure per accedere alle risorse e alle applicazioni cloud.

Termini comuni

Provider di identità (IdP)

Un servizio IdP è un servizio che fornisce le credenziali di identificazione e l'autenticazione per gli utenti.

Provider di servizi (SP)

Servizio (ad esempio un'applicazione, un sito Web e così via) che richiama un IdP per autenticare gli utenti.

Per creare un SAML 2.0 IdP, attenersi alla procedura seguente.

Configurazione del provisioning JIT SAML

Il provisioning JIT SAML può essere configurato utilizzando la console o l'endpoint API REST /admin/v1/IdentityProviders. Per configurare il provisioning JIT SAML, vedere i riferimenti riportati di seguito.

Aggiunta di un provider di Identity SAML

Immissione dei dettagli SAML per un provider di identità.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Provider di identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. A seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • utilizzando il menu Azioni del provider di identità, selezionare Aggiungi SAML IdP oppure
    • selezionare Aggiungi IdP, quindi selezionare Aggiungi SAML IdP.
  4. Immettere le informazioni riportate di seguito.
    • Nome: immettere il nome del provider IdP.
    • (Facoltativo) Descrizione: immettere una descrizione del file IdP.
    • (Facoltativo) Icona del provider di Identity: trascinare la scelta di un'immagine supportata oppure selezionare l'opzione di selezione per cercare l'immagine desiderata.
  5. Selezionare Next.
  6. Nella schermata Scambio metadati, selezionare il pulsante Esporta metadati SAML per inviare i metadati SAML al provider di identità. Procedere in uno dei seguenti modi:
    • Importa metadati IdP: selezionare questa opzione se si dispone di un file XML esportato dal provider di identità. Trascinare la selezione del file XML per caricare i metadati oppure selezionare seleziona un file per cercare il file di metadati.
    • Immettere i metadati IdP: selezionare questa opzione se si desidera immettere manualmente i metadati IdP. Fornire i dettagli riportati di seguito:
      • URI emittente provider di identità
      • URI servizio SSO
      • Associazione servizio SSO
      • Carica il certificato di firma del provider di identità
      • Abilita logout Globale
    • Importa URL IdP: immettere l'URL dei metadati IdP.
  7. Selezionare Mostra opzioni avanzate se si desidera selezionare le opzioni seguenti:
    • Algoritmo di hashing firma: selezionare SHA-256 o SHA-1
    • Richiedi asserzione cifrata: indica che l'autorizzazione del dominio di Identity prevede un'asserzione cifrata dall'IdP.
    • Forza autenticazione: selezionare questa opzione per richiedere agli utenti di eseguire l'autenticazione con IdP, anche se la sessione è ancora valida.
    • Contesto di autenticazione richiesto: selezionare i riferimenti classe contesto di autenticazione.
    • Conferma dell'oggetto Holder-of-Key obbligatoria: disponibile dopo aver caricato un file di metadati valido supportato da Holder-of-Key (HOK).
    • Invia certificato di firma con il messaggio SAML: selezionare questa opzione per includere il certificato di firma del dominio di Identity con i messaggi SAML inviati dal dominio di Identity. Alcuni provider SAML richiedono il certificato di firma per individuare la configurazione del partner SAML.
  8. Selezionare Next.
  9. Nella schermata Aggiungi provider di identità SAML effettuare le operazioni riportate di seguito.
    1. Selezionare un formato ID nome richiesto.
  10. Mappa gli attributi di identità dell'utente ricevuti da IdP a un dominio di Identity di Oracle Cloud Infrastructure.
    Le opzioni di mapping variano in base al provider di identità. Puoi assegnare direttamente un valore IdP a un valore del dominio di Identity di Oracle Cloud Infrastructure. Ad esempio, NameID può essere mappato a UserName. Se si seleziona l'attributo di asserzione SAML come origine, selezionare il nome dell'attributo Asserzione, quindi immettere il dominio di Identity di Oracle Cloud Infrastructure.
  11. Selezionare Sottometti.
  12. Nella schermata Rivedi e crea esaminare le impostazioni del provider di identità SAML. Se le impostazioni sono corrette, selezionare Crea. Se si desidera modificarle, selezionare Modifica vicino al set di impostazioni.
  13. Nella console viene visualizzato un messaggio quando il provider di identità SAML viene creato. Nella pagina della panoramica è possibile effettuare le operazioni seguenti:
    • Selezionare Test per verificare che la connessione SSO SAML funzioni correttamente.
    • Selezionare Attiva per attivare IdP in modo che il dominio Identity possa utilizzarlo.
    • Selezionare Assegna a regola criteri IdP per assegnare questo provider di identità SAML a una regola di criteri esistente creata.
  14. Selezionare Chiudi.
Importa metadati per un provider di identità SAML

Importare i metadati SAML per un provider di identità.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Provider di identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. A seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • utilizzando il menu Azioni del provider di identità, selezionare Aggiungi SAML IdP oppure
    • selezionare Aggiungi IdP, quindi selezionare Aggiungi SAML IdP.
  4. Inserire i dettagli per IdP:
    Campo Descrizione
    Nome Immettere il nome del file IdP.
    Descrizione Inserire informazioni esplicative su IdP.
    Icona Cercare e selezionare o trascinare un'icona che rappresenta IdP. L'icona deve avere una dimensione di 95 x 95 pixel e uno sfondo trasparente. I formati di file supportati sono .png, .fig, .jpg, .jpeg.
  5. Selezionare Successivo. Immettere i dettagli di configurazione:
    Campo Descrizione
    Importa metadati provider di identità Selezionare questa opzione per importare i metadati per IdP.
    Metadati provider di identità Selezionare il file XML che contiene i metadati per il IdP da importare.

    Nota: nel dominio di Identity è possibile definire solo un IdP con un ID emittente specifico, noto anche come ID provider o ID entità. L'attributo ID entità fa parte dei metadati IdP, pertanto è possibile creare un solo file IdP con un determinato file di metadati. Inoltre, è possibile aggiornare un IdP con nuovi metadati, ma non è possibile modificarne l'ID emittente.
    Invia certificato di firma con il messaggio SAML

    Per includere il certificato di firma del dominio di Identity con i messaggi SAML inviati all'indirizzo IdP, selezionare questa casella di controllo. Il certificato della firma viene utilizzato per verificare la firma dei messaggi per IdP. Questo in genere non è necessario, ma alcuni IdPs lo richiedono come parte del processo di verifica della firma.
    Algoritmo di hashing firma
    Selezionare l'algoritmo hash sicuro da utilizzare per firmare i messaggi inviati a IdP.
    • L'impostazione predefinita è SHA-256.

    • Se l'IDP non supporta SHA-256, selezionare SHA-1.
  6. Selezionare Successivo. Configurare il mapping tra gli attributi utente IdP e del dominio di Identity:
    Campo Descrizione
    Attributo utente provider di identità

    Selezionare il valore dell'attributo utente ricevuto da IdP che può essere utilizzato per identificare in modo univoco l'utente.

    È possibile specificare l'ID nome dell'asserzione. In alternativa, è possibile specificare un altro attributo SAML dall'asserzione immettendolo nella casella di testo Attributo asserzione.
    Attributo utente dominio di Identity

    Selezionare l'attributo nel dominio di Identity al quale mappare l'attributo ricevuto dal provider IdP.

    È possibile specificare il nome utente o un altro attributo, ad esempio il nome visualizzato dell'utente, l'indirizzo e-mail principale o di recupero o un ID esterno. Utilizzare l'ID esterno quando si desidera mappare l'attributo ricevuto da IdP a un ID speciale associato al provider.
    Formato NameID richiesto

    Quando le richieste di autenticazione SAML vengono inviate all'indirizzo IdP, è possibile specificare un formato ID nome nella richiesta.

    Se IdP non lo richiede nella richiesta, selezionare <Nessuno richiesto>.
  7. Selezionare Crea IdP. Esportare i metadati SAML del dominio di Identity:
    Attività Descrizione
    Metadati provider di servizi

    Per esportare i metadati per il dominio di Identity, selezionare Download. Importare quindi questi metadati nel file IdP. Se IdP non supporta l'importazione di un documento XML dei metadati SAML, utilizzare le seguenti informazioni per configurare manualmente IdP.

    Se il partner della federazione in cui si stanno importando i metadati del dominio di Identity esegue la convalida CRL (AD esempio, AD FS esegue la convalida CRL) anziché utilizzare i metadati esportati da questo pulsante, scaricare i metadati da: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Attivare lo switch in Certificato di firma dell'accesso in Impostazioni predefinite per consentire ai client di accedere ai metadati senza eseguire il login al dominio di Identity.
    Metadati del provider di servizi con certificati con firma automatica

    Per esportare i metadati per il dominio di Identity insieme ai certificati autofirmati, selezionare Scarica. Importare quindi questi metadati nel file IdP. Se IdP non supporta l'importazione di un documento XML dei metadati SAML, utilizzare le seguenti informazioni per configurare manualmente IdP.

    Se il partner della federazione in cui si stanno importando i metadati del dominio di Identity esegue la convalida CRL (AD esempio, AD FS esegue la convalida CRL) anziché utilizzare i metadati esportati da questo pulsante, scaricare i metadati da: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Attivare lo switch in Certificato di firma dell'accesso in Impostazioni predefinite per consentire ai client di accedere ai metadati senza eseguire il login al dominio di Identity.
    ID provider

    URI (Uniform Resource Identifier) che identifica in modo univoco il dominio di Identity. L'ID fornitore è anche noto come ID emittente o ID entità.
    URL servizio consumer asserzioni Uniform Resource Locator (URL) dell'endpoint del servizio del dominio di Identity che riceve ed elabora le asserzioni dall'indirizzo IdP.
    URL endpoint servizio logout L'URL dell'endpoint del servizio del dominio di Identity che riceve ed elabora le richieste di logout da IdP.
    URL di restituzione servizio logout L'URL dell'endpoint del servizio del dominio di Identity che riceve ed elabora le risposte di logout da IdP.
    Certificato di firma provider di servizi Per esportare il certificato di firma del dominio di Identity, selezionare Scarica. Selezionare il file che contiene il certificato di firma. Questo certificato viene utilizzato da IdP per verificare la firma nelle richieste e nelle risposte SAML inviate dal dominio di Identity all'indirizzo IdP.
    Certificato di cifratura provider di servizi Per esportare il certificato di cifratura del dominio di Identity, selezionare Scarica. Selezionare il file contenente il certificato di cifratura. Questo certificato viene utilizzato da IdP per cifrare le asserzioni SAML inviate al dominio di Identity. Questa operazione è necessaria solo se IdP supporta le asserzioni cifrate.

    Per ottenere il certificato radice del dominio di Identity emittente, vedere Ottenere il certificato CA radice.

  8. Selezionare Next.
  9. Nella pagina Test IdP, selezionare Test login per eseguire il test delle impostazioni di configurazione per IdP. Per eseguire il test delle impostazioni di configurazione, è necessario aver eseguito il login al dominio di Identity per il quale è stato configurato IdP.
  10. Selezionare Next.
  11. Nella pagina Attiva IdP selezionare Attiva per attivare IdP.
  12. Selezionare Fine.

Esportazione dei metadati SAML

Esportazione dei metadati SAML per un dominio di Identity in IAM.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Proiders identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. Aprire un provider di identità.
  4. Selezionare Esporta metadati SAML.
  5. Selezionare una delle seguenti opzioni:
    • File di metadati: selezionare Scarica il file di metadati XML SAML oppure scaricare i metadati XML SAML con certificati autofirmati.
    • Esportazione manuale: l'esportazione manuale dei metadati consente di scegliere tra più opzioni SAML, ad esempio ID entità o URL di risposta di logout. Dopo aver copiato il file di esportazione, è possibile scaricare il certificato di firma del provider di servizi o il certificato di cifratura del provider di servizi.
    • URL metadati: se IdP supporta il download diretto dei metadati SAML. Selezionare Accedi al certificato di firma per consentire ai client di accedere al certificato di firma senza dover eseguire il login a un IdP.

Configurazione dei metadati IdP

Immettere manualmente i dettagli dei metadati IdP oppure importare un file di metadati.

  1. Selezionare una delle seguenti opzioni:
    • Importa metadati IdP: selezionare questa opzione se si dispone di un file XML esportato dal provider di identità. Trascinare la selezione del file XML per caricare i metadati oppure selezionare seleziona un file per cercare il file di metadati.
    • Immettere i metadati IdP: selezionare questa opzione se si desidera immettere manualmente i metadati IdP. Fornire i dettagli riportati di seguito:
      • URI emittente provider di identità:
      • URI servizio SSO
      • Associazione servizio SSO
      • Carica il certificato di firma del provider di identità
      • Carica certificato di cifratura del provider di identità
      • Abilita logout Globale
      • URL richiesta di logout del provider identità
      • URL risposta di logout del provider identità
      • Associazione logout
  2. Selezionare il metodo Algoritmo di hashing firma.
  3. Selezionare se si desidera utilizzare un certificato di firma con messaggio SAML.
  4. Selezionare Next.

Mapping degli attributi utente

Mappare la relazione tra gli attributi utente IdP e gli attributi utente del dominio di Identity.

  1. Selezionare un'opzione di mapping nel campo Formato ID nome richiesto.

    Le opzioni di mapping variano in base al provider di identità. Potrebbe essere possibile assegnare direttamente un valore IdP a un valore del dominio di Identity dell'infrastruttura Oracle Cloud. Ad esempio, NameID può essere mappato a UserName. Se si seleziona l'attributo di asserzione SAML come origine, selezionare il nome dell'attributo Asserzione, quindi immettere il dominio di Identity di Oracle Cloud Infrastructure.

    Se si seleziona Personalizzato, immettere i dettagli nel campo Formato ID nome personalizzato.

  2. Selezionare i campi nell'attributo utente del provider di identità e selezionare un campo corrispondente nell'attributo utente del dominio di identità.
  3. Selezionare Next.

Revisione e creazione di IdP

Verificare che le opzioni IdP siano accurate e quindi creare il file IdP.

  1. Selezionare Test login per aprire la schermata di accesso IdP.
  2. Selezionare Crea IdP.
    Nota

    Per modificare un elemento IdP dopo averlo creato, andare alla lista Provider di identità, selezionare IdP, quindi modificare IdP.