Documentazione dell'infrastruttura Oracle Cloud

Provisioning JIT da Entra ID a OCI IAM

In questa esercitazione è possibile configurare il provisioning JIT (Just-In-Time) tra OCI Console e Entra ID, utilizzando Entra ID come IdP.

È possibile impostare il provisioning JIT in modo che le identità possano essere create nel sistema di destinazione durante il runtime, come e quando effettuano una richiesta di accesso al sistema di destinazione.

Questa esercitazione descrive i seguenti passi:

  1. Configurare l'ID Entra IdP in OCI IAM per JIT.
  2. Aggiornare la configurazione dell'applicazione IAM OCI in Entra ID.
  3. Eseguire il test per eseguire il provisioning da Entra ID a OCI IAM.
Nota

Questa esercitazione è specifica di IAM con domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Account Oracle Cloud Infrastructure (OCI) a pagamento o account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.

  • Ruolo di amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli amministratore.
  • Un account Entra ID con uno dei seguenti ruoli Entra ID:
    • Amministratore globale
    • Amministratore applicazione cloud
    • Amministratore dell'applicazione

Inoltre, è necessario aver completato l'esercitazione SSO tra OCI e Microsoft Entra ID e aver raccolto l'ID oggetto dei gruppi che si intende utilizzare per il provisioning JIT.

1. Configura attributi SAML inviati per ID Entra

Per consentire il funzionamento del provisioning JIT, è necessario configurare gli attributi SAML appropriati e obbligatori, che verranno inviati nell'asserzione SAML a OCI IAM in base all'ID Entra.

  1. Nel browser, accedere a Microsoft Entra ID utilizzando l'URL:
    https://entra.microsoft.com
  2. Passare a Applicazioni aziendali.
  3. Selezionare l'applicazione Oracle Cloud Infrastructure Console.
    Nota

    Questa è l'applicazione creata nell'ambito di SSO Between OCI and Microsoft Entra ID.
  4. Nel menu a sinistra selezionare Single Sign-On.
  5. Nella sezione Attributi e richieste, selezionare Modifica.
  6. Verificare che gli attributi siano configurati correttamente:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Se hai bisogno di nuove richieste, aggiungile.

  7. Prendere nota di tutti i nomi di risarcimento configurati. Ad esempio

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    è il nome della richiesta per First Name.

    Attributi e richieste

  8. Passare a Gruppi. Vedrai tutti i gruppi disponibili in Entra ID.
  9. Prendere nota degli ID oggetto dei gruppi che desiderano far parte di SAML per l'invio a IAM OCI.

    Dettagli gruppo in ID Entra

Configurazioni ID Entra aggiuntive

In Entra ID, è possibile filtrare i gruppi in base al nome del gruppo o all'attributo sAMAccountName.

Ad esempio, si supponga che solo il gruppo Administrators debba essere inviato tramite SAML:

  1. Selezionare la richiesta di rimborso gruppo.
  2. In Richieste di risarcimento di gruppo espandere Opzioni avanzate.
  3. Selezionare Gruppi di filtri.
    • Per Attributo da abbinare, selezionare Display Name.
    • Per Corrispondenza con, selezionare contains.
    • Per Stringa, fornire il nome del gruppo, ad esempio Administrators.

    Filtro per i gruppi

Utilizzando questa opzione, anche se l'utente nel gruppo di amministratori fa parte di altri gruppi, Entra ID invia solo il gruppo Amministratori in SAML.
Nota

Ciò consente alle organizzazioni di inviare solo i gruppi richiesti a OCI IAM da Entra ID.
2. Configura attributi JIT in IAM OCI

In OCI IAM, aggiornare l'ID Entra IdP per JIT.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il nome account cloud, indicato anche come nome della tenancy, quindi selezionare Successivo.
  3. Selezionare il dominio di Identity che verrà utilizzato per configurare SSO.
  4. Accedi con nome utente e password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza.
  6. In Identità selezionare Domini.
  7. Selezionare il dominio di Identity in cui è già stato configurato Entra ID come IdP.
  8. Selezionare Sicurezza dal menu a sinistra, quindi Provider di identità.
  9. Selezionare l'ID Entra IdP.
    Nota

    Questo è il Entra ID IdP creato nell'ambito di SSO Between OCI and Microsoft Entra ID.
  10. Nella pagina Entra ID IdP, selezionare Configura JIT.

    Pagina di configurazione per il provider di identità Entra ID in IAM

  11. Nella pagina Configura provisioning JIT (Just-in-time):
    • Selezionare Provisioning JIT (Just-In-Time).
    • Selezionare Crea un nuovo utente del dominio di Identity.
    • Selezionare Aggiorna l'utente del dominio di Identity esistente.

    abilita provisioning just-in-time

  12. Sotto Attributi utente mappa:
    1. Lasciare invariata la prima riga per NameID.
    2. Per altri attributi, in IdP attributo utente selezionare Attribute.
    3. Fornire il nome attributo utente IdP come indicato di seguito.
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Selezionare Aggiungi riga e immettere: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Per l'attributo utente del dominio di Identity, scegliere First name.

      Nota

      Il nome visualizzato completamente qualificato (FQDN) è 1. Configura gli attributi SAML inviati dall'ID Entra.

    Questo diagramma mostra l'aspetto degli attributi utente in OCI IAM (a destra) e il mapping degli attributi utente tra Entra ID e OCI IAM.

    Mapping degli attributi utente tra Entra ID e OCI IAM

  13. Selezionare Assegna mapping dei gruppi.
  14. Immettere il nome attributo appartenenza gruppo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Selezionare Definisci mapping espliciti dell'appartenenza ai gruppi.
  16. In IdP Nome gruppo, fornire l'ID oggetto del gruppo in Entra ID dal passo precedente.
  17. In Nome gruppo di domini di Identity, selezionare il gruppo in OCI IAM a cui mappare il gruppo Entra ID.

    Assegna mappature gruppo

    Questo diagramma mostra l'aspetto degli attributi del gruppo in OCI IAM (a destra) e il mapping degli attributi del gruppo tra Entra ID e OCI IAM.

    Mapping degli attributi del gruppo tra Entra ID e OCI IAM

  18. In Regole di assegnazione, selezionare quanto segue:
    1. Quando si assegnano le appartenenze a gruppi: unisci con appartenenze a gruppi esistente
    2. Quando un gruppo non viene trovato: ignorare il gruppo mancante

    impostazione delle regole di assegnazione

    Nota

    Selezionare le opzioni in base ai requisiti dell'organizzazione.
  19. Selezionare Salva modifiche.
3. Esegui il test del provisioning JIT tra ID Entra e OCI
In questa sezione, puoi verificare che il provisioning JIT funzioni tra Entra ID e OCI IAM.
  1. Nella console Entra ID creare un nuovo utente con un ID di posta elettronica non presente in OCI IAM.

  2. Assegnare l'utente ai gruppi richiesti.

    assegna utente ai gruppi

  3. Nel browser, aprire OCI Console.
  4. Selezionare il dominio di Identity in cui è stata abilitata la configurazione JIT.
  5. Selezionare Next.
  6. Dalle opzioni di accesso, selezionare ID aggiuntivo.
  7. Nella pagina di login di Microsoft immettere l'ID utente appena creato.

    Pagina di login Microsoft

  8. Al completamento dell'autenticazione da Microsoft:
    • L'account utente viene creato in IAM OCI.
    • L'utente è collegato a OCI Console.

    Profilo personale in IAM OCI per l'utente

  9. Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo, quindi selezionare Impostazioni utente. Controllare le proprietà dell'utente, ad esempio ID e-mail, nome, cognome e gruppi associati.

    Controllare le proprietà utente in IAM OCI

Operazioni successive

Congratulazioni. Impostazione del provisioning JIT tra Entra ID e OCI IAM riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, dai un'occhiata a questi siti: