Documentazione di Oracle Cloud Infrastructure

SSO tra OCI e ADFS

In questa esercitazione configurare SSO tra IAM OCI e ADFS, utilizzando ADFS come provider di identità (IdP).

Questa esercitazione della durata di 30 minuti mostra come integrare IAM OCI, agendo come provider di servizi (SP), con ADFS, in qualità di IdP. Impostando la federazione tra ADFS e IAM OCI, è possibile abilitare l'accesso degli utenti ai servizi e alle applicazioni in OCI utilizzando le credenziali utente autenticate da ADFS.

Questa esercitazione descrive l'impostazione di ADFS come IdP per IAM OCI.

IAM OCI fornisce l'integrazione con SAML 2.0 IdPs. Questa integrazione:

  • Funziona con soluzioni SSO (Single Sign-On) federate compatibili con SAML 2.0 come IdP, ad esempio ADFS.
  • Consente agli utenti di collegarsi a OCI utilizzando le credenziali ADFS.
  • Consente agli utenti di accedere alle applicazioni finali.
  1. In primo luogo, scaricare i metadati dal dominio di Identity IAM OCI.
  2. Nei passi successivi è possibile creare e configurare una parte dipendente in ADFS.
  3. In ADFS, impostare SSO con IAM OCI utilizzando i metadati.
  4. In ADFS, modificare gli attributi e le richieste in modo che il nome e-mail venga utilizzato come identificativo per gli utenti.
  5. In ADFS aggiungere un utente all'applicazione.
  6. Per i passi successivi, tornare al dominio di Identity per completare l'impostazione e la configurazione. In IAM OCI, aggiornare il criterio IdP predefinito per aggiungere ADFS.
  7. Test del funzionamento dell'autenticazione federata tra IAM OCI e ADFS.
Nota

Questa esercitazione è specifica di IAM con i domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Un account Oracle Cloud Infrastructure (OCI) a pagamento o un account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.
  • Ruolo amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli di amministratore.
  • Un'installazione ADFS in locale.
    Nota

    Questa esercitazione descrive l'uso del software ADFS fornito con Microsoft Windows Server 2016 R2.
  • Inoltre, è necessario verificare che lo stesso utente esista in OCI e ADFS e che ADFS funzioni.
Creare lo stesso utente in entrambi i sistemi

Verificare che in entrambi i sistemi sia presente un utente con lo stesso indirizzo di posta elettronica.

Affinché l'autenticazione SSO SAML funzioni tra ADFS e IAM OCI, è necessario che un utente con lo stesso indirizzo di posta elettronica sia nel dominio Microsoft Active Directory che nel dominio di Identity IAM OCI. In questa procedura si conferma l'esistenza di un utente di questo tipo in entrambi i sistemi.

  1. Aprire la utility Utenti e computer di Microsoft Active Directory. In Windows 2016 Server, selezionare Server Manager, Strumenti, quindi Utenti e computer di Active Directory.
  2. Nella cartella Dipendenti fare doppio clic sull'utente che si desidera utilizzare. Prendere nota dell'indirizzo e-mail dell'utente.
    ADFS USER(adfsuser01@gmail.com)

    Utente nell'utilità Utenti e computer di Active Directory

    Nota

    Se più utenti nel dominio IAM OCI hanno lo stesso indirizzo di posta elettronica, SSO SAML non riesce perché è impossibile determinare l'utente a cui accedere.

    • L'indirizzo di posta elettronica dell'utente viene utilizzato per collegare l'utente connesso ad ADFS con la stessa voce utente in IAM OCI.
    • Se non si dispone di un utente ADFS per eseguire il test della connessione, è possibile crearne uno.
  3. In un browser, immettere l'URL della console per accedere alla console IAM OCI:

    https://cloud.oracle.com

  4. Immettere il proprio nome account cloud, indicato anche come nome tenancy, e selezionare Successivo.
  5. Accedi con il tuo nome utente e la tua password.
  6. Selezionare il dominio che si sta per utilizzare.
  7. Selezionare Utenti.
  8. Nel campo di ricerca, immettere l'indirizzo e-mail registrato da Microsoft Active Directory.
  9. Nei risultati della ricerca, confermare l'esistenza di un utente con lo stesso indirizzo e-mail dell'utente in Microsoft Active Directory.
    Nota

    Se l'utente non esiste in IAM OCI, selezionare Aggiungi e creare l'utente con lo stesso indirizzo di posta elettronica di Microsoft Active Directory.
Verifica che ADFS sia in esecuzione

Verificare che ADFS sia in esecuzione e che sia possibile richiedere l'accesso all'utente.

