Documentazione dell'infrastruttura Oracle Cloud

Provisioning JIT da ADFS a IAM OCI

In questa esercitazione è possibile configurare il provisioning JIT (Just-In-Time) tra OCI e Microsoft ADFS, dove ADFS funge da IdP.

È possibile impostare il provisioning JIT in modo che le identità possano essere create nel sistema di destinazione durante il runtime, come e quando effettuano una richiesta di accesso al sistema di destinazione.

Questa esercitazione descrive i seguenti passi:

  1. Aggiornare le configurazioni delle parti riceventi in ADFS.
  2. Aggiornare ADFS IdP in IAM OCI per JIT.
  3. Test che consente di eseguire il provisioning degli utenti da ADFS a OCI IAM.
Nota

Questa esercitazione è specifica di IAM con domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Account Oracle Cloud Infrastructure (OCI) a pagamento o account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.
  • Ruolo di amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli amministratore.
  • Installazione di ADFS.
    Nota

    Questa esercitazione descrive l'utilizzo del software ADFS fornito con Microsoft Windows Server 2016 R2.
  • Inoltre, è necessario verificare che:
    • Lo stesso utente esiste in OCI e ADFS.
    • ADFS funziona.
1. Aggiorna configurazioni parte ricevente attendibile in ADFS
  1. Aprire la utility di gestione ADFS. Ad esempio, nella utility Windows 2016 Server Manager selezionare Strumenti, quindi selezionare Microsoft Active Directory Federation Services Management.
  2. In ADFS selezionare Fidati parte ricevente.
  3. Fare clic con il pulsante destro del mouse sul Trust di Relying Partying precedentemente configurato per OCI denominato OCI IAM nell'esercitazione SSO tra OCI e ADFS.
  4. Scegliere Modifica criterio di emissione richiesta.
  5. Modificare la richiesta e-mail per aggiungere altre tre regole di richiesta per Nome, Cognome e Gruppo.

    Attributo del nome:

    • Attributo LDAP: Given-Name
    • Tipo di richiesta in uscita: Given Name

    Attributo del cognome:

    • Attributo LDAP: Surname
    • Tipo di richiesta in uscita: Surname

    Attributo gruppo:

    • Attributo LDAP: Token-Groups - Unqualified Names
    • Tipo di richiesta in uscita: Group
  6. Selezionare OK nella pagina Regole, quindi di nuovo OK.

È possibile aggiungere attributi aggiuntivi per soddisfare i requisiti aziendali, ma sono necessari solo per questa esercitazione.

2. Aggiornare ADFS IdP in IAM OCI

Nella console IAM OCI configurare ADFS IdP per JIT.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Selezionare il dominio di Identity che verrà utilizzato per configurare SSO.
  4. Accedi con nome utente e password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza.
  6. In Identità selezionare Domini.
  7. Selezionare il dominio di Identity in cui ADFS è già stato configurato come IdP nel passo 1 dell'esercitazione "SSO tra OCI e ADFS".
  8. Selezionare Sicurezza dal menu a sinistra, quindi Provider di identità.
  9. Selezionare ADFS IdP.
    Nota

    Si tratta dell'ADFS IdP creato nell'ambito dell'esercitazione SSO tra OCI e ADFS.
  10. Nella pagina IdP ADFS selezionare Configura JIT.
  11. Nella pagina Configura provisioning JIT (Just-in-time):
    • Selezionare Abilita provisioning JIT (Just-In-Time).
    • Selezionare Crea un nuovo utente del dominio di Identity.
    • Selezionare Aggiorna l'utente del dominio di Identity esistente.

    abilita provisioning just-in-time

  12. In Mappa attributi utente:
    1. Lasciare invariata la prima riga per NameID.
    2. Per altri attributi, in IdP attributo utente selezionare Attribute.
    3. Fornire il nome dell'attributo utente IdP come indicato di seguito.
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Selezionare Aggiungi riga.
      • In IdP, attributo utente selezionare Attribute.
      • Per il nome attributo utente IdP, immettere http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Mapping degli attributi tra ADFS e OCI IAM

  13. Selezionare Assegna mapping dei gruppi.
  14. Immettere il nome attributo appartenenza al gruppo. Usare http://schemas.xmlsoap.org/claims/Group.
  15. Selezionare Definisci mapping espliciti dell'appartenenza ai gruppi.
  16. In IdP il nome del gruppo viene mappato al nome del gruppo di domini di Identity, effettuare le operazioni riportate di seguito.
    • In IdP Nome gruppo, fornire il nome del gruppo in ADFS che sarà presente nell'asserzione SAML inviata da ADFS.
    • In Nome gruppo di domini di identità, in IAM OCI selezionare il gruppo in IAM OCI da mappare al gruppo corrispondente in ADFS.

      Assegna mappature gruppo

  17. In Regole di assegnazione selezionare le seguenti opzioni:
    1. Quando si assegnano le appartenenze a gruppi: Unisci con appartenenze a gruppi esistente
    2. Quando un gruppo non viene trovato: Ignora il gruppo mancante
    Nota

    Selezionare le opzioni in base ai requisiti dell'organizzazione.
  18. Selezionare Salva modifiche.
3. Test del provisioning JIT tra ADFS e OCI
In questa sezione è possibile verificare che il provisioning JIT funzioni tra ADFS e OCI IAM
  1. In ADFS creare un utente in ADFS che non esiste in IAM OCI.
  2. Riavviare il browser e immettere l'URL della console per accedere a OCI Console:

    cloud.oracle.com

  3. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  4. Selezionare il dominio di Identity in cui è stata abilitata la configurazione JIT.
  5. Dalle opzioni di accesso selezionare ADFS.

    Icona ADFS nella pagina Collega

  6. Nella pagina di login ADFS, fornire le credenziali dell'utente appena creato.
  7. Quando l'autenticazione riesce, viene creato un account per l'utente in IAM OCI e l'utente è connesso a OCI Console.

    È possibile visualizzare il nuovo utente nel dominio OCI e verificare che abbia gli stessi attributi di identità e le stesse appartenenze ai gruppi immessi.

Operazioni successive

Congratulazioni. Impostazione del provisioning JIT tra ADFS e IAM OCI riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, dai un'occhiata a questi siti: