Documentazione di Oracle Cloud Infrastructure

Gestione di un provider di identità SAML

Utilizzare la console per aggiungere un provider di identità SAML 2.0 (IdP) a un dominio di Identity in modo che gli utenti autenticati da IdP possano accedere alle risorse e alle applicazioni cloud di Oracle Cloud Infrastructure.

Termini comuni

Provider di identità (IdP)

Un IdP è un servizio che fornisce credenziali di identificazione e autenticazione per gli utenti.

Provider di servizi (SP)

Servizio (ad esempio un'applicazione, un sito Web e così via) che richiede a un IdP di autenticare gli utenti.

Per creare un SAML 2.0 IdP, effettuare le operazioni riportate di seguito.

Configurazione del provisioning JIT SAML

Il provisioning JIT SAML può essere configurato utilizzando la console o l'endpoint API REST /admin/v1/IdentityProviders. Per configurare il provisioning JIT SAML, vedere i riferimenti riportati di seguito.

Aggiunta di un provider di identità SAML

Immettere i dettagli SAML per un provider di identità.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Provider di identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. A seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • utilizzando il menu Azioni del provider di identità, selezionare Aggiungi SAML IdP oppure
    • selezionare Aggiungi IdP, quindi selezionare Aggiungi SAML IdP.
  4. Immettere le informazioni riportate di seguito.
    • Name: immettere il nome del IdP.
    • (Facoltativo) Descrizione: immettere una descrizione del IdP.
    • (Facoltativo) icona del provider di identità: trascinare e rilasciare un'immagine supportata oppure selezionare Seleziona uno per cercare l'immagine.
  5. Selezionare Successivo.
  6. Nella schermata Scambio di metadati selezionare il pulsante Esporta metadati SAML per inviare i metadati SAML al provider di identità. Procedere in uno dei seguenti modi:
    • Importa metadati IdP: selezionare questa opzione se si dispone di un file XML esportato dal file IdP. Trascinare il file XML per caricare i metadati oppure selezionare selezionarne uno per cercare il file di metadati.
    • Immettere i metadati IdP: selezionare questa opzione se si desidera immettere manualmente i metadati IdP. Fornire i dettagli riportati di seguito:
      • URI emittente provider di identità
      • URI servizio SSO
      • Associazione servizio SSO
      • Carica il certificato di firma del provider di identità
      • Abilita logout globale
    • Importa IdP URL: immettere l'URL dei metadati IdP.
  7. Selezionare Mostra opzioni avanzate se si desidera selezionare quanto segue:
    • Algoritmo di hashing della firma: selezionare SHA-256 o SHA-1
    • Richiedi asserzione cifrata: indica che l'autorizzazione del dominio di Identity prevede un'asserzione cifrata dal file IdP.
    • Forza autenticazione: selezionare questa opzione per richiedere agli utenti di eseguire l'autenticazione con IdP, anche se la sessione è ancora valida.
    • Contesto di autenticazione richiesto: selezionare i riferimenti alla classe contenuto di autenticazione.
    • Conferma oggetto titolare di chiave obbligatoria: disponibile dopo aver caricato un file di metadati valido supportato da HOK (Holder-of-Key).
    • Invia certificato di firma con messaggio SAML: selezionare questa opzione per includere il certificato di firma del dominio di Identity con i messaggi SAML inviati dal dominio di Identity. Alcuni provider SAML richiedono il certificato di firma per cercare la configurazione del partner SAML.
  8. Selezionare Successivo.
  9. Nella schermata Aggiungi provider di identità SAML, effettuare le operazioni riportate di seguito.
    1. Selezionare un formato ID nome richiesto.
  10. Mappa gli attributi di identità dell'utente ricevuti da IdP a un dominio di Identity di Oracle Cloud Infrastructure.
    Le opzioni di mapping variano in base al provider di identità. È possibile assegnare direttamente un valore IdP a un valore del dominio di Identity di Oracle Cloud Infrastructure. Ad esempio, NameID può essere mappato a UserName. Se si seleziona l'attributo di asserzione SAML come origine, selezionare il nome dell'attributo Asserzione, quindi immettere il dominio di Identity di Oracle Cloud Infrastructure.
  11. Selezionare Invia.
  12. Nella schermata Rivedi e crea, rivedere le impostazioni del provider di identità SAML. Se le impostazioni sono corrette, selezionare Crea. Selezionare Modifica accanto al set di impostazioni, se è necessario modificarle.
  13. La console visualizza un messaggio quando viene creato il provider di identità SAML. Nella pagina della panoramica è possibile eseguire le operazioni riportate di seguito.
    • Selezionare Test per verificare che la connessione SSO SAML funzioni correttamente.
    • Selezionare Attiva per attivare IdP in modo che il dominio di identità possa utilizzarlo.
    • Selezionare Assegna a regola di criterio IdP per assegnare questo provider di identità SAML a una regola di criterio esistente creata.
  14. Selezionare Chiudi.
Importa metadati per un provider di identità SAML

