Federando com Provedores de Identidade

Em geral, as empresas usam um provedor de identidades (IdP) para gerenciar senhas/login de usuário e autenticar usuários para acesso a sites, serviços e recursos seguros.

Quando alguém da sua empresa deseja usar recursos do Oracle Cloud Infrastructure na Console, deve se conectar usando um login e uma senha. Seus administradores podem federar com um IdP suportado para que cada funcionário possa usar um login e uma senha existentes e não precise criar um novo conjunto para usar recursos do Oracle Cloud Infrastructure.

Para federar, um administrador passa por um processo curto para configurar uma relação entre o IdP e o Oracle Cloud Infrastructure (comumente chamado de confiança federada). Depois que um administrador configura essa relação, qualquer pessoa da sua empresa que vai para o Oracle Cloud Infrastructure Console recebe uma experiência de "sign-on único" fornecida pelo IdP. O usuário se conecta com o login/senha que ele já configurou com o IdP. O IdP autentica o usuário e, em seguida, esse usuário pode acessar o Oracle Cloud Infrastructure.

Ao trabalhar com o IdP, o administrador define grupos e designa a cada usuário um ou mais grupos de acordo com o tipo de acesso de que o usuário precisa. O Oracle Cloud Infrastructure também usa o conceito de grupos (em conjunto com as políticas do serviço IAM) para definir o tipo de acesso que um usuário tem. Como parte da definição da relação com o IdP, seu administrador pode mapear cada grupo do IdP para um grupo do serviço IAM definido de forma semelhante, de forma que sua empresa possa reutilizar as definições do grupo do IdP ao autorizar o acesso do usuário aos recursos do Oracle Cloud Infrastructure. Veja uma tela do processo de mapeamento:

Para obter informações sobre o número de federações e mapeamentos de grupos que você pode ter, consulte Limites de Serviço. Não há limite para o número de usuários federados.

Aqui está uma lista dos conceitos básicos com os quais você precisa estar familiarizado.

IDP

O IdP é a abreviação de provedor de identidades, que é um serviço que oferece credenciais de identificação e autenticação para usuários.

As tenancies criadas após 18 de dezembro de 2017 são automaticamente federadas com o Oracle Identity Cloud Service como o IdP. O Oracle Cloud Infrastructure pode ser federado com qualquer IdP que suporte o protocolo SAML (Security Assertion Markup Language) 2.0.

PROVEDOR DE SERVIÇOS (SP)

Um serviço (como um aplicativo, um site e assim por diante) que chama um IdP para autenticar usuários. Nesse caso, o Oracle Cloud Infrastructure é o SP.

CONFIANÇA FEDERADA

Uma relação que um administrador configura entre um IdP e um SP. Você pode usar a Console ou a API do Oracle Cloud Infrastructure para configurar essa relação. Em seguida, o IdP específico será "federado" para esse SP. Na Console e na API, o processo de federação é considerado como adição de um provedor de identidade à tenancy.

DOCUMENTO DE METADADOS SAML

Um documento baseado em XML fornecido pelo IdP que fornece as informações necessárias para um SP para federar com esse IdP. O Oracle Cloud Infrastructure suporta o protocolo SAML 2.0, que é um padrão baseado em XML para compartilhar as informações necessárias entre o IdP e o SP. Dependendo de qual idP você esteja federando, você deve fornecer o URL de metadados (veja a seguir) para este documento ou fazer upload do documento para o Oracle Cloud Infrastructure.

URL DE METADADOS

Um URL fornecido pelo IdP que permite que um SP obtenha informações necessárias para federar com esse IdP. O Oracle Cloud Infrastructure suporta o protocolo SAML 2.0, que é um padrão baseado em XML para compartilhar as informações necessárias entre o IdP e o SP. O URL de metadados aponta para o documento de metadados SAML de que o SP precisa.

USUÁRIO FEDERADO

Alguém que se conecta para usar a Console do Oracle Cloud Infrastructure por meio de um IdP federado.

USUÁRIO LOCAL

Um usuário não federado. Em outras palavras, alguém que se conecta para usar a Console do Oracle Cloud Infrastructure com um login e uma senha criados no Oracle Cloud Infrastructure.

MAPEAMENTO DE GRUPOS

Um mapeamento entre um grupo do IdP e um grupo do Oracle Cloud Infrastructure, usado para fins de autorização do usuário.

SCIM

O SCIM (System for Cross-domain Identity Management) é um protocolo padrão IETF que permite o provisionamento de usuários em sistemas de identidade. O Oracle Cloud Infrastructure hospeda um ponto final do SCIM para provisionar usuários federados no Oracle Cloud Infrastructure. O uso de um cliente SCIM para provisionar usuários no Oracle Cloud Infrastructure permite que você designe credenciais aos usuários no Oracle Cloud Infrastructure.

USUÁRIO PROVISIONADO (OU SINCRONIZADO)

Um usuário provisionado pelo cliente SCIM do provedor de identidades no Oracle Cloud Infrastructure. Esses usuários podem ser listados na Console do Oracle Cloud Infrastructure e podem ter todas as credenciais de usuário do Oracle Cloud Infrastructure, exceto uma senha da Console.

Asserção de Criptografia

Alguns IdPs suportam a criptografia da asserção SAML. Quando ativado, o provedor de serviços espera que a asserção SAML seja criptografada pelo provedor de identidades, usando a chave de criptografia do provedor de serviços. Nesse caso, o provedor de serviços será o serviço de autenticação do Oracle Cloud Infrastructure. Se você optar por ativar esse recurso do IdP, também deverá ativar o recurso quando configurar seu provedor de Federação no serviço IAM. Observe que o Microsoft AD FS ativa a criptografia da asserção SAML por padrão. Se seu IdP for o Microsoft AD FS, ative esse recurso no IAM ou desative-o para o Microsoft AD FS.

Os usuários federados podem usar a Console para acessar o Oracle Cloud Infrastructure (de acordo com as políticas do serviço IAM para os grupos nos quais os usuários estão).

Será solicitado que eles informem seu tenant do Oracle Cloud Infrastructure (por exemplo, ABCCorp).

Eles verão uma página com dois conjuntos de instruções de acesso: uma para usuários federados e outra para usuários não federados ( Oracle Cloud Infrastructure). Consulte a tela a seguir.

O nome do tenant é mostrado à esquerda. Logo abaixo, há a área de acesso para usuários federados. À direita está a área de acesso para usuários não federados.

Os usuários federados escolhem qual provedor de identidades será usado para o acesso e, em seguida, eles serão redirecionados para a experiência de acesso desse provedor de identidades para autenticação. Depois de informar o login e a senha, eles são autenticados pelo IdP e redirecionados de volta para a Console do Oracle Cloud Infrastructure.

Os usuários federados (sem a configuração do SCIM) não podem acessar a página "Definições do Usuário" na Console. Esta página é onde um usuário pode alterar ou redefinir a senha da Console e gerenciar outras credenciais do Oracle Cloud Infrastructure, como chaves de assinatura de API e tokens de autenticação.

Para adicionar e gerenciar provedores de identidade em sua tenancy, você deverá ter autorização de uma política do serviço IAM. Se você estiver no grupo de Administradores, terá o acesso necessário.

Aqui está uma política mais limitada que restringe o acesso apenas aos recursos relacionados a provedores de identidade e mapeamentos de grupo:

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Se você for novo em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Se quiser mais detalhes sobre como criar políticas para grupos ou outros componentes do serviço IAM, consulte Detalhes do Serviço IAM sem Domínios de Identidade.

Para obter instruções sobre como federar com outros provedores de identidade, consulte o seguinte:

Federando com o Microsoft Active Directory

Federando com o Microsoft Azure Active Directory

Configuração do Oracle Cloud Infrastructure Okta para Federação e Provisionamento (white paper)

Federando com Provedores de Identidade SAML 2.0