Nota:

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriversi a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Configurare la federazione e il provisioning degli utenti tra Oracle Identity Cloud Service e CyberArk

Introduzione

Le società utilizzano i provider di identità (chiamati in genere IDP) per gestire utenti/gruppi, relativi login/password e per autenticare gli utenti per accedere a risorse specifiche. Se qualcuno desidera accedere alla console dell'infrastruttura oracle cloud (OCI) per gestire/utilizzare qualsiasi risorsa, deve collegarsi con il nome utente e la password tramite il login nativo. Tuttavia, le aziende hanno la possibilità di federare con i propri IDP esistenti, in modo che i dipendenti possano utilizzare le proprie credenziali di login esistenti per accedere alle risorse Oracle Cloud Infrastructure (OCI) senza dover ricordare un set diverso di credenziali.

In breve, Identity Federation è il processo di delega della responsabilità di autenticazione di un individuo o di un'entità a una parte esterna sicura. Ogni partner nella federazione svolge il ruolo di provider di identità (IdP) o di provider di servizi (SP). In questa esercitazione, CyberArk è il provider di identità e Oracle Identity Cloud Service è il provider di servizi.

Flusso federazione

La federazione è dove SP si fida delle identità fornite da un IdP. Tecnicamente, il provider di identità fornisce un token di sicurezza che contiene informazioni sull'utente utilizzato per autorizzare l'utente e concedere l'accesso al servizio specifico.

Il flusso federato è il seguente.

1. L'utente cerca di accedere al provider di servizi utilizzando un browser.
2. Il provider di servizi invia una richiesta di reindirizzamento al browser dell'utente.
3. Il browser connette il provider di identità e il provider di identità esegue un'autenticazione.
4. Dopo aver eseguito l'autenticazione, il provider di servizi crea un token di sicurezza e reindirizza il browser al provider di servizi.
5. Il browser accede al servizio fornito dal provider di servizi.

Destinatari

Questa esercitazione è destinata ai professionisti IT e agli amministratori di sicurezza/identità OCI.

Obiettivo

In questa esercitazione viene descritta la configurazione della federazione e del provisioning automatico degli utenti tra CyberArk e Oracle Identity Cloud Service.

Nota: poiché il processo è in corso per sostituire Oracle Identity Cloud Service con domini di Identity IAM OCI, il concetto e la configurazione della federazione e del provisioning automatico degli utenti saranno gli stessi descritti in questa esercitazione. Tuttavia, tutti i passi di configurazione devono essere eseguiti nella console del dominio IAM OCI e non sarà disponibile alcuna console separata di Oracle Identity Cloud Service.

Prerequisiti

• Accesso amministratore di Oracle Identity Cloud Service
• Accesso al portale di amministrazione CyberArk

Task 1: configurazione della federazione tra CyberArk e Oracle Identity Cloud Service

1. Aggiungere il modello di applicazione Web Oracle Cloud Infrastructure.

   • Nel portale di amministrazione CyberArk selezionare App e widget, Applicazioni Web, quindi fare clic su Aggiungi applicazioni Web.

     

   • Nella scheda Cerca immettere Oracle Cloud Infrastructure nel campo Cerca e fare clic sull'icona di ricerca.

   • Accanto a Oracle Cloud Infrastructure, fare clic su Aggiungi.

   • Nella schermata Aggiungi applicazione Web fare clic su Sì per confermare.

   • Fare clic su Chiudi per uscire dal catalogo applicazioni.

   • L'applicazione Oracle Cloud Infrastructure viene aperta alla pagina Impostazioni.

2. Configurare la pagina Impostazioni.

   • Impostare un nome, una descrizione, una categoria e un logo per l'applicazione se si desidera modificarli.

3. Configurare la pagina Fiducia.

   • Nella sezione Configurazione provider di identità selezionare Metadati, quindi fare clic su Scarica file di metadati per scaricare i metadati IDP. Questo file viene utilizzato in un secondo momento quando si configura l'integrazione SAML in Oracle Cloud Infrastructure.

   • Configurare l'URL del provider di identità che emette il token di sicurezza SAML2 e il certificato di firma, se necessario. Il provider di servizi SAML richiederà l'invio di valori di configurazione IDP in un determinato metodo. Scegliere il metodo, quindi seguire le istruzioni.

     

4. Configurare la pagina Risposta SAML.

   • Aggiungere un attributo di posta elettronica come mostrato nell'immagine seguente.

     

5. Configurare la pagina Autorizzazione.

   • Selezionare gli utenti e i gruppi da assegnare all'applicazione.

6. Rivedere e salvare.

7. Eseguire il login alla console di Oracle Identity Cloud Service e andare ai Provider di identità nella sezione Federazione. Aggiungere un nuovo IDP e immettere i dettagli riportati di seguito.

   • Nome: immettere il nome del provider di identità.
   • Descrizione: immettere le informazioni relative al provider di identità.
   • Icona: fare clic per caricare un'icona per rappresentare l'IDP. Le dimensioni dell'icona devono essere 48X48 pixel e devono avere uno sfondo trasparente. I tipi di file supportati sono png, jpg e jpeg.

8. Configurare i dettagli riportati di seguito nella scheda Configura IDP e fare clic su Avanti.

   • Importa metadati provider di identità: fare clic per configurare la federazione per l'IDP importando i metadati.
   • Metadati: fare clic su Carica. Selezionare il file .xml che contiene i metadati IDP da importare.
   • Algoritmo di hashing firma: selezionare l'algoritmo hash SHA-1 o SHA-256 quando si firmano i messaggi SAML all'IDP.
   • Includi certificato di firma: selezionare questa casella di controllo per includere il certificato di firma di Oracle Identity Cloud Service con messaggi SAML firmati inviati all'IDP. Se non si desidera includere il certificato di firma, lasciarlo deselezionato.

9. Aggiungere i dettagli riportati di seguito nella scheda Attributi mappa.

   • Attributo utente provider di identità: consente di configurare l'identificativo utente univoco fornito nell'asserzione SAML. Se si seleziona ID nome, Oracle Identity Cloud Service corrisponde all'utente in base al valore dell'oggetto NameID nell'asserzione. Se si seleziona l'attributo SAML, è necessario immettere un nome per l'attributo nell'asserzione e l'utente verrà confrontato in base al valore dell'attributo SAML.
   • Attributo utente di Oracle Identity Cloud Service: selezionare l'attributo identità utente in Oracle Identity Cloud Service corrispondente all'attributo identità utente ricevuto nell'asserzione SAML dell'IDP.
   • Formato NameID richiesto: selezionare il formato NameID che Oracle Identity Cloud Service specificherà nelle richieste di autenticazione SAML inviate all'IDP. Se non si desidera specificare un formato, lasciarlo come Nessuno richiesto.

10. Esportare i metadati del provider di servizi per uso futuro. Utilizzare gli stessi metadati del provider di servizi per completare anche la configurazione per CyberArk.

11. Nella scheda Test IDP fare clic su Test login per eseguire il test delle impostazioni di configurazione per l'IDP e fare clic su Avanti.

12. Nel riquadro Attiva fare clic su Attiva IDP per attivare l'IDP e fare clic su Fine.

13. Dopo aver attivato il provider di identità, andare a Criteri provider di identità, selezionare Criterio provider di identità predefinito.

    

14. Fare clic su Modifica regola IDP e includere il nome del provider di identità attivato nei passi precedenti della lista Assegna provider di identità e salvarlo. Contabilizza questo utente riceverà un'opzione per eseguire il login con le credenziali CyberArk nell'ambiente OCI.

    

Task 2: abilita il provisioning degli utenti SCIM da CyberArk a Oracle Identity Cloud Service

1. Creare un'applicazione riservata in Oracle Identity Cloud Service, le applicazioni con i dettagli di configurazione riportati di seguito e salvare l'ID client e il segreto client per uso futuro.

   • Specificare un nome per l'applicazione riservata.
   • Nella schermata successiva selezionare l'opzione Configura questa applicazione come client ora.
   • Dalla lista dei tipi di privilegio disponibili, selezionare il tipo di privilegio Credenziali client.
   • Fare clic sul pulsante Aggiungi di seguito, Concedere l'accesso client alle API di amministrazione di Identity Cloud Service. Selezionare il ruolo applicazione Amministratore utente e fare clic su Aggiungi.
   • Fare clic su Avanti.
   • Nella scheda Risorse non aggiornare nulla e fare clic su Avanti.
   • Nella scheda Autorizzazione non aggiornare nulla e fare clic su Fine.
   • Viene visualizzato un messaggio indicante che l'applicazione è stata aggiunta con le credenziali client. Prendere nota dell'ID client e del segreto client.

2. Configurare i dettagli riportati di seguito nella scheda Provisioning dell'applicazione CyberArk.

   • Nel portale di amministrazione andare alla pagina Provisioning dell'applicazione distribuita.

   • Selezionare Abilita provisioning per questa applicazione.

   • Selezionare Live Mode.

   • Immettere l'URL SCIM del provider di servizi per l'URL del servizio SCIM.

   • Selezionare l'intestazione di autorizzazione come tipo di autorizzazione.

   • Selezionare Tipo di intestazione come portatore e incollare il token di accesso (valore codificato base di ClientID:Clientsecret) nel campo Token servizio di trasporto.

   • Verificare la connessione.

     

Una volta completata la verifica, potrai eseguire il provisioning degli utenti e dei gruppi.

Errori e risoluzione dei problemi

• Il tipo di autorizzazione "Oauth 2.0" richiede la convalida delle credenziali da parte di un utente in quanto utilizza un flusso a tre fasi. A causa della quale il token di accesso è valido solo per un'ora per impostazione predefinita e ogni volta che l'utente esegue il logout dalla sessione, viene chiesto di riconvalidare la configurazione di provisioning al successivo login. Ciò non soddisfa il requisito del provisioning automatico dell'utente. Pertanto, non è consigliabile utilizzare questo tipo di autorizzazione.

• Problema: quando si utilizza il tipo di autorizzazione come "Intestazione autorizzazione" (come descritto nella sessione di provisioning utente) e gli utenti di provisioning, viene visualizzato il seguente messaggio di errore Impossibile convalidare le credenziali utente.

  Risoluzione: verificare se la chiamata API /GetServiceProviderConfig (utilizzata per ottenere informazioni correlate agli schemi e agli endpoint supportati) non riesce con un errore non autorizzato e aggiungere lo schema e la versione manualmente tramite i flag di configurazione riportati di seguito. Inoltre, la chiamata all'endpoint utente fa distinzione tra maiuscole e minuscole e considera l'endpoint "utenti" e "Utenti" in modo diverso, quindi aggiungi un'altra configurazione per non modificare il caso.

  Generic SAML_doNotChangeSCIMURLCase.OCI = true
  Generic SAML_ScimVersion.OCI = v2
  Generic SAML_Schemas_User.OCI (user schema )
  

Collegamenti correlati

• Federazione con i provider di identità

Conferme

Autore - Ranjini Rajendran (ingegnere senior nel cloud)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure federation and user provisioning between Oracle Identity Cloud Service and CyberArk

F80211-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.