Documentazione di Oracle Cloud Infrastructure

Esercitazione 1: Entra ID come origine affidabile per gestire le identità mediante l'applicazione Entra ID Gallery

Configura l'ID Entra come area di memorizzazione identità affidabile per gestire le identità in IAM OCI utilizzando un modello di applicazione dalla Galleria ID Entra.

  1. Configurare IAM OCI in modo che Entra ID sia l'area di memorizzazione delle identità per gestire le identità in IAM OCI. In IAM OCI, creare un'applicazione riservata.
  2. Generare un token segreto dall'ID client e dal segreto client del dominio di Identity IAM OCI. Utilizzare questo, insieme all'URL del dominio, in Entra ID.
  3. Creare un'applicazione nell'ID Entra e utilizzare il token segreto e l'URL del dominio di Identity per specificare il dominio di Identity IAM OCI e provare che funziona eseguendo il push degli utenti dall'ID Entra a IAM OCI.
  4. Assegnare gli utenti e i gruppi di cui si desidera eseguire il provisioning a IAM OCI all'applicazione Entra ID.
  1. Inoltre, istruzioni su come
    • Impostare lo stato federato degli utenti in modo che vengano autenticati dal provider di identità esterno.
    • Impedisci agli utenti di ricevere e-mail di notifica quando il loro account viene creato o aggiornato.
1. Creare un'applicazione riservata

In questa sezione è possibile configurare l'ID Entra in modo che funga da Identity Manager in modo che gli account utente vengano sincronizzati dall'ID Entra a IAM OCI.

  1. Nel dominio di Identity in uso, selezionare Applicazioni.
  2. Selezionare Aggiungi applicazione, quindi scegliere Applicazione riservata e selezionare Avvia workflow.

    Applicazione riservata

  3. Immettere un nome per l'applicazione, ad esempio Entra ID, selezionare Avanti.
  4. In Configurazione client, selezionare Configure this application as a client now.

    Configurare un'applicazione come client

  5. In Autorizzazione, selezionare Credenziali client.

    Configurare l'applicazione per le credenziali client

  6. In Tipo di client selezionare Riservato.
  7. Scorrere verso il basso e, nella sezione dei criteri di emissione token, impostare Risorse autorizzate su Specifiche.

    Criterio di emissione token

  8. Selezionare Aggiungi ruoli applicazione.
  9. Nella sezione Ruoli applicazione selezionare Aggiungi ruoli, quindi nella pagina Aggiungi ruoli applicazione selezionare Amministratore utente, quindi selezionare Aggiungi.

    Aggiungi ruoli applicazione

  10. Selezionare Avanti, quindi Fine.
  11. Nella pagina di panoramica dell'applicazione, selezionare Attiva e confermare che si desidera attivare l'applicazione.

    L'applicazione riservata viene attivata.

2. Trovare l'URL del dominio e generare un token segreto

Sono necessarie due informazioni da utilizzare come parte delle impostazioni di connessione per l'applicazione enterprise creata nell'ID Entra:

  • L'URL del dominio.
  • Token segreto generato dall'ID e dal segreto client.
  1. Tornare alla panoramica del dominio di Identity selezionando il nome del dominio di Identity negli indicatori di percorso. Selezionare Copia accanto all'URL dominio nelle informazioni sul dominio e salvare l'URL in un'applicazione in cui è possibile modificarlo.

    Informazioni sul dominio che mostrano la posizione delle informazioni sull'URL del dominio.

  2. Nell'applicazione riservata in IAM OCI, selezionare OAuth configuration in Resources.
  3. Scorrere verso il basso e trovare l'ID client e il segreto client in Informazioni generali.
  4. Copiare l'ID client e memorizzarlo
  5. Selezionare Mostra segreto, copiare il segreto e memorizzarlo.

    ID client e segreto client

    Il token segreto è la codifica base64 di <clientID>:<clientsecret> oppure
    base64(<clientID>:<clientsecret>)

    Questi esempi mostrano come generare il token segreto su Windows, Linux o MacOS.

    In un ambiente Windows, aprire CMD e utilizzare questo comando powershell per generare la codifica base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    In Linux, utilizzare
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    In MacOS, utilizzare
    echo -n <clientID>:<clientsecret> | base64
    Viene restituito il token segreto. Esempio
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Prendere nota del valore del token segreto.

3. Crea applicazione OCI su ID Entra

Configurare l'ID Entra per abilitare l'ID Entra come area di memorizzazione delle identità affidabile per gestire le identità in IAM.

  1. Nel browser, accedere a Microsoft Entra ID utilizzando l'URL:
    https://portal.azure.com
  2. Selezionare Identità, quindi Applicazioni.
  3. Selezionare Applicazioni aziendali.

    Aggiungere un'applicazione enterprise

  4. Nella pagina Applicazioni enterprise, selezionare Nuova applicazione, quindi Oracle.
  5. Selezionare la console di Oracle Cloud Infrastructure.

    Scegliere la console di Oracle Cloud Infrastructure

  6. Immettere un nome o accettare il valore predefinito Oracle Cloud Infrastructure Console.
  7. Selezionare Crea.

    Crea applicazione console IAM OCI

  8. Scegliere Provisioning dal menu a sinistra in Gestisci.

    Pagina Provisioning per l'applicazione enterprise nell'ID Entra

  9. Selezionare Inizia e modificare Modalità di provisioning in Automatico.
  10. In URL tenant, immettere l'URL del dominio IAM OCI da 2. Trovare l'URL del dominio e generare un token segreto seguito da /admin/v1. In altre parole, l'URL del tenant è 
    https://<domainURL>/admin/v1
  11. Immettere il token segreto generato in 2. Trovare l'URL del dominio e generare un token segreto.

    Immettere le credenziali di amministrazione

  12. Selezionare Test della connessione. Quando viene visualizzato questo messaggio, la connessione è riuscita
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Scegliere Provisioning dal menu a sinistra in Gestisci e selezionare Avvia provisioning. Il ciclo di provisioning viene avviato e viene visualizzato lo stato del provisioning.
4. Assegnazione di utenti e gruppi all'applicazione ID Entra

Assegnare gli utenti di cui si desidera eseguire il provisioning a IAM OCI all'applicazione Entra ID.

  1. Nel menu a sinistra di Entra ID, selezionare Applicazioni enterprise.
  2. Selezionare l'applicazione creata in precedenza, Oracle Cloud Infrastructure Console.
  3. Nel menu a sinistra in Gestisci, selezionare Utenti e gruppi.
  4. Nella pagina Utenti e gruppi, selezionare Aggiungi utente/gruppo.
  5. Nella pagina Aggiungi assegnazione, a sinistra in Utenti e gruppi, selezionare Nessuna selezione.

    Viene visualizzata la pagina Utenti e gruppi.

  6. Selezionare uno o più utenti o gruppi dalla lista selezionandoli. Quelli selezionati vengono elencati in Elementi selezionati.

    Utenti e gruppi

  7. Selezionare Seleziona. Il numero di utenti e gruppi selezionati viene visualizzato nella pagina Aggiungi assegnazione.

    Il numero di utenti e gruppi selezionati viene visualizzato nella pagina Aggiungi assegnazione.

  8. Nella pagina Aggiungi assegnazione, selezionare Assegna.

    La pagina Utenti e gruppi ora mostra gli utenti e i gruppi scelti.

    Gli utenti e il gruppo scelti vengono visualizzati nella lista di utenti e gruppi per l'applicazione.

  9. Selezionare Provisioning nel menu a sinistra per eseguire il provisioning dei gruppi e degli utenti. Il log di provisioning mostra lo stato.

    Log di provisioning che mostra lo stato di operazione riuscita.

  10. Quando il provisioning è riuscito, lo stato del ciclo corrente mostra che il ciclo incrementale è stato completato e che viene visualizzato il numero di utenti di cui è stato eseguito il provisioning in IAM OCI.

    Viene visualizzato lo stato del provisioning, insieme al numero di utenti di cui è stato eseguito il provisioning su IAM OCI

    In IAM OCI, ora è possibile visualizzare gli utenti e i gruppi di cui è stato eseguito il provisioning dall'ID Entra.

    Utenti di Entra ID di cui è stato eseguito il provisioning in IAM
    Nota

    Quando si rimuovono gli utenti dall'applicazione della console di Oracle Cloud Infrastructure sull'ID Entra, l'utente verrà disattivato solo su IAM OCI.

    Gruppi di ID Entra ora di cui è stato eseguito il provisioning in IAM

5. Configurazioni aggiuntive per gli utenti federati
  • È possibile impostare lo stato federato degli utenti in modo che vengano autenticati dal provider di identità esterno.
  • È possibile disabilitare l'invio di e-mail di notifica all'utente quando il relativo account viene creato o aggiornato.
a. Impostazione dello stato federato degli utenti

Gli utenti federati non dispongono delle credenziali per collegarsi direttamente a OCI. Vengono invece autenticati dal provider di identità esterno. Se si desidera che gli utenti utilizzino i propri account federati per collegarsi a OCI, impostare l'attributo federato su true per tali utenti.

Per impostare lo stato federato dell'utente:

  1. Nel browser, accedere a Microsoft Entra ID utilizzando l'URL:
    https://portal.azure.com
  2. Selezionare Identità, quindi Applicazioni.
  3. Selezionare Applicazioni aziendali.
  4. Selezionare l'applicazione creata in precedenza, Oracle Cloud Infrastructure Console.
  5. Nel menu a sinistra in Gestisci, selezionare Provisioning, quindi selezionare Modifica provisioning.
  6. Nella pagina Provisioning selezionare Mapping.

  7. In Mapping, selezionare Esegui provisioning utenti ID Entra.

  8. In Mapping attributi, scorrere verso il basso e selezionare Aggiungi nuovo mapping.

    Aggiungi nuovo campo Mapping in Mapping attributi

  9. Nella pagina Modifica attributo:
    • Per Tipo di mapping, scegliere Expression.
    • In Espressione, immettere CBool("true").
    • Per Attributo target, scegliere urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Pagina Modifica attributo

  10. Fare clic su OK.
  11. Nella pagina Mapping attributi, selezionare Salva.

Ora, quando agli utenti viene eseguito il provisioning dall'ID Entra a OCI, il relativo stato federato viene impostato su true. Puoi vederlo nella pagina del profilo dell'utente.

  • Nella console OCI, andare al dominio di Identity in uso, selezionare Utenti e selezionare l'utente per mostrare le informazioni sull'utente.
  • Federato viene visualizzato come Yes.

    Informazioni utente che indicano che l'utente è federato

b. Disabilita notifiche per creazione o aggiornamenti account

Il flag di notifica bypass controlla se viene inviata una notifica di posta elettronica dopo aver creato o aggiornato un account utente in OCI. Se non si desidera che gli utenti ricevano una notifica relativa alla creazione dell'account, impostare il flag di notifica bypass su true.

Per impostare il flag di notifica bypass, effettuare le operazioni riportate di seguito.

  1. Nel browser, accedere a Microsoft Entra ID utilizzando l'URL:
    https://portal.azure.com
  2. Selezionare Identità, quindi Applicazioni.
  3. Selezionare Applicazioni aziendali.
  4. Selezionare l'applicazione creata in precedenza, Oracle Cloud Infrastructure Console.
  5. Nel menu a sinistra in Gestisci, selezionare Provisioning, quindi selezionare Modifica provisioning.
  6. Nella pagina Provisioning selezionare Mapping.

  7. In Mapping, selezionare Esegui provisioning utenti ID Entra.

    Esegui provisioning degli utenti ID Entra nei mapping nella pagina Modalità provisioning

  8. In Mapping attributi, scorrere verso il basso e selezionare Aggiungi nuovo mapping.

    Aggiungi nuovo campo Mapping in Mapping attributi

  9. Nella pagina Modifica attributo:
    • Per Tipo di mapping, scegliere Expression.
    • In Espressione, immettere CBool("true").
    • Per Attributo target, scegliere urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Pagina Modifica attributo

  10. Fare clic su OK.
  11. Nella pagina Mapping attributi, selezionare Salva.