Nota:

Configurare il provisioning just-in-time per l'IDP basato su SAML nei domini IDCS/Identity

Introduzione

Il provisioning JIT ( Just-In-Time) basato su SAML consente di automatizzare la creazione degli utenti delle identità in Identity Cloud Service per i nuovi utenti. Gli account utente vengono creati quando l'utente tenta di accedere all'applicazione di destinazione tramite SSO. Oltre alla creazione degli utenti, JIT può anche concedere e revocare le appartenenze ai gruppi come parte del provisioning. JIT può essere utilizzato anche per aggiornare gli utenti con provisioning eseguito tramite il mapping degli attributi di origine (Provider di servizi - SP) al provider di identità - IDP.

Abilitando il provisioning JIT per il provider di identità con IDCS, potrai gestire gli utenti in modo più efficiente e ridurre i costi di amministrazione della sincronizzazione manuale degli utenti.

Vantaggi dell'utilizzo del provisioning JIT

Obiettivo

Configura il provisioning just-in-time per l'IDP basato su SAML nei domini IDCS/Identity tramite le API REST.

Nota: se è già stata eseguita la migrazione della tenancy nei domini di Identity e si desidera eseguire questa impostazione tramite la console, fare riferimento al collegamento seguente: Aggiunta di un SAML just-in-time IdP.

Prerequisiti

Task 1: recuperare la lista dei provider di identità configurati nella tenancy dei domini IDCS/Identity

Task 2: Recupera i dettagli dell'IDP SAML configurato

Recuperare i dettagli dell'IDP SAML configurato in cui si desidera abilitare il provisioning JIT utilizzando l'ID provider individuato dal task 1.

Task 3: aggiornare le impostazioni del provider IDP per abilitare il provisioning JIT

Aggiornare le impostazioni del provider IDP per abilitare il provisioning JIT per l'IDP SAML utilizzando un'operazione PATCH.

Nota:

Corpo del campione:

{
  "schemas": [
    "urn:ietf:params:scim:api:messages:2.0:PatchOp"
  ],
  "Operations": [
    {
      "op": "replace",
      "path": "jitUserProvEnabled",
      "value": true
    },{
      "op": "replace",
      "path": "jitUserProvCreateUserEnabled",
      "value": true
    },
    {
      "op": "replace",
      "path": "jitUserProvAttributeUpdateEnabled",
      "value": true
    },
    {
      "op": "replace",
      "path": "jitUserProvGroupAssertionAttributeEnabled",
      "value": false
    },
    {
      "op": "replace",
      "path": "jitUserProvGroupSAMLAttributeName",
      "value": "groups"
    },
    {
      "op": "replace",
      "path": "jitUserProvGroupAssignmentMethod",
      "value": "Overwrite"
    }
  ]
}

La tabella riportata di seguito descrive le proprietà IDP sopra menzionate.

Proprietà provider di identità Descrizione
jitUserProvEnabled Proprietà booleana per abilitare/disabilitare la funzione di provisioning JIT SAML per l'IDP configurato.
jitUserProvCreateUserEnabled Proprietà booleana per la creazione dell'utente, in base all'asserzione in entrata, se l'utente non esiste ancora.
jitUserProvAttributeUpdateEnabled Proprietà booleana per l'aggiornamento dell'utente in base all'asserzione in entrata se l'utente esiste già.
jitUserProvGroupAssertionAttributeEnabled Proprietà booleana che indica se le appartenenze ai gruppi devono essere assegnate all'utente in base a una lista di nomi di gruppo ricevuti dall'IDP in un attributo SAML.
jitUserProvGroupSAMLAttributeName Il nome dell'attributo di asserzione SAML che conterrà i gruppi da assegnare all'utente, se la proprietà jitUserProvGroupAssertionAttributeEnabled è true.
jitUserProvGroupAssignmentMethod Proprietà stringa che controlla il modo in cui le appartenenze ai gruppi verranno assegnate all'utente di Identity Cloud Service: Sovrascrivi/Unisci.

Dopo questa operazione, il provisioning JIT deve essere abilitato per l'IDP SAML ed è possibile confermare eseguendo l'operazione GET indicata nel task 2. L'immagine seguente mostra l'output di esempio.

Immagine 3

In questo modo verrà fornito l'ID attributo mappato che verrà utilizzato nell'endpoint successivo per il mapping degli attributi SP con attributi IDP.

Immagine 4

Task 4: impostare il mapping jitUserProvAttributes per il provider di identità SAML per il provisioning utente

Dopo aver abilitato il provisioning JIT per l'IDP SAML, il passo successivo consiste nel mappare gli attributi del provider di servizi agli attributi del provider di identità. Utilizzare l'ID attributo mappato del task 3 con l'endpoint REST descritto in questa sezione.

Nota:

Task 5: configurare l'attributo di aggiornamento del mapping jitUserProvAttributes

Configurare l'attributo di aggiornamento del mapping jitUserProvAttributes dal provider di servizi - SP al provider di identità - IDP.

Task 6: eseguire il test del provisioning JIT

  1. In una nuova sessione del browser provare a eseguire il login alla console personale IDCS.
  2. In IDCS verrà visualizzata la schermata di login.
  3. Selezionare l'IDP configurato che ora è abilitato con il provisioning JIT.
  4. IDCS ti invierà alla pagina di login del provider di identità per l'accesso.
  5. Immettere le credenziali valide dell'utente che non esiste in IDCS.
  6. Dopo il login riuscito, è necessario instradare alla schermata della console personale IDCS.
  7. Convalida tramite account amministratore che l'utente è stato creato in IDCS.

Approvazioni

Autore - Chetan Soni (Cloud Solutions Engineer)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Explorer di Oracle Learning.

Per la documentazione sul prodotto, visitare il sito Oracle Help Center.