Importare i metadati SAML per un provider di identità.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Provider di identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. A seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • utilizzando il menu Azioni del provider di identità, selezionare Aggiungi SAML IdP oppure
    • selezionare Aggiungi IdP, quindi selezionare Aggiungi SAML IdP.
  4. Immettere i dettagli per IdP:
    Campo descrizione;
    Nome Immettere il nome del file IdP.
    descrizione; Inserire le informazioni esplicative sul IdP.
    Icona Cercare e selezionare o trascinare un'icona che rappresenta il valore IdP. L'icona deve avere una dimensione di 95 x 95 pixel e uno sfondo trasparente. I formati di file supportati sono: .png, .fig, .jpg, .jpeg.
  5. Seleziona Avanti. Immettere i dettagli per la configurazione:
    Campo descrizione;
    Importa metadati provider di identità Selezionare questa opzione per importare i metadati per il file IdP.
    Metadati provider di identità Selezionare il file XML che contiene i metadati per il file IdP da importare.

    Nota: è possibile definire un solo IdP nel dominio di Identity con un determinato ID emittente, noto anche come ID provider o ID entità. L'attributo ID entità fa parte dei metadati IdP, pertanto è possibile creare un solo IdP con un determinato file di metadati. È inoltre possibile aggiornare un IdP con nuovi metadati, ma non è possibile modificarne l'ID emittente.
    Invia certificato di firma con il messaggio SAML

    Per includere il certificato di firma del dominio di Identity con i messaggi SAML inviati all'indirizzo IdP, selezionare questa casella di controllo. Il certificato di firma viene utilizzato per verificare la firma dei messaggi per IdP. In genere questo non è necessario, ma alcuni IdPs lo richiedono come parte del processo di verifica della firma.
    Algoritmo di hashing firma
    Selezionare l'algoritmo hash sicuro da utilizzare per firmare i messaggi inviati al IdP.
    • L'impostazione predefinita è SHA-256.

    • Se l'IDP non supporta SHA-256, selezionare SHA-1.
  6. Seleziona Avanti. Configurare il mapping tra gli attributi utente IdP e del dominio di Identity:
    Campo descrizione;
    Attributo utente provider di identità

    Selezionare il valore dell'attributo utente ricevuto dal file IdP che può essere utilizzato per identificare in modo univoco l'utente.

    È possibile specificare l'ID nome dell'asserzione. In alternativa, è possibile specificare un altro attributo SAML dall'asserzione immettendolo nella casella di testo Attributo asserzione.
    Attributo utente dominio di Identity

    Selezionare l'attributo nel dominio di Identity al quale mappare l'attributo ricevuto da IdP.

    È possibile specificare il nome utente o un altro attributo, ad esempio il nome visualizzato dell'utente, l'indirizzo di posta elettronica primario o di recupero o un ID esterno. L'ID esterno viene utilizzato quando si desidera mappare l'attributo ricevuto da IdP a un ID speciale associato al provider.
    Formato NameID richiesto

    Quando le richieste di autenticazione SAML vengono inviate all'indirizzo IdP, è possibile specificare un formato ID nome nella richiesta.

    Se IdP non lo richiede nella richiesta, selezionare <None Requested>.
  7. Selezionare Crea IdP. Esportare i metadati SAML del dominio di Identity:
    Attività descrizione;
    Metadati provider di servizi

    Per esportare i metadati per il dominio di Identity, selezionare Scarica. Quindi, importare questi metadati nel file IdP. Se IdP non supporta l'importazione di un documento XML dei metadati SAML, utilizzare le informazioni riportate di seguito per configurare manualmente IdP.

    Se il partner di federazione in cui si importano i metadati del dominio di Identity esegue la convalida CRL (AD esempio, AD FS esegue la convalida CRL) anziché utilizzare i metadati esportati da questo pulsante, scaricare i metadati da: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Attivare la commutazione in Access Signing Certificate in Impostazioni predefinite per consentire ai client di accedere ai metadati senza eseguire il login al dominio di Identity.
    Metadati del provider di servizi con certificati autofirmati

    Per esportare i metadati per il dominio di Identity insieme ai certificati con firma automatica, selezionare Scarica. Quindi, importare questi metadati nel file IdP. Se IdP non supporta l'importazione di un documento XML dei metadati SAML, utilizzare le informazioni riportate di seguito per configurare manualmente IdP.

    Se il partner di federazione in cui si importano i metadati del dominio di Identity esegue la convalida CRL (AD esempio, AD FS esegue la convalida CRL) anziché utilizzare i metadati esportati da questo pulsante, scaricare i metadati da: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Attivare la commutazione in Access Signing Certificate in Impostazioni predefinite per consentire ai client di accedere ai metadati senza eseguire il login al dominio di Identity.
    ID provider

    URI (Uniform Resource Identifier) che identifica in modo univoco il dominio di Identity. L'ID provider è anche noto come ID emittente o ID entità.
    URL servizio consumer asserzioni URL (Uniform Resource Locator) dell'endpoint del servizio del dominio di Identity che riceve ed elabora le asserzioni dal file IdP.
    URL endpoint servizio logout URL dell'endpoint del servizio del dominio di Identity che riceve ed elabora le richieste di logout dal file IdP.
    URL di restituzione servizio logout URL dell'endpoint del servizio del dominio di Identity che riceve ed elabora le risposte di logout dal file IdP.
    Certificato di firma provider di servizi Per esportare il certificato di firma del dominio di Identity, selezionare Scarica. Selezionare il file che contiene il certificato di firma. Questo certificato viene utilizzato da IdP per verificare la firma nelle richieste e nelle risposte SAML inviate dal dominio di Identity a IdP.
    Certificato di cifratura provider di servizi Per esportare il certificato di cifratura del dominio di Identity, selezionare Scarica. Selezionare il file che contiene il certificato di cifratura. Questo certificato viene utilizzato da IdP per cifrare le asserzioni SAML inviate al dominio di Identity. Ciò è necessario solo se IdP supporta asserzioni cifrate.

    Per ottenere il certificato radice del dominio di Identity di emissione, vedere Obtain the Root CA Certificate.

  8. Selezionare Successivo.
  9. Nella pagina Test IdP, selezionare Test login per eseguire il test delle impostazioni di configurazione per IdP. È necessario aver eseguito il login al dominio di identità per il quale è stato configurato IdP per il test delle impostazioni di configurazione.
  10. Selezionare Successivo.
  11. Nella pagina Attiva IdP selezionare Attiva per attivare IdP.
  12. Selezionare Fine.

Esportazione di metadati SAML

Esportazione dei metadati SAML per un dominio di Identity in IAM.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Proiders identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. Aprire un provider di identità.
  4. Selezionare Esporta metadati SAML.
  5. Selezionare una delle seguenti opzioni:
    • File di metadati: selezionare Scarica il file di metadati XML SAML oppure scarica i metadati XML SAML con certificati autofirmati.
    • Esportazione manuale: l'esportazione manuale dei metadati consente di scegliere tra più opzioni SAML, ad esempio l'ID entità o l'URL di risposta di logout. Dopo aver copiato il file di esportazione, è possibile scaricare il certificato di firma del provider di servizi o il certificato di cifratura del provider di servizi.
    • URL metadati: se IdP supporta il download diretto dei metadati SAML. Selezionare Accedi al certificato di firma per consentire ai client di accedere al certificato di firma senza dover eseguire il login a IdP.

Configurazione dei metadati IdP

Immettere i dettagli dei metadati IdP manualmente o importare un file di metadati.

  1. Selezionare una delle seguenti opzioni:
    • Importa metadati IdP: selezionare questa opzione se si dispone di un file XML esportato dal file IdP. Trascinare il file XML per caricare i metadati oppure selezionare selezionarne uno per cercare il file di metadati.
    • Immettere i metadati IdP: selezionare questa opzione se si desidera immettere manualmente i metadati IdP. Fornire i dettagli riportati di seguito:
      • URI emittente provider di identità:
      • URI servizio SSO
      • Associazione servizio SSO
      • Carica il certificato di firma del provider di identità
      • Carica certificato di cifratura del provider di identità
      • Abilita logout globale
      • URL richiesta di logout del provider identità
      • URL risposta di logout del provider identità
      • Associazione logout
  2. Selezionare il metodo Algoritmo di hashing firma.
  3. Selezionare se si desidera utilizzare un certificato di firma firmato con messaggio SAML.
  4. Selezionare Successivo.

Attributi utente mapping

Mappare la relazione tra gli attributi utente IdP e gli attributi utente del dominio di Identity.

  1. Nel campo Formato ID nome richiesto selezionare un'opzione di mapping.

    Le opzioni di mapping variano in base al provider di identità. Potresti essere in grado di assegnare direttamente un valore IdP a un valore del dominio di Identity di Oracle Cloud Infrastructure. Ad esempio, NameID può essere mappato a UserName. Se si seleziona l'attributo di asserzione SAML come origine, selezionare il nome dell'attributo Asserzione, quindi immettere il dominio di Identity di Oracle Cloud Infrastructure.

    Se si seleziona Personalizzato, immettere i dettagli nel campo Formato ID nome personalizzato.

  2. Selezionare i campi nell'attributo utente del provider di identità e selezionare un campo corrispondente nell'attributo utente del dominio di Identity.
  3. Selezionare Successivo.

Revisione e creazione del file IdP

Verificare che le opzioni IdP siano accurate, quindi creare IdP.

  1. Selezionare Test login per aprire la schermata di accesso IdP.
  2. Selezionare Crea IdP.
    Nota

    Per modificare un valore IdP dopo averlo creato, andare alla lista Provider di identità, selezionare IdP, quindi modificare il valore IdP.