Documentazione di Oracle Cloud Infrastructure

Provisioning JIT da ADFS a IAM OCI

In questa esercitazione è possibile configurare il provisioning JIT (Just-In-Time) tra OCI e Microsoft ADFS, in cui ADFS funge da IdP.

È possibile impostare il provisioning JIT in modo che le identità possano essere create nel sistema di destinazione durante il runtime, come e quando fanno una richiesta per accedere al sistema di destinazione.

Questa esercitazione descrive i passi riportati di seguito.

  1. Aggiornare le configurazioni della parte ricevente in ADFS.
  2. Aggiornare ADFS IdP in IAM OCI per JIT.
  3. Test che consente di eseguire il provisioning degli utenti da ADFS a IAM OCI.
Nota

Questa esercitazione è specifica di IAM con i domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Un account Oracle Cloud Infrastructure (OCI) a pagamento o un account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.
  • Ruolo amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli di amministratore.
  • Installazione ADFS.
    Nota

    Questa esercitazione descrive l'uso del software ADFS fornito con Microsoft Windows Server 2016 R2.
  • È inoltre necessario verificare che:
    • Lo stesso utente esiste in OCI e ADFS.
    • ADFS funziona.
1. Aggiorna le configurazioni delle parti riceventi sicure in ADFS
  1. Aprire la utility di gestione ADFS. Ad esempio, nella utility Server Manager di Windows 2016, selezionare Strumenti, quindi selezionare Microsoft Active Directory Federation Services Management.
  2. In ADFS, selezionare Fondi fiduciari parte ricevente.
  3. Fare clic con il pulsante destro del mouse su Relying Partying Trust configurato in precedenza per OCI, denominato OCI IAM, nell'esercitazione SSO Between OCI and ADFS.
  4. Scegliere Modifica criterio di emissione risarcimento.
  5. Modificare la richiesta e-mail per aggiungere altre tre regole di richiesta per Nome, Cognome e Gruppo.

    Attributo del nome:

    • Attributo LDAP: Given-Name
    • Tipo di richiesta in uscita: Given Name

    Attributo del cognome:

    • Attributo LDAP: Surname
    • Tipo di richiesta in uscita: Surname

    Attributo gruppo:

    • Attributo LDAP: Token-Groups - Unqualified Names
    • Tipo di richiesta in uscita: Group
  6. Selezionare OK nella pagina Regole, quindi OK.

È possibile aggiungere attributi aggiuntivi per soddisfare i requisiti aziendali, ma sono necessari solo per questa esercitazione.

2. Aggiornare ADFS IdP in IAM OCI

Nella console IAM OCI, configurare ADFS IdP per JIT.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Selezionare il dominio di Identity che verrà utilizzato per configurare SSO.
  4. Accedi con il tuo nome utente e la tua password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza.
  6. In Identità selezionare Domini.
  7. Selezionare il dominio di Identity in cui ADFS è già stato configurato come IdP nel passo 1 dell'esercitazione "SSO tra OCI e ADFS".
  8. Selezionare Sicurezza dal menu a sinistra, quindi Provider di identità.
  9. Selezionare l'ADFS IdP.
    Nota

    Questo è l'ADFS IdP creato nell'ambito dell'esercitazione SSO tra OCI e ADFS.
  10. Nella pagina IdP di ADFS selezionare Configura JIT.
  11. Nella pagina Configure Just-in-time (JIT) provisioning:
    • Selezionare Abilita provisioning JIT (Just-In-Time).
    • Selezionare Create a new identity domain user.
    • Selezionare Aggiornare l'utente del dominio di identità esistente.

    abilita provisioning just-in-time

  12. In Mappa attributi utente:
    1. Lasciare invariata la prima riga per NameID.
    2. Per gli altri attributi, in IdP attributo utente selezionare Attribute.
    3. Fornire il nome dell'attributo utente IdP come indicato di seguito.
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Selezionare Aggiungi riga:
      • In IdP attributo utente selezionare Attribute.
      • Per il nome dell'attributo utente IdP, immettere http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Mapping degli attributi tra ADFS e IAM OCI

  13. Selezionare Assegna mapping gruppi.
  14. Immettere il nome dell'attributo di appartenenza al gruppo. Utilizzare http://schemas.xmlsoap.org/claims/Group.
  15. Selezionare Definisci mapping di appartenenza ai gruppi espliciti.
  16. In IdP il nome del gruppo è mappato al nome del gruppo del dominio di identità, effettuare le operazioni riportate di seguito.
    • In IdP Nome gruppo, fornire il nome del gruppo in ADFS che sarà presente nell'asserzione SAML inviata da ADFS.
    • In Nome gruppo dominio di Identity, in IAM OCI selezionare il gruppo in IAM OCI da mappare al gruppo corrispondente in ADFS.

      Assegna mapping dei gruppi

  17. In Regole di assegnazione, selezionare quanto segue:
    1. Quando si assegnano appartenenze ai gruppi: Unisci con appartenenze ai gruppi esistenti
    2. Quando non viene trovato un gruppo: ignorare il gruppo mancante
    Nota

    Selezionare le opzioni in base ai requisiti dell'organizzazione.
  18. Selezionare Salva modifiche.
3. Test provisioning JIT tra ADFS e OCI
In questa sezione è possibile verificare il funzionamento del provisioning JIT tra ADFS e IAM OCI
  1. In ADFS, creare un utente in ADFS che non esiste in IAM OCI.
  2. Riavviare il browser e immettere l'URL della console per accedere a OCI Console:

    cloud.oracle.com

  3. Immettere il nome dell'account cloud, denominato anche nome della tenancy, e selezionare Successivo.
  4. Selezionare il dominio di Identity in cui è stata abilitata la configurazione JIT.
  5. Nelle opzioni di accesso, selezionare ADFS.

    Icona ADFS nella pagina Collega

  6. Nella pagina di login ADFS, fornire le credenziali dell'utente appena creato.
  7. Quando l'autenticazione riesce, viene creato un account per l'utente in IAM OCI e l'utente viene collegato a OCI Console.

    È possibile visualizzare il nuovo utente nel dominio OCI e verificare che disponga degli stessi attributi di identità e appartenenze ai gruppi immessi.

Operazioni successive

Complimenti. Impostazione del provisioning JIT tra ADFS e IAM OCI riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: