Nota

• Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
• Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.

Configurare OCI Identity and Access Management come origine SSO per la piattaforma di comando Rapid7

Introduzione

Oracle Cloud Infrastructure (OCI) è la piattaforma di cloud computing di Oracle che offre un set completo di servizi cloud, tra cui computing, storage, networking, database e gestione delle identità. OCI è progettato per applicazioni tradizionali e carichi di lavoro cloud nativi più recenti, fornendo scalabilità, sicurezza e prestazioni a vari livelli di servizio. OCI supporta anche un solido sistema IAM (Identity and Access Management) che include funzioni come SAML per abilitare Single Sign-On (SSO) per una maggiore sicurezza e comodità degli utenti. La federazione delle identità basata su SAML di OCI consente alle aziende di integrarsi con i provider di identità esterni, semplificando l'accesso degli utenti tra varie risorse OCI.

Rapid7 è un fornitore leader di soluzioni di sicurezza informatica, con particolare attenzione al rilevamento delle minacce, alla gestione delle vulnerabilità e alla risposta agli incidenti. Grazie a strumenti come InsightIDR e InsightVM, Rapid7 consente alle organizzazioni di rilevare e gestire le vulnerabilità nella propria infrastruttura, inclusi gli ambienti cloud. La funzione di integrazione SAML di Rapid7 semplifica l'autenticazione consentendo alle organizzazioni di connettersi a provider di identità come OCI. Questa connessione offre agli utenti funzionalità Single Sign-On, migliorando la sicurezza riducendo la dipendenza dalle password e consentendo al contempo un accesso trasparente agli strumenti e agli insight di sicurezza di Rapid7.

Questa esercitazione descrive i task per configurare Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) come origine SSO (Single Sign-On) per la piattaforma di comando Rapid7 utilizzando SAML (Security Assertion Markup Language) 2.0. Ciò consente di utilizzare IAM OCI per gestire l'autenticazione utente per la piattaforma di comando Rapid7.

Destinatari

Professionisti IAM OCI e amministratori Rapid7.

Obiettivi

• L'integrazione di OCI con Rapid7 tramite SAML consente alle organizzazioni di sfruttare le funzionalità di gestione delle identità di OCI, garantendo al contempo l'accesso sicuro alla piattaforma di sicurezza di Rapid7. Questa impostazione migliora l'esperienza utente tramite SSO e supporta procedure di sicurezza più efficaci centralizzando la gestione delle identità su entrambe le piattaforme. Consente ai team IT e di sicurezza di gestire le identità in modo efficace, tenere traccia dell'accesso e migliorare il livello di sicurezza nei propri ambienti cloud e di sicurezza.

Prerequisiti

• Accesso amministratore a una tenancy OCI e a una piattaforma di comando Rapid7.

Task 1: configurare le impostazioni SSO nella piattaforma di comando Rapid7

In questo task verranno configurate le impostazioni SSO utilizzando SAML 2.0 nella piattaforma di comando Rapid7.

1. Per accedere alle impostazioni SSO, effettuare le operazioni riportate di seguito.

   1. Andare alla home page della piattaforma dei comandi Rapid7 e fare clic sul collegamento Amministrazione.

   2. Fare clic sull'icona delle impostazioni.

   3. Fare clic su Impostazioni di autenticazione e Impostazioni SSO.

   

2. Selezionare Altro dal menu a discesa Seleziona provider di identità (IdP).

   

   Nota: dopo aver completato il task 2, il certificato IdP verrà caricato.

3. Copiare gli URL Assertion Consumer Service (ACS), Audience (EntityID) e Relay State. Al termine, andare al task 2.

   

4. Copiare ID entità e SingleSignOnService URL dai metadati scaricati nel task 2 e utilizzarli rispettivamente in URL emittente e URL Single Sign-On nella sezione Piattaforma assicurativa configurata.

   

   

   Nota: il formato dell'URL Single Sign-On è https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso.

5. Caricare IdP Certificato.

   

6. Impostare un profilo di accesso predefinito a cui assegnare nuovi utenti. Dopo aver impostato questo profilo di accesso predefinito, verrà assegnato automaticamente a tutti i nuovi account utente creati tramite IAM OCI. L'accesso per gli account utente esistenti non verrà interessato.

   

   

   

7. Abilitare IdP sincronizzazione gruppo utenti. La sincronizzazione dei gruppi IAM OCI con la piattaforma di comando Rapid7 consente all'IAM OCI di gestire l'appartenenza al gruppo di utenti della piattaforma di comando Rapid7. Gli utenti OCI assegnati ai gruppi IdP vengono assegnati automaticamente ai gruppi di utenti corrispondenti nella piattaforma di comando Rapid7. Gli utenti assegnati in questo modo ereditano tutte le autorizzazioni definite per prodotti, ruoli e dati, purché rimangano parte del gruppo IdP originale.

   

   

8. Fare clic su Sì per abilitare SSO tramite IdP esterno.

   

9. Fare clic su Download per scaricare i metadati del provider di servizi.

   

10. Estrarre X509Certificate da tale file per creare un file .pem.

    

Task 2: creare un'applicazione SAML nei domini di Identity IAM OCI

Verrà creata un'applicazione SAML nei rispettivi domini di Identity IAM OCI. Ciò è necessario per stabilire un collegamento di comunicazione sicuro tra IAM OCI e la piattaforma di comando Rapid7 utilizzando il protocollo SAML 2.0 per SSO.

1. Eseguire il login a OCI Console, andare a Identità e sicurezza e fare clic su Domini.

   

2. Selezionare il dominio, fare clic su Applicazioni integrate per Aggiungi applicazione, selezionare Applicazione SAML e fare clic su Avvia workflow.

   

3. Immettere il Nome, Stato del relè per l'applicazione e fare clic su Successivo.

   

4. Nella sezione Configura Single Sign-On, immettere ID entità, URL consumer asserzioni, selezionare Formato ID nome come Non specificato, Valore ID nome come Nome utente e caricare il Certificato firma scaricato dalla console Rapid7.

   

   Nota: una volta configurato SSO in Rapid7 Command Platform, il certificato può essere estratto dai metadati scaricati.

5. Nella sezione Configurazioni aggiuntive selezionare Includi certificato di firma nella firma e deselezionare Abilita logout singolo. Mantenere l'altro parametro come predefinito.

   

   Nota: selezionare o deselezionare la funzione Abilita logout singolo in base alle esigenze. L'abilitazione della funzione richiederà l'aggiunta degli URL SLO nel rispettivo campo.

6. Utilizzare la configurazione riportata di seguito nella sezione Configurazione attributo.

   

   Nota: le seguenti istruzioni di attributo nell'immagine sono obbligatorie per l'autenticazione alla piattaforma di comando Rapid7.

7. Fare clic su Finish e Activate per completare la configurazione.

8. Scaricare Certificato di firma e Metadati del provider di identità. Al termine, tornare al task 1.4 e continuare.

   

Task 3: Sincronizzazione gruppo

La sincronizzazione dei gruppi consente di controllare l'assegnazione dei gruppi di utenti dall'interno di IAM OCI.

Questa funzionalità è resa possibile dall'inclusione di un attributo nella risposta SAML denominata rbacGroups che contiene i nomi dei gruppi di piattaforme di comando Rapid7 per ciascun utente. Gli utenti verranno assegnati automaticamente ai gruppi corrispondenti nella piattaforma di comando Rapid7 e erediteranno l'accesso a prodotti, ruoli e risorse associato a tali gruppi.

Nota: quando è stata abilitata la funzione Sincronizzazione dei gruppi, gli utenti IdP verranno rimossi da qualsiasi gruppo della piattaforma di comando Rapid7 non incluso nell'asserzione SAML. Gli utenti di IdP conserveranno i ruoli o le autorizzazioni assegnati direttamente agli utenti, inclusi quelli di un profilo di accesso predefinito.

Per creare gruppi di utenti in Rapid7 Command Platform, passare a Amministrazione, Gestione utenti e fare clic su Gruppi di utenti.

Task 4: Configura gruppi di utenti

Poiché la sincronizzazione dei gruppi richiede l'uso dei gruppi di utenti della piattaforma di comando Rapid7, è importante che i gruppi siano stati configurati prima dell'attivazione.

1. Aggiungere l'attributo gruppo. In IAM OCI, dobbiamo assicurarci che gli utenti siano assegnati a gruppi con lo stesso nome del gruppo di utenti Rapid7 Command Platform corrispondente. Se questi gruppi non sono già stati creati, effettuare le operazioni riportate di seguito.

   1. Nella console dei domini di Identity OCI, andare a Gruppi.

   2. Fare clic su Crea gruppo.

   3. Immettere lo stesso nome del gruppo di utenti della piattaforma di comando Rapid7 corrispondente.

   4. Nella sezione Utenti selezionare gli utenti a cui assegnare questo gruppo.

   5. Fare clic su Crea.

   Dopo aver configurato i gruppi, è necessario aggiungere un attributo all'asserzione SAML contenente i nomi dei gruppi a cui ogni utente è assegnato.

2. Aggiungere l'attributo all'asserzione SAML nei domini di Identity IAM OCI.

   1. Nella console OCI Identity Domains, passare a Applicazioni integrate e selezionare l'applicazione Rapid7.

   2. Fare clic su Modifica configurazione SSO nella sezione Impostazioni SAML.

   3. Aggiungere la seguente istruzione attributo e fare clic su Salva.

   

   Tutte le informazioni richieste dal IAM OCI per sincronizzare gli utenti con i gruppi di utenti della piattaforma di comando Rapid7 verranno ora incluse quando gli utenti eseguono l'autenticazione mediante SSO.

Task 5: eseguire il test dell'SSO

1. Andare all'URL di approfondimento Rapid7 (https://insight.rapid7.com) e fare clic su Accedi con SSO.

   

2. Immettere le credenziali.

   

   Il login alla piattaforma di comando Rapid7 è stato completato.

   

   Inoltre, l'utente viene aggiunto automaticamente ai gruppi di utenti in base all'appartenenza al gruppo in IAM OCI.

Conferme

• Autori - Gautam Mishra (architetto cloud principale)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.

Per la documentazione del prodotto, visita l'Oracle Help Center.

---

Titolo e informazioni sul copyright

Configure OCI Identity and Access Management as a SSO Source for the Rapid7 Command Platform

G18867-01

November 2024

Copyright ©2024,

Oracle e/o relative consociate.