Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Impostare Single Sign-On e provisioning utente tra IAM OCI e JumpCloud

Introduzione

Impostando Single Sign-On (SSO) tra Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) e JumpCloud, gli amministratori OCI possono eseguire il login senza problemi a OCI Console utilizzando le proprie credenziali JumpCloud. Inoltre, con il provisioning degli utenti tramite le API RESTful, è possibile ottenere la sincronizzazione degli utenti in tempo reale da JumpCloud a OCI.

Questa esercitazione descrive in che modo OCI IAM può essere integrato con JumpCloud, impostando una federazione SAML (Security Assertion Markup Language) e una connessione SCIM (System for Cross-domain Identity Management) 2.0.

Inoltre, una volta stabilito l'SSO e sincronizzate le identità, è possibile definire i criteri IAM OCI per impostare i controlli dell'accesso a varie risorse OCI. Per ulteriori informazioni, consulta la guida introduttiva ai criteri e la guida dettagliata ai criteri di Oracle Cloud Infrastructure Identity and Access Management basati su tag.

Nota: questa esercitazione è specifica di IAM OCI con domini di Identity.

Obiettivi

• Imposta SSO basato su SAML per la gestione degli accessi.

• Impostare il provisioning SCIM 2.0 per la gestione delle identità.

• Testare e convalidare.

Prerequisiti

• Accesso a una tenancy OCI. Per ulteriori informazioni, consulta Oracle Cloud Infrastructure Free Tier.

• Ruolo amministratore del dominio di Identity per il dominio di Identity IAM OCI. Per ulteriori informazioni, vedere Introduzione ai ruoli amministratore.

• Organizzazione JumpCloud.

• Ruolo amministratore all'interno dell'organizzazione JumpCloud.

Nota: durante l'utilizzo dell'offerta OCI nelle integrazioni JumpCloud sono state notate incongruenze nelle azioni di creazione/aggiornamento degli utenti. Pertanto, ai fini di questo tutorial, useremo invece l'applicazione personalizzata.

Sezione 1: Impostazione dell'SSO basato su SAML per la gestione degli accessi

JumpCloud funge da provider di identità (IdP), autentica gli utenti e passa i token di autenticazione in modo sicuro a IAM OCI, che funge da provider di servizi (SP). Per impostare la federazione SAML, i metadati devono essere scambiati da entrambe le parti.

Task 1.1: recupero dei metadati del provider di servizi da IAM OCI

I metadati SP del dominio di Identity IAM OCI vengono esportati per primi.

1. Aprire una scheda del browser e immettere l'URL: https://cloud.oracle.com.

2. Immettere Nome account cloud, indicato anche come nome della tenancy, quindi fare clic su Successivo.

3. Selezionare il dominio di identità a cui connettersi. Dominio di Identity utilizzato per configurare SSO, ad esempio Default.

4. Immettere le credenziali dell'amministratore per eseguire il login a OCI Console.

5. Passare a Identity & Security, quindi andare a Identity e fare clic su Domini.

   

6. Fare clic sul nome del dominio di Identity. Se il dominio non è visibile, modificare il compartimento per trovare il dominio corretto.

   

7. Fare clic su Sicurezza, Provider di identità ed Esporta metadati SAML.

   

8. Selezionare File di metadati. In Metadati con certificati con firma automatica, fare clic su Scarica XML e salvare il file XML localmente nel computer. Questi sono i metadati SP.

   

Task 1.2: Creare un'applicazione SSO

L'applicazione SSO viene creata nel portale JumpCloud per rappresentare OCI Console.

1. Nel browser, accedere al portale JumpCloud utilizzando l'URL: https://console.jumpcloud.com/login

2. In Autenticazione utente, selezionare Applicazioni SSO e fare clic su Inizia.

   

3. In Applicazione personalizzata, fare clic su Seleziona, quindi su Avanti.

   

4. Selezionare Gestisci Single Sign-On (SSO), quindi Configura SSO con SAML. Selezionare Esporta utenti in questa applicazione (Identity Management) e fare clic su Avanti.

   

5. Immettere un nome in Etichetta di visualizzazione (ad esempio, OCI Console) e fare clic su Salva applicazione. Fare quindi clic su Configura applicazione.

   

Task 1.3: configurare l'applicazione SSO

La configurazione SSO è necessaria per l'applicazione personalizzata appena creata.

1. Nella scheda SSO, in Metadati provider di servizi, fare clic su Carica metadati e selezionare il file di metadati SP salvato nel task 1.1.8.

   

2. Se l'ID entità SP e gli URL ACS vengono inseriti automaticamente, il file XML è stato analizzato correttamente.

   In JumpCloud Metadati, fare clic su Esporta metadati e salvare il file XML localmente nel computer, ovvero i metadati IdP. Al termine, fare clic su Salva.

   

Task 1.4: abilitare JumpCloud come IdP per IAM OCI

Viene creato un nuovo IdP che rappresenta JumpCloud. Al termine, il criterio IdP viene impostato per abilitare l'autenticazione SSO.

1. In OCI Console, andare al dominio, selezionare Sicurezza e fare clic su Provider di identità.

2. Selezionare Aggiungi IdP e fare clic su Aggiungi SAML IdP.

   

3. Immettere un nome (ad esempio, JumpCloud) per SAML IdP e fare clic su Successivo.

   

4. Assicurarsi di selezionare Importa IdP metadati. In Carica metadati provider di identità, caricare i metadati IdP dal task 1.3.2 e fare clic su Successivo.

   

5. In Mappa identità utente, immettere le informazioni riportate di seguito e fare clic su Successivo.

   • Formato NameID richiesto: selezionare Nessuno.
   • Attributo utente provider di identità: selezionare ID nome asserzione SAML.
   • Attributo utente dominio di Identity: selezionare Nome utente.

   

6. In Rivedi e crea, verificare la configurazione e fare clic su Crea IdP.

   

7. Fare clic su Attiva, quindi su Aggiungi a criterio IdP.

   

   Nota: per impostazione predefinita, in un dominio a cui non sono associate applicazioni è presente un solo criterio predefinito IdP. Ciò significa essenzialmente che tutte le applicazioni rientrano nell'ambito di applicazione di questo criterio, inclusa la console OCI. Se il dominio dispone di criteri IdP personalizzati che mirano ad applicazioni specifiche separatamente, assicurarsi di aggiungere le regole necessarie per la destinazione di OCI Console. Prestare attenzione, poiché qualsiasi configurazione errata può comportare un blocco.

8. Fare clic su Crea criterio IdP.

   

9. In Aggiungi criterio, immettere Nome (ad esempio, OCI Console) e fare clic su Aggiungi criterio.

   

10. In Aggiungi regole provider di identità, fare clic su Aggiungi regola IdP e immettere Nome regola. Ad esempio, OCI Console access rule.

    In Assegna provider di identità selezionare Nome utente-Password e JumpCloud. Al termine, fare clic su Aggiungi regola IdP, quindi su Avanti.

    

    Nota: l'opzione Nome utente-Password viene aggiunta per conservare l'autenticazione locale. Ciò evita un blocco in caso di problemi nelle impostazioni di federazione.

11. Fare clic su Aggiungi applicazione, cercare e selezionare Console OCI dalla lista. Fare clic su Aggiungi applicazione, quindi su Chiudi.

    

Sezione 2: Impostazione del provisioning utente basato su SCIM 2.0

La gestione del ciclo di vita dell'utente è configurata tra JumpCloud e IAM OCI, dove JumpCloud funge da area di memorizzazione delle identità. Assicurarsi che tutti gli utenti destinati al provisioning a valle dispongano di valori appropriati popolati per i seguenti attributi:

• Nome
• Cognome
• E-mail aziendale
• Nome visualizzato
• Paese ufficio
• Città di lavoro
• Stato lavoro (regione)
• Indirizzo lavoro
• Codice postale

Nota: il mapping dell'e-mail società al nome utente garantisce la coerenza in SAML Oggetto/NameID ed è obbligatorio per il funzionamento di SSO. Ad esempio:

<saml2:Subject><saml2:NameID Format="urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified">XXX+test4@oracle.com</saml2:NameID> 

Task 2.1: creare un'applicazione riservata in IAM OCI e generare un token segreto

Un client OAuth 2.0 viene registrato in IAM OCI. Sono abilitati i flussi appropriati e vengono concessi i privilegi. Vengono raccolte le credenziali per questo client.

1. Andare a OCI Console, andare a Domini e selezionare il dominio utilizzato nella sezione 1.

2. Andare a Applicazioni integrate, selezionare Aggiungi applicazione, Applicazione riservata e fare clic su Avvia workflow.

   

3. Immettere il nome (ad esempio, SCIMclient) per l'applicazione riservata e fare clic su Avanti.

4. Nella sezione Configurazione client selezionare Configura questa applicazione come client ora e in Autorizzazione selezionare Credenziali client.

   

5. Selezionare Aggiungi ruoli applicazione e fare clic su Aggiungi ruoli. Nella pagina Aggiungi ruoli applicazione, selezionare Amministratore utente e fare clic su Aggiungi.

   

6. Fare clic su Avanti, quindi su Fine.

7. Fare clic su Attiva per attivare la nuova applicazione.

   

8. Nella sezione Informazioni generali, prendere nota dell'ID client e del segreto client e selezionare Mostra segreto per visualizzare il testo normale.

   

9. Il token segreto corrisponde alla codifica base64 di clientID e clientsecret.

   • Per Windows, aprire PowerShell ed eseguire il comando seguente per generare la codifica base64.

     [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret')) 

   • Per MacOS, utilizzare Terminale per eseguire il seguente comando.

     echo -n <clientID>:<clientsecret> | base64 

     Viene restituito il token segreto. Ad esempio:

     echo -n 392357752xxxx7523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzxxxxxxxxxxxxxxxMzMtNTQzNC05ODc4LTUzNQ== 

   

10. Annotare il token segreto.

Task 2.2: Trovare il GUID IAM OCI

I dettagli dell'endpoint SCIM sono richiesti dal client per effettuare chiamate API.

1. Andare a OCI Console, andare a Domini e selezionare il dominio utilizzato nella sezione 1.

2. Selezionare Copia accanto all'URL dominio in Informazioni sul dominio e prendere nota di ciò. Deve essere simile alla seguente:

   https://<IdentityDomainID>.identity.oraclecloud.com:443 

3. Aggiungere /admin/v1 alla fine dell'URL. L'URL finale dovrebbe essere simile al seguente:

   https://<IdentityDomainID>.identity.oraclecloud.com:443/admin/v1 

4. Annotare l'URL.

Task 2.3: configurare Identity Management nell'applicazione JumpCloud

Andare a JumpCloud, l'endpoint SCIM e le credenziali OAuth 2.0 vengono popolate.

1. Aprire l'applicazione SSO creata nel task 1.1.2 e passare a Identity Management.

2. Immettere le informazioni riportate di seguito e fare clic su Test connessione.

   • Tipo di API: selezionare API SCIM.
   • Versione SCIM: selezionare SCIM 2.0.
   • URL di base: immettere l'URL di base dal task 2.2.4.
   • Chiave token: immettere il token segreto generato dal task 2.1.10.
   • E-mail utente di test: immettere un messaggio e-mail per un utente nella directory JumpCloud.

   

   Nota: se la connessione riesce, la personalizzazione degli attributi utente SCIM diventa disponibile. I gruppi vengono sincronizzati su OCI per impostazione predefinita, ma è possibile modificarla disattivando Disattiva la gestione dei gruppi.

3. In Nome attributo SCIM fare clic su + Aggiungi attributo per creare i mapping degli attributi in base all'immagine seguente. Al termine, fare clic su Activate.

   

4. È necessario ricevere una notifica relativa alla connessione in fase di verifica. Fare clic su Salva.

   

Task 2.4: assegnare i gruppi all'applicazione JumpCloud

Nota: come prerequisito, creare i gruppi per gli amministratori OCI in JumpCloud prima di continuare.

Ora, i gruppi che richiedono l'accesso alle risorse Oracle sono allineati per il provisioning.

1. Aprire l'applicazione SSO e andare alla scheda Gruppi di utenti.

2. Selezionare i gruppi di cui è necessario eseguire il provisioning in OCI e fare clic su Salva.

   

Sezione 3: Test e convalida

Nota: affinché SSO funzioni, l'account utente SSO deve essere presente sia in IAM OCI che in JumpCloud.

Infine, le identità sincronizzate vengono convalidate e l'autenticazione federata viene sottoposta a test.

1. Aprire uno degli utenti in JumpCloud e OCI Console per verificare che i dettagli corrispondano.

   

   

2. Ripetere lo stesso processo per verificare che i gruppi siano sincronizzati.

   

   

Nota: dopo la sincronizzazione delle identità, verrà convalidato il login SSO.

1. In una nuova finestra del browser, aprire OCI Console. Immettere Nome account cloud, indicato anche come nome della tenancy, quindi fare clic su Successivo.

2. Selezionare il dominio di Identity in cui è stata configurata la federazione JumpCloud.

3. Nella pagina Accesso all'account Oracle Cloud selezionare JumpCloud. Dovrebbe esserci un reindirizzamento alla pagina di login di JumpCloud.

   

4. Immettere le credenziali JumpCloud per l'utente federato. Al termine dell'autenticazione, dovrebbe esserci un reindirizzamento a OCI Console.

Conclusione

Questa integrazione elimina la necessità per gli amministratori di gestire credenziali OCI separate, migliorando la sicurezza e semplificando la gestione degli accessi. Ciò aiuta anche nella gestione delle identità, riducendo il sovraccarico amministrativo ed eliminando la ridondanza.

Conferme

• Autore - Tonmendu Bose (ingegnere del cloud senior)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Set up Single Sign-On and User Provisioning between OCI IAM and JumpCloud

G33639-01

Copyright ©2025, Oracle and/or its affiliates.