Documentazione di Oracle Cloud Infrastructure

SSO tra OCI e ID Entra Microsoft

In questa esercitazione configurare SSO tra IAM OCI e Microsoft Entra ID, utilizzando Entra ID come provider di identità (IdP).

Questa esercitazione della durata di 30 minuti mostra come integrare IAM OCI, agendo come provider di servizi (SP), con Entra ID, agendo come IdP. Impostando la federazione tra l'ID Entra e l'IAM OCI, è possibile abilitare l'accesso degli utenti ai servizi e alle applicazioni in OCI utilizzando le credenziali utente autenticate da Entra ID.

Questa esercitazione descrive l'impostazione dell'ID Entra come IdP per IAM OCI.

  1. In primo luogo, scaricare i metadati dal dominio di Identity IAM OCI.
  2. Nei passaggi successivi si crea e configura un'applicazione in Entra ID.
  3. Nell'ID Entra, impostare SSO con IAM OCI utilizzando i metadati.
  4. In ID Entra, modificare gli attributi e le richieste in modo che il nome e-mail venga utilizzato come identificativo per gli utenti.
  5. In Entra ID, aggiungi un utente all'app.
  6. Per i passi successivi, si torna al dominio di Identity per completare l'impostazione e configuration.In IAM OCI, aggiornare il criterio IdP predefinito per aggiungere l'ID Entra.
  7. Test del funzionamento dell'autenticazione federata tra IAM OCI e l'ID Entra.
Nota

Questa esercitazione è specifica di IAM con i domini di Identity.
Prima di iniziare

Per eseguire questa esercitazione, è necessario disporre dei seguenti elementi:

  • Un account Oracle Cloud Infrastructure (OCI) a pagamento o un account di prova OCI. Consulta Oracle Cloud Infrastructure Free Tier.

  • Ruolo amministratore del dominio di Identity per il dominio di Identity IAM OCI. Vedere Introduzione ai ruoli di amministratore.
  • Un account Entra ID con uno dei seguenti ruoli Entra ID:
    • Amministratore globale
    • Amministratore applicazione cloud
    • Amministratore applicazione
Nota

L'utente utilizzato per Single Sign-On (SSO) deve esistere sia in IAM OCI che nell'ID Entra affinché SSO funzioni. Dopo aver completato questa esercitazione SSO, è disponibile un'altra esercitazione, Identity Lifecycle Management Between OCI IAM and Entra ID. Questa altra esercitazione descrive come eseguire il provisioning degli account utente dall'ID Entra a IAM OCI o da IAM OCI a Entra ID.
1. Recupera metadati provider di servizi da IAM OCI

Per eseguire l'importazione nell'applicazione Entra ID SAML creata, sono necessari i metadati SP del dominio di Identity IAM OCI. IAM OCI fornisce un URL diretto per scaricare i metadati del dominio di Identity in uso. Per scaricare i metadati, procedere come segue.

  1. Aprire un browser supportato e immettere l'URL della console:

    https://cloud.oracle.com.

  2. Immettere il proprio nome account cloud, indicato anche come nome tenancy, e selezionare Successivo.
  3. Selezionare il dominio di identità a cui connettersi. Dominio di Identity utilizzato per configurare SSO, ad esempio Default.
  4. Accedi con il tuo nome utente e la tua password.
  5. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini.
  6. Fare clic sul nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Fare quindi clic su Impostazioni, quindi su Impostazioni dominio.
  7. In Certificato di firma Access, selezionare Configura accesso client.

    Ciò consente a un client di accedere alla certificazione di firma per il dominio di Identity senza collegarsi al dominio.

  8. Selezionare Salva modifiche.

    Configurare l'accesso client nella pagina Impostazioni dominio

  9. Tornare alla panoramica del dominio di Identity selezionando il nome del dominio di Identity nel percorso di navigazione dell'indicatore di percorso. Selezionare Copia accanto all'URL dominio nelle informazioni sul dominio e salvare l'URL in un'applicazione in cui è possibile modificarlo.

    Informazioni sul dominio che mostrano la posizione delle informazioni sull'URL del dominio.

  10. In una nuova scheda del browser incollare l'URL copiato e aggiungere /fed/v1/metadata alla fine.

    Ad esempio:

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. I metadati per il dominio di Identity vengono visualizzati nel browser. Salvarlo come file XML con il nome OCIMetadata.xml.
2. Crea un'applicazione Enterprise Entra ID

Per i prossimi passi, si sta lavorando in Entra ID.

Crea un'applicazione enterprise SAML nell'ID Entra.

  1. Nel browser, accedere a Microsoft Entra utilizzando l'URL:
    https://entra.microsoft.com
  2. Selezionare Identità, quindi Applicazioni.
  3. Selezionare Applicazioni enterprise, quindi Nuova applicazione.
  4. In Cerca applicazioni, digitare Oracle Cloud Infrastructure Console.
  5. Selezionare la casella Console di Oracle Cloud Infrastructure di Oracle Corporation.
  6. Immettere un nome per l'applicazione, ad esempio Oracle IAM, e selezionare Crea.

    L'applicazione enterprise viene creata nell'ID Entra.

3. Impostazione Single Sign-On per l'applicazione Enterprise Entra ID

Impostare SSO per l'applicazione SAML Entra ID e scaricare i metadati SAML di Entra ID. In questa sezione viene utilizzato il file di metadati SP IAM OCI salvato in 1. Recupera i metadati del provider di servizi da IAM OCI.

  1. Nella pagina Introduzione, selezionare Inizia in Imposta Single Sign-On.
  2. Selezionare SAML, quindi selezionare Carica file di metadati (pulsante nella parte superiore della pagina). Cercare il file XML contenente i metadati del dominio di Identity OCI, OCIMetadata.xml.
  3. Fornire l'URL di collegamento. Esempio 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Selezionare Salva.
  5. Chiudere la pagina Carica file di metadati dalla X in alto a destra. Se ti viene chiesto se vuoi testare l'applicazione ora, scegli di non farlo perché testerai l'applicazione più avanti in questa esercitazione.
  6. Nella pagina Imposta Single Sign-On con SAML, scorrere verso il basso e in Certificato di firma SAML, selezionare Scarica accanto a XML metadati federazione.
  7. Quando richiesto, scegliere Salva file. I metadati vengono salvati automaticamente con il nome file predefinito <your_enterprise_app_name>.xml. Ad esempio, OracleIAM.xml.

    Pagina SSO basata su SAML di Entra ID

4. Modifica attributi e risarcimenti

Modificare gli attributi e le richieste nella nuova applicazione SAML di Entra ID in modo che l'indirizzo di posta elettronica dell'utente venga utilizzato come nome utente.

  1. Nell'applicazione enterprise, nel menu a sinistra selezionare Single Sign-On.
  2. In Attributi e risarcimenti, selezionare Modifica.
  3. Selezionare il risarcimento richiesto: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Nella pagina Gestisci richiesta, modificare l'attributo Origine da user.userprinciplename a user.mail.

    Attributi e risarcimenti ID Entra

  5. Selezionare Salva.

Configurazioni ID Entra aggiuntive

In ID Entra è possibile filtrare i gruppi in base al nome del gruppo o all'attributo sAMAccountName.

Si supponga, ad esempio, che sia necessario inviare tramite SAML solo il gruppo Administrators:

  1. Selezionare la richiesta di rimborso di gruppo.
  2. In Richieste di risarcimento di gruppo, espandere Opzioni avanzate.
  3. Selezionare Gruppi di filtri.
    • Per Attributo da abbinare, selezionare Display Name.
    • In Corrispondenza con, selezionare contains.
    • In Stringa, specificare il nome del gruppo, ad esempio Administrators.

    Filtro per i gruppi

Utilizzando questa opzione, anche se l'utente nel gruppo di amministratori fa parte di altri gruppi, Entra ID invia solo il gruppo di amministratori in SAML.
Nota

Ciò consente alle organizzazioni di inviare solo i gruppi richiesti a IAM OCI dall'ID Entra.
5. Aggiunta di un utente di test all'applicazione Entra ID

Creare un utente di test per l'applicazione ID Entra. In seguito, questo utente potrà utilizzare le proprie credenziali di ID Entra per collegarsi a OCI Console.

  1. Nel centro di amministrazione di Microsoft Entra, selezionare Identità, Utenti, quindi Tutti gli utenti.
  2. Selezionare Nuovo utente, quindi Crea nuovo utente e creare un utente e immettere il relativo ID e-mail.
    Nota

    Assicurarsi di utilizzare i dettagli di un utente presente in IAM OCI con lo stesso ID di posta elettronica.
  3. Tornare al menu dell'applicazione enterprise. In Introduzione, selezionare Assegna utenti e gruppi. In alternativa, selezionare Utenti da Gestisci nel menu a sinistra.
  4. Selezionare Aggiungi utente/gruppo e nella pagina successiva in Utenti selezionare Nessuna selezione.
  5. Nella pagina Utenti, selezionare l'utente di test creato. Quando viene selezionato, l'utente viene visualizzato in Elementi selezionati. Selezionare Seleziona.
  6. Nella pagina Aggiungi assegnazione, selezionare Assegna.
6. Abilita l'ID Entra come IdP per IAM OCI

Per questi passi, stai lavorando su IAM OCI.

Aggiungere l'ID Entra come IdP per IAM OCI. In questa sezione viene utilizzato il file di metadati dell'ID Entra salvato in 3. Impostare Single Sign-On per l'applicazione Enterprise Entra ID, ad esempio Oracle IAM.xml.

  1. Nella console OCI nel dominio in cui si sta lavorando, selezionare Sicurezza, quindi Provider di identità.
  2. Selezionare Aggiungi IdP, quindi Aggiungi SAML IdP.
  3. Immettere un nome per SAML IdP, ad esempio Entra ID. Selezionare Successivo.
  4. Assicurarsi che l'opzione Importa metadati provider di identità sia selezionata, quindi sfogliare e selezionare o trascinare il file XML dei metadati dell'ID Entra, Oracle IAM.xml, in Metadati provider di identità. File di metadati salvato durante l'utilizzo di 3. Impostare Single Sign-On per l'applicazione Enterprise Entra ID. Selezionare Successivo.
  5. In Mappa identità utente, impostare quanto segue
    • In Formato NameID richiesto, selezionare Email address.
    • In Attributo utente provider di identità, selezionare SAML assertion Name ID.
    • In Attributo utente del dominio di Identity selezionare Primary email address.

    Attributi del provider di identità SAML

  6. Selezionare Successivo.
  7. In Revisione e creazione verificare le configurazioni e selezionare Crea IdP.
  8. Selezionare Attiva.
  9. Selezionare Aggiungi a regola di criteri IdP.

  10. Selezionare Criterio provider di identità predefinito per aprirlo, selezionare il menu Azioni (tre punti) e selezionare Modifica regola IdP.

    Menu di scelta rapida che mostra "Modifica regola IdP"

  11. Selezionare Assegna provider di identità, quindi selezionare ID aggiunta per aggiungerlo alla lista.

    aggiunta dell'ID Entra come provider di identità nella regola IdP predefinita

  12. Selezionare Salva modifiche.
7. Test SSO tra ID Entra e OCI
In questa sezione è possibile verificare il funzionamento dell'autenticazione federata tra IAM OCI e l'ID Entra.
Nota

A tale scopo, l'utente utilizzato per SSO deve essere presente sia in IAM OCI che nell'ID Entra. Inoltre, l'utente deve essere assegnato all'applicazione IAM OCI creata nell'ID Entra.

Al riguardo vi sono due modalità:

  • Puoi creare manualmente un utente di test sia in IAM OCI che nell'ID Entra.
  • Tuttavia, se si desidera eseguire il test con un utente in tempo reale, è necessario impostare il provisioning tra l'ID Entra e l'IAM OCI seguendo i passi dell'esercitazione, Identity Lifecycle Management Between OCI IAM and Entra ID.
Se non sono stati impostati utenti per eseguire il test di questa esercitazione, viene visualizzato il seguente errore
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Eseguire il test dell'SSO avviato da SP.

  1. Aprire un browser supportato e immettere l'URL di OCI Console:

    https://cloud.oracle.com.

  2. Immettere il Nome account cloud, indicato anche come nome della tenancy, quindi selezionare Avanti.
  3. Selezionare il dominio di Identity in cui è stata configurata la federazione ID Entra.
  4. Nella pagina di accesso è possibile visualizzare un'opzione per accedere con l'ID Entra.

    Pagina di accesso a IAM OCI

  5. Selezionare l'ID Entra. L'utente viene reindirizzato alla pagina di login Microsoft.
  6. Fornire le credenziali dell'ID Entra.
  7. Quando l'autenticazione riesce, viene eseguito il login a OCI Console.
Operazioni successive

Complimenti. Impostazione dell'SSO tra l'ID Entra e l'IAM OCI riuscita.

Se un utente è già stato creato nell'ID Entra e assegnato all'applicazione, di cui è stato eseguito il provisioning in IAM OCI, è stato possibile testare il funzionamento dell'autenticazione di federazione tra IAM OCI e l'ID Entra. Se non si dispone di un utente di questo tipo, è possibile crearne uno seguendo una delle esercitazioni di Identity Lifecycle Management tra IAM OCI e ID Entra.

Per ulteriori informazioni sullo sviluppo con i prodotti Oracle, visitare i seguenti siti: