Documentazione di Oracle Cloud Infrastructure

Provisioning JIT dall'ID Entra a IAM OCI

In questa esercitazione viene configurato il provisioning JIT (Just-In-Time) tra la console OCI e l'ID Entra, utilizzando l'ID Entra come IdP.

È possibile impostare il provisioning JIT in modo che le identità possano essere create nel sistema di destinazione durante il runtime, come e quando fanno una richiesta per accedere al sistema di destinazione.

Questa esercitazione descrive i passi riportati di seguito.

  1. Configurare l'ID Entra IdP in IAM OCI per JIT.
  2. Aggiornare la configurazione dell'applicazione IAM OCI nell'ID Entra.
  3. Test che puoi eseguire il provisioning da Entra ID a IAM OCI.
Nota

Questa esercitazione è specifica di IAM con i domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Un account Oracle Cloud Infrastructure (OCI) a pagamento o un account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.

  • Ruolo amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli di amministratore.
  • Un account Entra ID con uno dei seguenti ruoli Entra ID:
    • Amministratore globale
    • Amministratore applicazione cloud
    • Amministratore applicazione

Inoltre, è necessario aver completato l'esercitazione SSO tra OCI e Microsoft Entra ID e aver raccolto l'ID oggetto dei gruppi che si sta per utilizzare per il provisioning JIT.

1. Configura attributi SAML inviati da ID Entra

Per garantire il funzionamento del provisioning JIT, è necessario configurare gli attributi SAML appropriati e obbligatori, che verranno inviati nell'asserzione SAML a IAM OCI mediante l'ID Entra.

  1. Nel browser, accedere a Microsoft Entra ID utilizzando l'URL:
    https://entra.microsoft.com
  2. Passare a Applicazioni enterprise.
  3. Selezionare l'applicazione della console di Oracle Cloud Infrastructure.
    Nota

    Questa è l'applicazione creata nell'ambito di SSO tra OCI e Microsoft Entra ID.
  4. Nel menu a sinistra selezionare Single Sign-On.
  5. Nella sezione Attributi e risarcimenti, selezionare Modifica.
  6. Verificare che gli attributi siano configurati in modo corretto:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Se sono necessarie nuove richieste, aggiungerle.

  7. Prendere nota di tutti i nomi di risarcimento configurati. Esempio

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    è il nome della richiesta per First Name.

    Attributi e reclami

  8. Passare a Gruppi. Vedrai tutti i gruppi disponibili in Entra ID.
  9. Prendere nota degli ID oggetto dei gruppi che desiderano far parte di SAML da inviare a IAM OCI.

    Dettagli gruppo in ID Entra

Configurazioni ID Entra aggiuntive

In ID Entra è possibile filtrare i gruppi in base al nome del gruppo o all'attributo sAMAccountName.

Si supponga, ad esempio, che sia necessario inviare tramite SAML solo il gruppo Administrators:

  1. Selezionare la richiesta di rimborso di gruppo.
  2. In Richieste di risarcimento di gruppo, espandere Opzioni avanzate.
  3. Selezionare Gruppi di filtri.
    • Per Attributo da abbinare, selezionare Display Name.
    • In Corrispondenza con, selezionare contains.
    • In Stringa, specificare il nome del gruppo, ad esempio Administrators.

    Filtro per gruppi

Utilizzando questa opzione, anche se l'utente nel gruppo di amministratori fa parte di altri gruppi, Entra ID invia solo il gruppo di amministratori in SAML.
Nota

Ciò consente alle organizzazioni di inviare solo i gruppi richiesti a IAM OCI dall'ID Entra.
2. Configura attributi JIT in IAM OCI

In IAM OCI, aggiornare l'ID Entra IdP per JIT.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Selezionare il dominio di Identity che verrà utilizzato per configurare SSO.
  4. Accedi con il tuo nome utente e la tua password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza.
  6. In Identità selezionare Domini.
  7. Selezionare il dominio di Identity in cui è già stato configurato l'ID Entra come IdP.
  8. Selezionare Sicurezza dal menu a sinistra, quindi Provider di identità.
  9. Selezionare l'ID Entra IdP.
    Nota

    Questo è l'ID Entra IdP creato nell'ambito di SSO tra OCI e Microsoft Entra ID.
  10. Nella pagina ID Entra IdP, selezionare Configura JIT.

    Pagina di configurazione per il provider di identità Entra ID in IAM

  11. Nella pagina Configure Just-in-time (JIT) provisioning:
    • Selezionare Provisioning JIT (Just-In-Time).
    • Selezionare Create a new identity domain user.
    • Selezionare Aggiornare l'utente del dominio di identità esistente.

    abilita provisioning just-in-time

  12. In Mappa attributi utente:
    1. Lasciare invariata la prima riga per NameID.
    2. Per gli altri attributi, in IdP attributo utente selezionare Attribute.
    3. Fornire il nome dell'attributo utente IdP come indicato di seguito
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Selezionare Aggiungi riga e immettere: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Per l'attributo utente del dominio di Identity, scegliere First name.

      Nota

      Il nome visualizzato completo (FQDN) proviene da 1. Configurare gli attributi SAML inviati dall'ID Entra.

    Questo diagramma mostra l'aspetto degli attributi utente in IAM OCI (a destra) e il mapping degli attributi utente tra l'ID Entra e l'IAM OCI.

    Mapping degli attributi utente tra l'ID Entra e l'IAM OCI

  13. Selezionare Assegna mapping gruppi.
  14. Immettere il nome dell'attributo di appartenenza al gruppo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Selezionare Definisci mapping di appartenenza ai gruppi espliciti.
  16. In IdP Nome gruppo, fornire l'ID oggetto del gruppo nell'ID Entra dal passo precedente.
  17. In Nome gruppo di domini di Identity, selezionare il gruppo in IAM OCI a cui mappare il gruppo di ID Entra.

    Assegna mapping dei gruppi

    Questo diagramma mostra l'aspetto degli attributi di gruppo in IAM OCI (a destra) e il mapping degli attributi di gruppo tra l'ID Entra e l'IAM OCI.

    Mapping degli attributi di gruppo tra l'ID Entra e l'IAM OCI

  18. In Regole assegnazione selezionare quanto riportato di seguito.
    1. Durante l'assegnazione delle appartenenze ai gruppi: unione con appartenenze ai gruppi esistenti
    2. Quando non viene trovato un gruppo: ignorare il gruppo mancante.

    impostazione di regole di assegnazione

    Nota

    Selezionare le opzioni in base ai requisiti dell'organizzazione.
  19. Selezionare Salva modifiche.
3. Test provisioning JIT tra ID Entra e OCI
In questa sezione è possibile verificare che il provisioning JIT funzioni tra l'ID Entra e l'IAM OCI.
  1. Nella console ID Entra, creare un nuovo utente con un ID di posta elettronica non presente in IAM OCI.

  2. Assegna l'utente ai gruppi richiesti.

    assegnare l'utente ai gruppi

  3. Nel browser, aprire OCI Console.
  4. Selezionare il dominio di Identity in cui è stata abilitata la configurazione JIT.
  5. Selezionare Successivo.
  6. Nelle opzioni di accesso, selezionare ID aggiunta.
  7. Nella pagina di login Microsoft, immettere l'ID utente appena creato.

    Pagina di login Microsoft

  8. In caso di autenticazione riuscita da Microsoft:
    • L'account utente viene creato in IAM OCI.
    • L'utente viene collegato a OCI Console.

    Profilo personale in IAM OCI per l'utente

  9. Nel menu di navigazione selezionare il menu Profilo Icona menu Profilo e quindi selezionare Impostazioni utente o Profilo personale, a seconda dell'opzione visualizzata. Controllare le proprietà dell'utente, ad esempio ID e-mail, nome, cognome e gruppi associati.

    Controllare le proprietà utente in IAM OCI

Operazioni successive

Complimenti. Impostazione del provisioning JIT tra l'ID Entra e l'IAM OCI riuscita.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: