Gestione dei provider di identità

Informazioni su provider e fornitori di servizi di identità.

Un provider di identità, noto anche come autorità di autenticazione, fornisce l'autenticazione esterna per gli utenti che desiderano connettersi a un dominio di Identity utilizzando le credenziali del provider esterno. Sebbene un dominio di Identity possa fungere da provider di identità per un provider di servizi di terze parti, in questo contesto in cui si basa su un provider di identità per autenticare gli utenti che accedono al dominio di Identity, il dominio di Identity è il provider di servizi. Più in generale, puoi anche considerare Oracle Cloud Infrastructure come il provider di servizi perché fornisce i servizi e le risorse a cui gli utenti desiderano accedere.

AD esempio, l'organizzazione potrebbe desiderare che gli utenti accedano e accedano a Oracle Cloud Services utilizzando le credenziali di Microsoft Active Directory Federation Services (AD FS). In questo caso, Microsoft AD FS funge da provider di identità (IdP) e il dominio di identità funge da provider di servizi (SP). MS AD FS esegue l'autenticazione dell'utente e restituisce un token contenente le informazioni di identità e autenticazione al dominio di Identity (AD esempio, il nome utente e l'indirizzo di posta elettronica dell'utente). Questo token di sicurezza è firmato digitalmente da IdP. L'SP verifica la firma sul token e quindi utilizza le informazioni di identità per stabilire una sessione autenticata per l'utente. Questo è noto come Single Sign-On federato in cui a un utente viene richiesto di immettere le credenziali in un dominio e viene concesso l'accesso a un altro dominio.

Per federare un bridge Microsoft Active Directory, vedere Impostazione di un bridge Microsoft Active Directory (AD).

Un certificato digitale è come un passaporto elettronico che aiuta una persona, un computer o un'organizzazione a scambiare informazioni in modo sicuro su Internet utilizzando la crittografia a chiave pubblica. Un certificato digitale può essere definito come certificato a chiave pubblica.

Proprio come un passaporto, un certificato digitale fornisce informazioni identificative, è resistente alla falsificazione e può essere verificato perché rilasciato da un'agenzia ufficiale di fiducia. Il certificato può contenere il nome, un numero di serie, le date di scadenza, una copia della chiave pubblica del titolare del certificato (utilizzata per la cifratura dei messaggi e la verifica delle firme digitali) e la firma digitale dell'autorità di certificazione (CA) in modo che il destinatario sia in grado di verificare che il certificato è reale.

Per verificare le firme dei provider di identità esterni, il provider di servizi memorizza le copie dei propri certificati di firma. Quando il provider di servizi riceve un messaggio firmato da un provider di identità, prima che il certificato memorizzato venga utilizzato per verificare la firma, il certificato deve essere verificato come valido. La convalida del certificato include la verifica che il certificato non sia scaduto. Una volta convalidato il certificato, quest'ultimo viene utilizzato per verificare la firma sul messaggio.

Affinché questa operazione riesca, la chiave pubblica incorporata nel certificato deve corrispondere alla chiave privata utilizzata dal provider di identità per firmare il messaggio.

Il provisioning JIT (Just-In-Time) SAML automatizza il processo di creazione dell'account utente quando l'utente tenta per il primo volta l'esecuzione del servizio SSO e l'utente non esiste ancora nel dominio d'identità. Oltre alla creazione automatica degli utenti, JIT consente di concedere e revocare le appartenenze ai gruppi come parte del provisioning. JIT può essere configurato per aggiornare gli utenti di cui è stato eseguito il provisioning in modo che gli attributi degli utenti nell'area di memorizzazione del provider di servizi possano essere mantenuti sincronizzati con gli attributi dell'area di memorizzazione utenti del provider di identità (IdP).