  1. Nel browser, accedere ad ADFS utilizzando l'URL: 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    dove adfs.example.com è il nome host ADFS.
  2. Se necessario, selezionare Accedi a questo sito. Selezionare Accedi.
  3. Immettere le credenziali Microsoft Active Directory per un utente esistente su ADFS e su IAM OCI (in questo esempio, adfsuser01) e selezionare Collega.

    Pagina Collega ADFS

  4. Verrà visualizzato il messaggio You are signed in.

    Conferma ADFS di aver effettuato l'accesso

1. Crea ADFS come IdP in IAM OCI
  1. Nel browser, accedere ad ADFS utilizzando l'URL: 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    dove adfs.example.com è il nome host ADFS.
  2. Salvare il file FederationMetadata.xml. Questo file verrà utilizzato per registrare ADFS con IAM OCI.
  3. Nella console OCI passare al dominio in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Selezionare Sicurezza, quindi Provider di identità.
  4. Selezionare Aggiungi IdP, quindi Aggiungi SAML IdP.
  5. Immettere un nome per SAML IdP, ad esempio ADFS_IdP. Selezionare Successivo.
  6. Selezionare Immetti IdP metadati.
  7. Scaricare i metadati del provider di servizi IAM (SP) OCI selezionando Esporta metadati SAML.
    1. Nella pagina Esporta metadati SAML in Metadati con certificati con firma automatica, selezionare Scarica XML.
      Nota

      Utilizzare i metadati con certificati autofirmati quando il provider di identità esegue controlli CRL o OCSP sui certificati emessi da una CA. In questa esercitazione ADFS esegue questa operazione durante la convalida del percorso del certificato.
    2. Salvare il file in una posizione appropriata.
    3. Trasferire il file Metadata.xml nel server Windows in cui è gestito ADFS. Questo file verrà utilizzato per registrare il dominio IAM OCI con ADFS.

    Esporta metadati SAML per IAM OCI

  8. Chiudere la pagina Esporta metadati SAML.
  9. Selezionare Importa IdP metadati, quindi selezionare Carica. Selezionare il file FederationMetadata.xml salvato in precedenza da ADFS, selezionare Apri, quindi selezionare Avanti.
  10. In Mappa identità utente, impostare quanto segue
    • In Formato NameID richiesto, selezionare Email address.
    • In Attributo utente provider di identità, selezionare SAML assertion Name ID.
    • In Attributo utente del dominio di Identity selezionare Primary email address.

    Attributi del provider di identità SAML

  11. Selezionare Successivo.
  12. In Revisione e creazione verificare le configurazioni e selezionare Crea IdP.
  13. Selezionare Attiva.
  14. Selezionare Aggiungi a regola di criteri IdP. L'aggiunta di ADFS IdP a un criterio IdP consente di visualizzarlo nella schermata di accesso a IAM OCI.

  15. Selezionare Criterio provider di identità predefinito per aprirlo, quindi selezionare il menu Azioni (tre punti) per la regola e selezionare Modifica regola IdP.

    Menu context con "Modifica regola IdP"

  16. Selezionare Assegna provider di identità, quindi selezionare ADFS_IdP per aggiungerlo alla lista.

    aggiunta di ADFS come provider di identità nella regola IdP predefinita

  17. Selezionare Salva modifiche.

Ora ADFS è registrato come provider di identità in IAM OCI.

Successivamente, registri IAM OCI come parte fidata in ADFS.

2. Registra IAM OCI come Trusted Relying Party

Innanzitutto, registra IAM OCI come parte facente affidamento su ADFS. Quindi, configura le regole di rimborso per IAM OCI come parte fiduciaria.

Registra la parte ricevente

  1. Aprire la utility di gestione ADFS. Ad esempio, nella utility Server Manager di Windows 2016, selezionare Strumenti, quindi selezionare Microsoft Active Directory Federation Services Management.
  2. Selezionare Azione, quindi Aggiungi trust parte ricevente.

  3. Nella finestra Add Relying Party Trust Wizard selezionare Start.

    Aggiungi procedura guidata trust parte richiedente in ADFS

  4. Selezionare Importa dati sulla parte ricevente da un file, quindi selezionare Sfoglia.

    Selezionare l'origine dati

  5. Selezionare Metadata.xml scaricato in precedenza da IAM OCI e selezionare Successivo.

  6. Immettere un nome visualizzato, ad esempio OCI IAM, e facoltativamente una descrizione in Note. Selezionare Successivo.

    Impostazione del nome visualizzato

  7. Procedere con le opzioni predefinite fino a raggiungere il passo Fine, quindi selezionare Chiudi. Viene visualizzata la finestra Modifica regole risarcimento.

    Modifica finestra risarcimenti

Configura regole di risarcimento

Le regole di risarcimento definiscono le informazioni su un utente connesso inviato da ADFS a IAM OCI dopo l'autenticazione riuscita. Qui è possibile definire due regole di richiesta di rimborso per IAM OCI da utilizzare come parte facente affidamento sui dati:

  • E-mail: questa regola indica che l'indirizzo di posta elettronica dell'utente viene inviato a IAM OCI nell'asserzione SAML.
  • ID nome: questa regola indica che il risultato della regola di posta elettronica viene inviato a IAM OCI nell'elemento Oggetto NameID dell'asserzione SAML.
  1. Nella finestra Modifica regole risarcimento, selezionare Aggiungi regola.
  2. Selezionare Invia attributi LDAP come risarcimenti come modello di regola di risarcimento, quindi selezionare Avanti
  3. Nella pagina Scegli tipo di regola, fornire le informazioni riportate di seguito per la regola e-mail.
    • Nome regola richiesta: Email
    • Area di memorizzazione degli attributi: Active Directory
    • Mapping degli attributi LDAP ai tipi di richiesta in uscita:
      • Attributo LDAP: E-Mail-Addresses
      • Tipo di risarcimento in uscita: E-Mail Address

      Scegliere la pagina Tipo di regola della procedura guidata Aggiungi regola di rimborso trasformazione.

  4. Selezionare Fine.
  5. Nella finestra Modifica regole risarcimento, selezionare Aggiungi regola per aggiungere la seconda regola di risarcimento.
  6. Selezionare Trasforma un risarcimento in entrata come modello di regola di risarcimento, quindi selezionare Avanti.
  7. Nella pagina Scegli tipo di regola, fornire le informazioni riportate di seguito per la regola ID nome.
    • Nome regola richiesta: Name ID
    • Tipo di richiesta in entrata: E-Mail Address
    • Tipo di richiesta in uscita: Name ID
    • Formato ID nome in uscita: Email

    Scegliere la pagina Tipo di regola della procedura guidata Aggiungi regola di rimborso trasformazione.

  8. Selezionare Fine.
  9. Nella finestra Modifica regole di risarcimento per Oracle Cloud, verificare che le regole e-mail e ID nome siano state create.

    Confermare la presenza di entrambe le richieste

Ora ADFS e IAM OCI dispongono di informazioni sufficienti per stabilire SSO ed è possibile eseguire il test dell'integrazione.

3. Test SSO tra ADFS e OCI

In questo task viene eseguito il test dell'autenticazione tra IAM OCI e ADFS. Se l'autenticazione riesce, abilitare il provider di identità per gli utenti finali.

  1. Riavviare il browser e immettere l'URL della console per accedere alla console IAM OCI:

    https://cloud.oracle.com

  2. Immettere il nome dell'account cloud, denominato anche nome della tenancy, e selezionare Successivo.
  3. Accedi con il tuo nome utente e la tua password.
  4. Selezionare il dominio per il quale è stato configurato ADFS IdP.
  5. Selezionare Sicurezza, quindi Provider di identità.
  6. Selezionare la voce IdP ADFS.
  7. Nella pagina dei dettagli per IdP, selezionare Altre azioni, quindi selezionare Test login.
  8. Scorrere fino in fondo e selezionare Test login.
  9. Nella pagina Collega ADFS, collegarsi con un utente esistente in ADFS e IAM OCI.

    Pagina di connessione ADFS

  10. Verrà visualizzato il messaggio di conferma La connessione è riuscita.

    Messaggi di conferma

Operazioni successive

Complimenti. Impostazione SSO tra ADFS e IAM OCI riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: